NetworkSessions
Hálózati kapcsolatok vagy munkamenetek, például a tűzfalak, a Wire Data, az NSG, a Netflow, a proxyrendszerek és a webes biztonsági átjárók által naplózott munkamenetek.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | - |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | No |
Mintalekérdezések | Igen |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
További mezők | dinamikus | Ha a séma egyik oszlopa sem egyezik, további mezők tárolhatók egy JSON-zsákban. |
_BilledSize | valós szám | A rekord mérete bájtban |
CloudAppId | sztring | A HTTP-alkalmazás célalkalmazásának proxy által azonosított azonosítója. Ez az érték általában a használt proxyra jellemző. |
CloudAppName | sztring | A HTTP-alkalmazás célalkalmazásának neve a proxy által azonosított módon. |
CloudAppOperation | sztring | A felhasználó által a proxy által azonosított HTTP-alkalmazás célalkalmazásának kontextusában végrehajtott művelet. Ez az érték általában a használt proxyra jellemző. |
CloudAppRiskLevel | sztring | A proxy által azonosított HTTP-alkalmazáshoz társított kockázati szint. Ez az érték általában a használt proxyra jellemző. |
DstBytes | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött bájtok száma. |
DstDomainHostname | sztring | A cél gazdagép tartománya. |
DstDvcDomain | sztring | A céleszköz tartománya. |
DstDvcFqdn | sztring | Annak a gazdagépnek a teljes tartományneve, ahol a napló létre lett hozva. |
DstDvcHostname | sztring | A céleszköz neve. |
DstDvcIpAddr | sztring | Egy olyan eszköz cél IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
DstDvcMacAddr | sztring | Egy olyan eszköz cél MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
DstGeoCity | sztring | A cél IP-címéhez társított város. |
DstGeoCountry | sztring | A forrás IP-címéhez társított ország. |
DstGeoL hála | valós szám | A cél IP-címéhez társított földrajzi koordináták szélessége. |
DstGeoLongitude | valós szám | A cél IP-címéhez társított földrajzi koordináták hosszúsága |
DstGeoRegion | sztring | A cél IP-címhez társított országon belüli régió. |
DstInterfaceGuid | sztring | A hitelesítési kérelemhez használt hálózati adapter GUID azonosítója. |
DstInterfaceName | sztring | A céleszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
DstIpAddr | sztring | A kapcsolat vagy a munkamenet céljának IP-címe. |
DstMacAddr | sztring | Annak a hálózati adapternek a MAC-címe, amelyen a kapcsolat vagy a munkamenet megszakadt. |
DstNatIpAddr | sztring | Ha egy köztes NAT-eszköz, például egy tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt IP-cím. |
DstNatPortNumber | int | Ha egy köztes NAT-eszköz, például egy tűzfal jelenti, a NAT-eszköz által a forrással való kommunikációhoz használt port. |
DstPackets | hosszú | A célhelyről a kapcsolat vagy munkamenet forrásának küldött csomagok száma. A csomag jelentését a jelentéskészítő eszköz határozza meg. |
DstPortNumber | int | A cél IP-port. |
DstResourceId | sztring | A céleszköz erőforrás-azonosítója. |
DstUserAadId | sztring | A felhasználó Azure AD fiókobjektum-azonosítója a munkamenet célhelyén. |
DstUserDomain | sztring | A fiók tartomány- vagy számítógépneve a munkamenet célhelyén. |
DstUserName | sztring | A munkamenet célhelyéhez társított identitás felhasználóneve. |
DstUserSid | sztring | A munkamenet célhelyéhez társított identitás felhasználói azonosítója. A kiszolgáló hitelesítéséhez használt identitás általában. |
DstUserUpn | sztring | A munkamenet célhelyéhez társított identitás egyszerű felhasználónévje. |
DstZone | sztring | A cél hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
DvcAction | sztring | Ha egy köztes eszköz, például egy tűzfal jelenti, az eszköz által végrehajtott művelet. |
DvcHostname | sztring | Az üzenetet létrehozó eszköz neve. |
DvcInboundInterface | sztring | Ha egy köztes eszköz, például egy tűzfal jelenti, az általa a forráseszközhöz való csatlakozáshoz használt hálózati adapter. |
DvcIpAddr | sztring | A rekordot létrehozó eszköz IP-címe. |
DvcMacAddr | sztring | Annak a jelentéskészítő eszköznek a hálózati adapterének MAC-címe, amelyről az eseményt elküldték. |
DvcOutboundInterface | sztring | Ha egy köztes eszköz, például egy tűzfal jelenti, az általa a céleszközhöz való csatlakozáshoz használt hálózati adapter. |
