AWSVPCFlow
VPC-Flussprotokolle, die über den Sentinel-Connector erfasst werden, ermöglichen es Ihnen, IP-Datenverkehr zu und von Ihren AWS VPC-Netzwerkschnittstellen zu erfassen.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountId | Zeichenfolge | Die AWS-Konto-ID des Besitzers der Quellnetzwerkschnittstelle, für die Datenverkehr aufgezeichnet wird. Wenn die Netzwerkschnittstelle von einem AWS-Dienst erstellt wird, z. B. beim Erstellen eines VPC-Endpunkts oder eines Netzwerk-Load Balancer, wird der Datensatz möglicherweise unbekannt für dieses Feld angezeigt. |
| Aktion | Zeichenfolge | Die Aktion, die dem Datenverkehr zugeordnet ist. |
| AzId | Zeichenfolge | Die ID der Verfügbarkeitszone. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| Byte | long | Die Anzahl der Bytes, die während des Flows übertragen werden. |
| DstAddr | Zeichenfolge | Die Zieladresse für ausgehenden Datenverkehr. |
| DstPort | INT | Der Zielport des Datenverkehrs. |
| Ende | datetime | Der Zeitpunkt, zu dem das letzte Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. |
| FlowDirection | Zeichenfolge | Die Richtung des Flows in Bezug auf die Schnittstelle, in der datenverkehr erfasst wird. |
| InstanceId | Zeichenfolge | Die ID der instance, die der Netzwerkschnittstelle zugeordnet ist, für die der Datenverkehr aufgezeichnet wird. |
| Interfaceid | Zeichenfolge | Die ID der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LogStatus | Zeichenfolge | Die protokollierungs-status des Flussprotokolls. |
| Pakete | INT | Die Anzahl der Pakete, die während des Flows übertragen werden. |
| PktDstAddr | Zeichenfolge | Die (ursprüngliche) Ziel-IP-Adresse für den Datenverkehr auf Paketebene. |
| PktDstAwsService | Zeichenfolge | Der Name der Teilmenge der IP-Adressbereiche für das Feld PktDstAddr, wenn die Ziel-IP-Adresse für einen AWS-Dienst ist. |
| PktSrcAddr | Zeichenfolge | Die (ursprüngliche) Quell-IP-Adresse des Datenverkehrs auf Paketebene. |
| PktSrcAwsService | Zeichenfolge | Der Name der Teilmenge der IP-Adressbereiche für das Feld PktSrcAddr, wenn die Quell-IP-Adresse für einen AWS-Dienst ist. |
| Protocol | INT | Die IANA-Protokollnummer des Datenverkehrs. |
| Region | Zeichenfolge | Die Region, die die Netzwerkschnittstelle enthält, für die Datenverkehr aufgezeichnet wird. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| SrcAddr | Zeichenfolge | Die Quelladresse für eingehenden Datenverkehr. |
| SrcPort | INT | Der Quellport des Datenverkehrs. |
| SublocationId | Zeichenfolge | Die ID der Unterlocation, die die Netzwerkschnittstelle enthält, für die Datenverkehr aufgezeichnet wird. |
| SublocationType | Zeichenfolge | Der Typ der Unterlocation, der im Feld "sublocationId" zurückgegeben wird. |
| SubnetId | Zeichenfolge | Die ID des Subnetzes. |
| TcpFlags | INT | Der Bitmaskenwert für die folgenden TCP-Flags. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das Ereignis generiert wurde. Dieser Wert entspricht dem Eingabefeld "start" oder der Dateneingangszeit in Azure Monitor, falls das Eingabefeld "start" leer ist oder fehlt. |
| TrafficPath | Zeichenfolge | Der Pfad, den ausgehender Datenverkehr an das Ziel führt. |
| TrafficType | Zeichenfolge | Der Typ des Datenverkehrs. Die möglichen Werte sind: IPv4, IPv6 und EFA. Weitere Informationen finden Sie unter "Elastic Fabric Adapter (EFA)". |
| type | Zeichenfolge | Der Name der Tabelle. |
| Version | INT | Die VPC-Flowprotokolle-Version. |
| VpcId | Zeichenfolge | Die ID der VPC. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für