NetworkSessions
Nätverksanslutningar eller sessioner, till exempel de som loggas av brandväggar, tråddata, NSG, Netflow, proxysystem och webbsäkerhetsgatewayer.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | No |
Exempelfrågor | Ja |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AdditionalFields | dynamisk | När ingen kolumn i schemat matchar kan ytterligare fält lagras i en JSON-påse. |
_BilledSize | real | Poststorleken i byte |
CloudAppId | sträng | ID:t för målprogrammet för ett HTTP-program som identifieras av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
CloudAppName | sträng | Namnet på målprogrammet för ett HTTP-program som identifieras av en proxyserver. |
CloudAppOperation | sträng | Den åtgärd som användaren utförde i kontexten för målprogrammet för ett HTTP-program som identifieras av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
CloudAppRiskLevel | sträng | Den risknivå som är associerad med ett HTTP-program som identifieras av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
DstBytes | long | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. |
DstDomainHostname | sträng | Målvärdens domän. |
DstDvcDomain | sträng | Målenhetens domän. |
DstDvcFqdn | sträng | Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
DstDvcHostname | sträng | Målenhetens enhetsnamn. |
DstDvcIpAddr | sträng | Mål-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet. |
DstDvcMacAddr | sträng | Mac-måladressen för en enhet som inte är direkt associerad med nätverkspaketet. |
DstGeoCity | sträng | Den ort som är associerad med målets IP-adress. |
DstGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
DstGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
DstGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med målets IP-adress |
DstGeoRegion | sträng | Regionen i ett land som är associerat med målets IP-adress. |
DstInterfaceGuid | sträng | GUID för nätverksgränssnittet som användes för autentiseringsbegäran. |
DstInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
DstIpAddr | sträng | IP-adressen för anslutningen eller sessionsmålet. |
DstMacAddr | sträng | MAC-adressen för nätverksgränssnittet där anslutningen eller sessionen avslutades. |
DstNatIpAddr | sträng | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med källan. |
DstNatPortNumber | int | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med källan. |
DstPackets | long | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
DstPortNumber | int | Målets IP-port. |
DstResourceId | sträng | Målenhetens resurs-ID. |
DstUserAadId | sträng | Användarens Azure AD kontoobjekt-ID i slutet av sessionen. |
DstUserDomain | sträng | Domänen eller datornamnet för kontot vid målet för sessionen. |
DstUserName | sträng | Användarnamnet för den identitet som är associerad med sessionens mål. |
DstUserSid | sträng | Användar-ID för den identitet som är associerad med sessionens mål. Vanligtvis den identitet som används för att autentisera en server. |
DstUserUpn | sträng | UPN för den identitet som är associerad med sessionens mål. |
DstZone | sträng | Målets nätverkszon enligt definitionen i rapporteringsenheten. |
DvcAction | sträng | Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, vidtas åtgärden av enheten. |
DvcHostname | sträng | Enhetsnamnet på enheten som genererar meddelandet. |
DvcInboundInterface | sträng | Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till källenheten. |
DvcIpAddr | sträng | IP-adressen för enheten som genererar posten. |
DvcMacAddr | sträng | MAC-adressen för nätverksgränssnittet för rapporteringsenheten som händelsen skickades från. |
DvcOutboundInterface | sträng | Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till målenheten. |
EventCount | int | Antalet aggregerade händelser, om tillämpligt. |
EventEndTime | datetime | Tiden då händelsen avslutades. |
EventMessage | sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
EventOriginalUid | sträng | Post-ID:t från rapporteringsenheten. |
EventProduct | sträng | Den produkt som genererar händelsen. |
EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
EventReportUrl | sträng | En länk till den fullständiga rapporten som skapats av rapporteringsenheten. |
EventResourceId | sträng | Resurs-ID för enheten som genererar meddelandet. |
EventResult | sträng | Resultatet som rapporterats för aktiviteten. Tomt värde när det inte är tillämpligt. |
EventResultDetails | sträng | Orsak till det resultat som rapporterats i EventResult |
EventSchemaVersion | sträng | Schemaversion för Azure Sentinel. |
EventSeverity | sträng | Om den rapporterade aktiviteten har en säkerhetspåverkan anger du hur allvarlig påverkan är. |
EventStartTime | datetime | Den tid då händelsen angavs. |
EventSubType | sträng | Ytterligare beskrivning av typ om tillämpligt. |
EventTimeIngested | datetime | Den tid då händelsen matades in till Azure Sentinel. Läggs till av Azure Sentinel. |
Eventtype | sträng | Typ av händelse som samlas in. |
EventUid | sträng | Unik identifierare som används av Sentinel för att markera en rad. |
EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
FileExtension | sträng | Typen av fil som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
FileHashMd5 | sträng | MD5-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileHashSha1 | sträng | SHA1-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileHashSha256 | sträng | SHA256-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileHashSha512 | sträng | SHA512-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileMimeType | sträng | MIME-typen för filen som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
Filnamn | sträng | Filnamnet som överförs via nätverksanslutningarna för protokoll som FTP och HTTP som anger filnamnsinformationen. |
Filepath | sträng | Den fullständiga sökvägen, inklusive filnamn, för filen. |
Filstorlek | int | Filstorleken i byte för filen som överförs via nätverksanslutningarna för protokoll. |
HttpContentType | sträng | Innehållstypen HTTP-svarsrubrik för HTTP/HTTPS-nätverkssessioner. |
HttpReferrerOriginal | sträng | HTTP-referenshuvudet för HTTP/HTTPS-nätverkssessioner. |
HttpRequestMethod | sträng | HTTP-metoden för HTTP/HTTPS-nätverkssessioner. |
HttpRequestTime | int | Hur lång tid det tog att skicka begäran till servern, om tillämpligt. |
HttpRequestXff | sträng | HTTP X-Forwarded-For-huvudet för HTTP/HTTPS-nätverkssessioner. |
HttpResponseTime | int | Hur lång tid det tog att ta emot ett svar på servern, om tillämpligt. |
HttpStatusCode | sträng | HTTP-statuskoden för HTTP/HTTPS-nätverkssessioner. |
HttpUserAgentOriginal | sträng | HTTP-användaragentens huvud för HTTP/HTTPS-nätverkssessioner. |
HttpVersion | sträng | HTTP-begärandeversionen för HTTP/HTTPS-nätverksanslutningar. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
NetworkApplicationProtocol | sträng | Protokollet för programskiktet som används av anslutningen eller sessionen. |
NetworkBytes | long | Antal byte som skickas i båda riktningarna. Om både BytesReceived och BytesSent finns bör BytesTotal vara lika med summan. |
NetworkDirection | sträng | Riktningen för anslutningen eller sessionen, till eller ut ur organisationen. |
NetworkDuration | int | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
NetworkIcmpCode | int | För ett ICMP-meddelande skriver ICMP-meddelande numeriskt värde (RFC 2780 eller RFC 4443). |
NetworkIcmpType | sträng | För ett ICMP-meddelande skriver ICMP textrepresentation (RFC 2780 eller RFC 4443). |
NetworkPackets | long | Antal paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. |
NetworkProtocol | sträng | IP-protokollet som används av anslutningen eller sessionen. Vanligtvis TCP, UDP eller ICMP. |
NetworkRuleName | sträng | Namnet eller ID:t för regeln som DeviceAction beslutades för. |
NetworkRuleNumber | int | Matchat regelnummer. |
NetworkSessionId | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
SrcBytes | long | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
SrcDvcDomain | sträng | Domän för den enhet som sessionen initierades från. |
SrcDvcFqdn | sträng | Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
SrcDvcHostname | sträng | Källenhetens enhetsnamn. |
SrcDvcIpAddr | sträng | Käll-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet (samlas in av en provider eller beräknas uttryckligen). |
SrcDvcMacAddr | sträng | Mac-källadressen för en enhet som inte är direkt associerad med nätverkspaketet. |
SrcDvcModelName | sträng | Källenhetens modell. |
SrcDvcModelNumber | sträng | Källenhetens modellnummer. |
SrcDvcOs | sträng | Källenhetens operativsystem. |
SrcDvcType | sträng | Typ av källenhet. |
SrcGeoCity | sträng | Den stad som är associerad med källans IP-adress. |
SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
SrcInterfaceGuid | sträng | GUID för det nätverksgränssnitt som används. |
SrcInterfaceName | sträng | Det nätverksgränssnitt som används för anslutningen eller sessionen av källenheten. |
SrcIpAddr | sträng | DEN IP-adress som anslutningen eller sessionen kommer från. |
SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet som anslutningens od-session härstammar från. |
SrcNatIpAddr | sträng | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med målet. |
SrcNatPortNumber | int | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med målet. |
SrcPackets | long | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
SrcPortNumber | int | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
SrcResourceId | sträng | Resurs-ID för enheten som genererar meddelandet. |
SrcUserAadId | sträng | Användarens Azure AD kontoobjekt-ID i slutet av sessionen. |
SrcUserDomain | sträng | Domänen för kontot som initierar sessionen. |
SrcUserName | sträng | Användarnamnet för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
SrcUserSid | sträng | Användar-ID för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
SrcUserUpn | sträng | UPN för kontot som initierar sessionen. |
SrcZone | sträng | Källans nätverkszon enligt definitionen i rapporteringsenheten. |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatCategory | sträng | Kategorin för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerad med den här nätverkssessionen. |
ThreatId | sträng | ID:t för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerat med den här nätverkssessionen. |
ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifierats. |
TimeGenerated | datetime | Den tid då händelsen inträffade, enligt rapporteringskällans rapporteringskälla. |
Typ | sträng | Namnet på tabellen |
UrlCategory | sträng | Den definierade gruppering av en URL (eller kan bara baseras på domänen i URL:en) som är relaterad till vad den är (t.ex. vuxen, nyheter, reklam, parkerade domäner osv.). |
UrlHostname | sträng | Domändelen av en HTTP-begärande-URL för HTTP/HTTPS-nätverkssessioner. |
UrlOriginal | sträng | URL:en för HTTP-begäran för HTTP/HTTPS-nätverkssessioner. |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för