EventCount | int | Az összesített események száma, ha van. |
EventEndTime | dátum/idő | Az esemény befejezésének időpontja. |
EventMessage | sztring | A rekordban szereplő vagy a rekordból létrehozott általános üzenet vagy leírás. |
EventOriginalUid | sztring | A jelentéskészítő eszköz rekordazonosítója. |
EventProduct | sztring | Az eseményt létrehozó termék. |
EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
EventReportUrl | sztring | A jelentéskészítő eszköz által létrehozott teljes jelentésre mutató hivatkozás. |
EventResourceId | sztring | Az üzenetet létrehozó eszköz erőforrás-azonosítója. |
EventResult | sztring | A tevékenységhez jelentett eredmény. Üres érték, ha nem alkalmazható. |
EventResultDetails | sztring | Az EventResult-ban jelentett eredmény oka |
EventSchemaVersion | sztring | Az Azure Sentinel sémaverziója. |
EventSeverity | sztring | Ha a jelentett tevékenységnek van biztonsági hatása, az a hatás súlyosságát jelöli. |
EventStartTime | dátum/idő | Az esemény bekövetkezésének időpontja. |
EventSubType | sztring | Szükség esetén a típus további leírása. |
EventTimeIngested | dátum/idő | Az esemény Azure Sentinelbe való betöltésének időpontja. Az Azure Sentinel hozzáadja. |
EventType | sztring | Az összegyűjtött esemény típusa. |
EventUid | sztring | A Sentinel által egy sor megjelölésére használt egyedi azonosító. |
EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
FileExtension | sztring | A hálózati kapcsolatokon keresztül továbbított fájl típusa olyan protokollok esetében, mint az FTP és a HTTP. |
FileHashMd5 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl MD5 kivonatértéke. |
FileHashSha1 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA1 kivonatértéke. |
FileHashSha256 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA256 kivonatértéke. |
FileHashSha512 | sztring | A protokollok hálózati kapcsolatain keresztül továbbított fájl SHA512 kivonatértéke. |
FileMimeType | sztring | A hálózati kapcsolatokon keresztül továbbított fájl MIME-típusa olyan protokollokhoz, mint az FTP és a HTTP. |
Fájlnév | sztring | A hálózati kapcsolatokon keresztül továbbított fájlnév olyan protokollok esetében, mint az FTP és a HTTP, amelyek a fájlnév adatait adják meg. |
FilePath | sztring | A fájl teljes elérési útja, beleértve a fájl nevét is. |
Fájlméretet | int | A protokollok hálózati kapcsolatain keresztül továbbított fájl mérete bájtban. |
HttpContentType | sztring | A HTTP-válasz tartalomtípus fejléce HTTP/HTTPS hálózati munkamenetekhez. |
HttpReferrerOriginal | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-hivatkozó fejléce. |
HttpRequestMethod | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-metódusa. |
HttpRequestTime | int | A kérelem kiszolgálónak való elküldéséhez szükséges idő, ha van. |
HttpRequestXff | sztring | A HTTP X-Forwarded-For fejléc a HTTP/HTTPS hálózati munkamenetekhez. |
HttpResponseTime | int | A válasz fogadásához szükséges idő a kiszolgálón, ha van. |
HttpStatusCode | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-állapotkódja. |
HttpUserAgentOriginal | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-felhasználói ügynökének fejléce. |
HttpVersion | sztring | A HTTP-/HTTPS-hálózati kapcsolatok HTTP-kérelemverziója. |
_IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
NetworkApplicationProtocol | sztring | A kapcsolat vagy munkamenet által használt alkalmazásréteg-protokoll. |
Hálózati bájtok | hosszú | A két irányban küldött bájtok száma. Ha a BytesReceived és a BytesSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. |
NetworkDirection | sztring | A kapcsolat vagy munkamenet iránya a szervezetbe vagy onnan kifelé. |
NetworkDuration | int | A hálózati munkamenet vagy kapcsolat befejezéséhez szükséges idő ezredmásodpercben. |
NetworkIcmpCode | int | ICMP-üzenet esetén az ICMP-üzenet típusa numerikus érték (RFC 2780 vagy RFC 4443). |
NetworkIcmpType | sztring | ICMP-üzenet esetén az ICMP-üzenet típusa szöveges ábrázolás (RFC 2780 vagy RFC 4443). |
NetworkPackets | hosszú | Mindkét irányban küldött csomagok száma. Ha a PacketsReceived és a PacketsSent is létezik, a BytesTotal értéknek meg kell egyeznie az összeggel. |
