NetworkSessions
网络连接或会话,例如防火墙、Wire Data、NSG、Netflow、代理系统和 Web 安全网关记录的会话。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 否 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AdditionalFields | dynamic | 如果架构中没有相应的列匹配,则可将附加字段存储在 JSON 包中。 |
_BilledSize | real | 记录大小(以字节为单位) |
CloudAppId | 字符串 | HTTP 应用程序的目标应用程序的 ID,由代理标识。 此值通常特定于所用的代理。 |
CloudAppName | 字符串 | HTTP 应用程序的目标应用程序的名称,由代理标识。 |
CloudAppOperation | 字符串 | 用户在 HTTP 应用程序的目标应用程序上下文中执行的操作,由代理标识。 此值通常特定于所用的代理。 |
CloudAppRiskLevel | 字符串 | 与 HTTP 应用程序关联的风险级别,由代理标识。 此值通常特定于所用的代理。 |
DstBytes | long | 从连接或会话的目标发送到源的字节数。 |
DstDomainHostname | 字符串 | 目标主机的域。 |
DstDvcDomain | 字符串 | 目标设备的域。 |
DstDvcFqdn | 字符串 | 创建日志的主机的完全限定域名。 |
DstDvcHostname | 字符串 | 目标设备的设备名称。 |
DstDvcIpAddr | 字符串 | 未与网络数据包直接关联的设备的目标 IP 地址。 |
DstDvcMacAddr | 字符串 | 不直接与网络数据包关联的设备的目标 MAC 地址。 |
DstGeoCity | 字符串 | 与目标 IP 地址关联的城市。 |
DstGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
DstGeoLatitude | real | 与目标 IP 地址关联的地理坐标的纬度。 |
DstGeoLongitude | real | 与目标 IP 地址关联的地理坐标的经度 |
DstGeoRegion | 字符串 | 与目标 IP 地址关联的国家/地区中的区域。 |
DstInterfaceGuid | 字符串 | 用于身份验证请求的网络接口的 GUID。 |
DstInterfaceName | 字符串 | 由目标设备用来建立连接或会话的网络接口。 |
DstIpAddr | 字符串 | 连接或会话目标的 IP 地址。 |
DstMacAddr | 字符串 | 连接或会话终止的网络接口的 MAC 地址。 |
DstNatIpAddr | 字符串 | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的 IP 地址。 |
DstNatPortNumber | int | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的端口。 |
DstPackets | long | 从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 |
DstPortNumber | int | 目标 IP 端口。 |
DstResourceId | 字符串 | 目标设备的资源 ID。 |
DstUserAadId | 字符串 | 会话目标端的用户的 Azure AD 帐户对象 ID。 |
DstUserDomain | 字符串 | 会话目标处的帐户的域或计算机名称。 |
DstUserName | 字符串 | 与会话目标关联的标识的用户名。 |
DstUserSid | 字符串 | 与会话目标关联的标识的用户 ID。 通常,它是用来对服务器进行身份验证的标识。 |
DstUserUpn | 字符串 | 与会话目标关联的标识的 UPN。 |
DstZone | 字符串 | 目标的网络区域,由报告设备定义。 |
DvcAction | 字符串 | 如果中介设备(例如防火墙)报告了该值,则该值是该设备执行的操作。 |
DvcHostname | 字符串 | 生成消息的设备的设备名称。 |
DvcInboundInterface | 字符串 | 如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到源设备的网络接口。 |
DvcIpAddr | 字符串 | 生成记录的设备 IP 地址。 |
DvcMacAddr | 字符串 | 从中发送了事件的报告设备的网络接口的 MAC 地址。 |
DvcOutboundInterface | 字符串 | 如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到目标设备的网络接口。 |
EventCount | int | 聚合的事件数(如果适用)。 |
EventEndTime | datetime | 事件的结束时间。 |
EventMessage | 字符串 | 一般消息或说明,包含在记录中或从记录生成。 |
EventOriginalUid | 字符串 | 报告设备中的记录 ID。 |
EventProduct | 字符串 | 生成事件的产品。 |
EventProductVersion | 字符串 | 生成事件的产品的版本。 |
EventReportUrl | 字符串 | 指向报告设备创建的完整报表的链接。 |
EventResourceId | 字符串 | 生成消息的设备的资源 ID。 |
EventResult | 字符串 | 针对活动报告的结果。 不适用时为空值。 |
EventResultDetails | 字符串 | EventResult 中报告的结果的原因 |
EventSchemaVersion | 字符串 | Azure Sentinel 架构版本。 |
EventSeverity | 字符串 | 如果报告的活动会造成安全影响,则指示影响的严重性。 |
EventStartTime | datetime | 事件所声明的时间。 |
EventSubType | 字符串 | 类型的其他说明(如果适用)。 |
EventTimeIngested | datetime | 将事件引入 Azure Sentinel 的时间。 将由 Azure Sentinel 添加。 |
EventType | 字符串 | 正在收集的事件的类型。 |
EventUid | 字符串 | Sentinel 用于标记行的唯一标识符。 |
EventVendor | 字符串 | 生成事件的产品的供应商。 |
FileExtension | 字符串 | 通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的类型。 |
FileHashMd5 | 字符串 | 通过网络连接为协议传输的文件的 MD5 哈希值。 |
FileHashSha1 | 字符串 | 通过网络连接为协议传输的文件的 SHA1 哈希值。 |
FileHashSha256 | 字符串 | 通过网络连接为协议传输的文件的 SHA256 哈希值。 |
FileHashSha512 | 字符串 | 通过网络连接为协议传输的文件的 SHA512 哈希值。 |
FileMimeType | 字符串 | 通过 FTP 和 HTTP 等协议的网络连接传输的文件的 MIME 类型。 |
FileName | string | 通过网络连接为提供文件名信息的协议(例如 FTP 和 HTTP)传输的文件名。 |
文件路径 | 字符串 | 文件的完整路径,包括文件名。 |
FileSize | int | 通过网络连接为协议传输的文件的文件大小,以字节为单位。 |
HttpContentType | 字符串 | HTTP/HTTPS 网络会话的 HTTP 响应内容类型头。 |
HttpReferrerOriginal | 字符串 | HTTP/HTTPS 网络会话的 HTTP referrer 头。 |
HttpRequestMethod | 字符串 | HTTP/HTTPS 网络会话的 HTTP 方法。 |
HttpRequestTime | int | 将请求发送到服务器所花费的时间(如果适用)。 |
HttpRequestXff | 字符串 | HTTP/HTTPS 网络会话的 HTTP X-Forwarded-For 头。 |
HttpResponseTime | int | 在服务器中接收响应所花费的时间(如果适用)。 |
HttpStatusCode | 字符串 | HTTP/HTTPS 网络会话的 HTTP 状态代码。 |
HttpUserAgentOriginal | 字符串 | Http/HTTPS 网络会话的 HTTP 用户代理头。 |
HttpVersion | 字符串 | HTTP/HTTPS 网络连接的 HTTP 请求版本。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
NetworkApplicationProtocol | 字符串 | 连接或会话使用的应用程序层协议。 |
NetworkBytes | long | 双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 |
NetworkDirection | 字符串 | 连接或会话的方向:入站到组织或者从组织出站。 |
NetworkDuration | int | 完成网络会话或连接的时间量(以毫秒为单位)。 |
NetworkIcmpCode | int | 对于 ICMP 消息,该值是 ICMP 消息类型的数字值(RFC 2780 或 RFC 4443)。 |
NetworkIcmpType | 字符串 | 对于 ICMP 消息,该值是 ICMP 消息类型的文本表示形式(RFC 2780 或 RFC 4443)。 |
NetworkPackets | long | 双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和。 |
NetworkProtocol | 字符串 | 连接或会话使用的 IP 协议。 通常为 TCP、UDP 或 ICMP。 |
NetworkRuleName | 字符串 | 确定 DeviceAction 所依据的规则的名称或 ID。 |
NetworkRuleNumber | int | 匹配的规则编号。 |
NetworkSessionId | 字符串 | 报告设备报告的会话标识符。 |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
SrcBytes | long | 从连接或会话的源发送到目标的字节数。 |
SrcDvcDomain | 字符串 | 从中启动会话的设备域。 |
SrcDvcFqdn | 字符串 | 创建日志的主机的完全限定域名。 |
SrcDvcHostname | 字符串 | 源设备的设备名称。 |
SrcDvcIpAddr | 字符串 | 不直接与网络数据包关联的设备的源 IP 地址(由提供程序收集,或显式计算)。 |
SrcDvcMacAddr | 字符串 | 不直接与网络数据包关联的设备的源 MAC 地址。 |
SrcDvcModelName | 字符串 | 源设备的模型。 |
SrcDvcModelNumber | 字符串 | 源设备的型号。 |
SrcDvcOs | 字符串 | 源设备的 OS。 |
SrcDvcType | 字符串 | 源设备的类型。 |
SrcGeoCity | 字符串 | 与源 IP 地址关联的城市。 |
SrcGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
SrcGeoLatitude | real | 与源 IP 地址关联的地理坐标的纬度。 |
SrcGeoLongitude | real | 与源 IP 地址关联的地理坐标的经度。 |
SrcGeoRegion | 字符串 | 与源 IP 地址关联的国家/地区中的区域。 |
SrcInterfaceGuid | 字符串 | 使用的网络接口的 GUID。 |
SrcInterfaceName | 字符串 | 由源设备用来建立连接或会话的网络接口。 |
SrcIpAddr | 字符串 | 从中发起了连接或会话的 IP 地址。 |
SrcMacAddr | 字符串 | 从中发起了连接或会话的网络接口的 MAC 地址。 |
SrcNatIpAddr | 字符串 | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的 IP 地址。 |
SrcNatPortNumber | int | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的端口。 |
SrcPackets | long | 从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 |
SrcPortNumber | int | 从中发起了连接的 IP 端口。 可能与包含多个连接的会话无关。 |
SrcResourceId | 字符串 | 生成消息的设备的资源 ID。 |
SrcUserAadId | 字符串 | 会话源端用户的 Azure AD 帐户对象 ID。 |
SrcUserDomain | 字符串 | 启动会话的帐户的域。 |
SrcUserName | 字符串 | 与会话源关联的标识的用户名。 通常,这是在客户端上执行操作的用户。 |
SrcUserSid | 字符串 | 与会话源关联的标识的用户 ID。 通常,这是在客户端上执行操作的用户。 |
SrcUserUpn | 字符串 | 启动会话的帐户的 UPN。 |
SrcZone | 字符串 | 源的网络区域,由报告设备定义。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
ThreatCategory | 字符串 | 安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的类别,与此网络会话相关联。 |
ThreatId | 字符串 | 安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的 ID,与此网络会话相关联。 |
ThreatName | 字符串 | 已识别的威胁或恶意软件的名称。 |
TimeGenerated | datetime | 事件的发生时间,由报告源报告。 |
类型 | 字符串 | 表的名称 |
UrlCategory | 字符串 | 定义的 URL 分组 (或可能仅基于 URL 中的域,) 与其 (相关,即成人、新闻、广告、寄存域等 ) 。 |
UrlHostname | 字符串 | HTTP/HTTPS 网络会话的 HTTP 请求 URL 的域部分。 |
UrlOriginal | 字符串 | HTTP/HTTPS 网络会话的 HTTP 请求 URL。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