NetworkProtocol | sztring | A kapcsolat vagy munkamenet által használt IP-protokoll. Általában TCP, UDP vagy ICMP. |
NetworkRuleName | sztring | Annak a szabálynak a neve vagy azonosítója, amely alapján a DeviceAction döntésre került. |
NetworkRuleNumber | int | Megfelelt szabályszám. |
NetworkSessionId | sztring | A jelentéskészítő eszköz által jelentett munkamenet-azonosító. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
SrcBytes | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött bájtok száma. |
SrcDvcDomain | sztring | Annak az eszköznek a tartománya, amelyről a munkamenetet kezdeményezték. |
SrcDvcFqdn | sztring | Annak a gazdagépnek a teljes tartományneve, ahol a napló létre lett hozva. |
SrcDvcHostname | sztring | A forráseszköz eszközneve. |
SrcDvcIpAddr | sztring | Egy olyan eszköz forrás IP-címe, amely nincs közvetlenül társítva a hálózati csomaggal (szolgáltató által gyűjtött vagy explicit módon kiszámított). |
SrcDvcMacAddr | sztring | Egy olyan eszköz forrás MAC-címe, amely nincs közvetlenül társítva a hálózati csomaggal. |
SrcDvcModelName | sztring | A forráseszköz modellje. |
SrcDvcModelNumber | sztring | A forráseszköz modellszáma. |
SrcDvcOs | sztring | A forráseszköz operációs rendszere. |
SrcDvcType | sztring | A forráseszköz típusa. |
SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
SrcGeoL hála | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
SrcGeoRegion | sztring | A forrás IP-címhez társított országon belüli régió. |
SrcInterfaceGuid | sztring | A használt hálózati adapter GUID azonosítója. |
SrcInterfaceName | sztring | A forráseszköz által a kapcsolathoz vagy munkamenethez használt hálózati adapter. |
SrcIpAddr | sztring | Az IP-cím, amelyről a kapcsolat vagy munkamenet származik. |
SrcMacAddr | sztring | Annak a hálózati adapternek a MAC-címe, amelyről a kapcsolati od-munkamenet származik. |
SrcNatIpAddr | sztring | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt IP-cím. |
SrcNatPortNumber | int | Ha egy köztes NAT-eszköz( például tűzfal) jelenti, a NAT-eszköz által a célhellyel való kommunikációhoz használt port. |
SrcPackets | hosszú | A forrásból a kapcsolat vagy munkamenet célhelyére küldött csomagok száma. A csomag jelentését a jelentéskészítő eszköz határozza meg. |
SrcPortNumber | int | Az IP-port, amelyről a kapcsolat létrejött. Több kapcsolatot tartalmazó munkamenet esetén előfordulhat, hogy nem releváns. |
SrcResourceId | sztring | Az üzenetet létrehozó eszköz erőforrás-azonosítója. |
SrcUserAadId | sztring | A felhasználó Azure AD fiókobjektum-azonosítója a munkamenet forrásának végén. |
SrcUserDomain | sztring | A munkamenetet kezdeményező fiók tartománya. |
SrcUserName | sztring | A munkamenet-forráshoz társított identitás felhasználóneve. A felhasználó általában műveletet hajt végre az ügyfélen. |
SrcUserSid | sztring | A munkamenet-forráshoz társított identitás felhasználói azonosítója. A felhasználó általában műveletet hajt végre az ügyfélen. |
SrcUserUpn | sztring | A munkamenetet kezdeményező fiók egyszerű felhasználónévje. |
SrcZone | sztring | A forrás hálózati zónája a jelentéskészítő eszköz által meghatározott módon. |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
ThreatCategory | sztring | Egy biztonsági rendszer, például egy IPS webes biztonsági átjárója által azonosított fenyegetés kategóriája, és ehhez a hálózati munkamenethez van társítva. |
ThreatId | sztring | Egy biztonsági rendszer, például egy IPS webbiztonsági átjárója által azonosított fenyegetés azonosítója, és ehhez a hálózati munkamenethez van társítva. |
ThreatName | sztring | Az azonosított fenyegetés vagy kártevő neve. |
TimeGenerated | dátum/idő | Az esemény bekövetkezésének időpontja a jelentéskészítési forrás által jelentett módon. |
Típus | sztring | A tábla neve |
UrlCategory | sztring | Az URL-cím definiált csoportosítása (vagy csak az URL-cím tartományán alapulhat) az url-címhez kapcsolódóan (pl. felnőtt, hírek, hirdetések, parkolt tartományok stb.). |
UrlHostname | sztring | A HTTP-kérés URL-címének tartományrésze HTTP/HTTPS hálózati munkamenetekhez. |
UrlOriginal | sztring | A HTTP-/HTTPS-hálózati munkamenetek HTTP-kérelem URL-címe. |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: