NetworkSessions
网络连接或会话,例如防火墙、Wire Data、NSG、Netflow、代理系统和 Web 安全网关记录的会话。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时间转换 | 否 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AdditionalFields | dynamic | 如果架构中没有相应的列匹配,则可将附加字段存储在 JSON 包中。 |
| _BilledSize | real | 记录大小(以字节为单位) |
| CloudAppId | 字符串 | HTTP 应用程序的目标应用程序的 ID,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppName | 字符串 | HTTP 应用程序的目标应用程序的名称,由代理标识。 |
| CloudAppOperation | 字符串 | 用户在 HTTP 应用程序的目标应用程序上下文中执行的操作,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppRiskLevel | 字符串 | 与 HTTP 应用程序关联的风险级别,由代理标识。 此值通常特定于所用的代理。 |
| DstBytes | long | 从连接或会话的目标发送到源的字节数。 |
| DstDomainHostname | 字符串 | 目标主机的域。 |
| DstDvcDomain | 字符串 | 目标设备的域。 |
| DstDvcFqdn | 字符串 | 创建日志的主机的完全限定域名。 |
| DstDvcHostname | 字符串 | 目标设备的设备名称。 |
| DstDvcIpAddr | 字符串 | 未与网络数据包直接关联的设备的目标 IP 地址。 |
| DstDvcMacAddr | 字符串 | 不直接与网络数据包关联的设备的目标 MAC 地址。 |
| DstGeoCity | 字符串 | 与目标 IP 地址关联的城市。 |
| DstGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
| DstGeoLatitude | real | 与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude | real | 与目标 IP 地址关联的地理坐标的经度 |
| DstGeoRegion | 字符串 | 与目标 IP 地址关联的国家/地区中的区域。 |
| DstInterfaceGuid | 字符串 | 用于身份验证请求的网络接口的 GUID。 |
| DstInterfaceName | 字符串 | 由目标设备用来建立连接或会话的网络接口。 |
| DstIpAddr | 字符串 | 连接或会话目标的 IP 地址。 |
| DstMacAddr | 字符串 | 连接或会话终止的网络接口的 MAC 地址。 |
| DstNatIpAddr | 字符串 | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的 IP 地址。 |
| DstNatPortNumber | int | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的端口。 |
| DstPackets | long | 从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 |
| DstPortNumber | int | 目标 IP 端口。 |
| DstResourceId | 字符串 | 目标设备的资源 ID。 |
| DstUserAadId | 字符串 | 会话目标端的用户的 Azure AD 帐户对象 ID。 |
| DstUserDomain | 字符串 | 会话目标处的帐户的域或计算机名称。 |
| DstUserName | 字符串 | 与会话目标关联的标识的用户名。 |
| DstUserSid | 字符串 | 与会话目标关联的标识的用户 ID。 通常,它是用来对服务器进行身份验证的标识。 |
| DstUserUpn | 字符串 | 与会话目标关联的标识的 UPN。 |
| DstZone | 字符串 | 目标的网络区域,由报告设备定义。 |
| DvcAction | 字符串 | 如果中介设备(例如防火墙)报告了该值,则该值是该设备执行的操作。 |
| DvcHostname | 字符串 | 生成消息的设备的设备名称。 |
| DvcInboundInterface | 字符串 | 如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到源设备的网络接口。 |
| DvcIpAddr | 字符串 | 生成记录的设备 IP 地址。 |
| DvcMacAddr | 字符串 | 从中发送了事件的报告设备的网络接口的 MAC 地址。 |
| DvcOutboundInterface | 字符串 | 如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到目标设备的网络接口。 |
| EventCount | int | 聚合的事件数(如果适用)。 |
| EventEndTime | datetime | 事件的结束时间。 |
| EventMessage | 字符串 | 一般消息或说明,包含在记录中或从记录生成。 |
| EventOriginalUid | 字符串 | 报告设备中的记录 ID。 |
| EventProduct | 字符串 | 生成事件的产品。 |
| EventProductVersion | 字符串 | 生成事件的产品的版本。 |
| EventReportUrl | 字符串 | 指向报告设备创建的完整报表的链接。 |
| EventResourceId | 字符串 | 生成消息的设备的资源 ID。 |
| EventResult | 字符串 | 针对活动报告的结果。 不适用时为空值。 |
| EventResultDetails | 字符串 | EventResult 中报告的结果的原因 |
| EventSchemaVersion | 字符串 | Azure Sentinel 架构版本。 |
| EventSeverity | 字符串 | 如果报告的活动会造成安全影响,则指示影响的严重性。 |
| EventStartTime | datetime | 事件所声明的时间。 |
| EventSubType | 字符串 | 类型的其他说明(如果适用)。 |
| EventTimeIngested | datetime | 将事件引入 Azure Sentinel 的时间。 将由 Azure Sentinel 添加。 |
| EventType | 字符串 | 正在收集的事件的类型。 |
| EventUid | 字符串 | Sentinel 用于标记行的唯一标识符。 |
| EventVendor | 字符串 | 生成事件的产品的供应商。 |
| FileExtension | 字符串 | 通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的类型。 |
| FileHashMd5 | 字符串 | 通过网络连接为协议传输的文件的 MD5 哈希值。 |
| FileHashSha1 | 字符串 | 通过网络连接为协议传输的文件的 SHA1 哈希值。 |
| FileHashSha256 | 字符串 | 通过网络连接为协议传输的文件的 SHA256 哈希值。 |
| FileHashSha512 | 字符串 | 通过网络连接为协议传输的文件的 SHA512 哈希值。 |
| FileMimeType | 字符串 | 通过 FTP 和 HTTP 等协议的网络连接传输的文件的 MIME 类型。 |
| FileName | string | 通过网络连接为提供文件名信息的协议(例如 FTP 和 HTTP)传输的文件名。 |
| 文件路径 | 字符串 | 文件的完整路径,包括文件名。 |
| FileSize | int | 通过网络连接为协议传输的文件的文件大小,以字节为单位。 |
| HttpContentType | 字符串 | HTTP/HTTPS 网络会话的 HTTP 响应内容类型头。 |
| HttpReferrerOriginal | 字符串 | HTTP/HTTPS 网络会话的 HTTP referrer 头。 |
| HttpRequestMethod | 字符串 | HTTP/HTTPS 网络会话的 HTTP 方法。 |
| HttpRequestTime | int | 将请求发送到服务器所花费的时间(如果适用)。 |
| HttpRequestXff | 字符串 | HTTP/HTTPS 网络会话的 HTTP X-Forwarded-For 头。 |
| HttpResponseTime | int | 在服务器中接收响应所花费的时间(如果适用)。 |
| HttpStatusCode | 字符串 | HTTP/HTTPS 网络会话的 HTTP 状态代码。 |
| HttpUserAgentOriginal | 字符串 | Http/HTTPS 网络会话的 HTTP 用户代理头。 |
| HttpVersion | 字符串 | HTTP/HTTPS 网络连接的 HTTP 请求版本。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| NetworkApplicationProtocol | 字符串 | 连接或会话使用的应用程序层协议。 |
| NetworkBytes | long | 双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkDirection | 字符串 | 连接或会话的方向:入站到组织或者从组织出站。 |
| NetworkDuration | int | 完成网络会话或连接的时间量(以毫秒为单位)。 |
| NetworkIcmpCode | int | 对于 ICMP 消息,该值是 ICMP 消息类型的数字值(RFC 2780 或 RFC 4443)。 |
| NetworkIcmpType | 字符串 | 对于 ICMP 消息,该值是 ICMP 消息类型的文本表示形式(RFC 2780 或 RFC 4443)。 |
| NetworkPackets | long | 双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkProtocol | 字符串 | 连接或会话使用的 IP 协议。 通常为 TCP、UDP 或 ICMP。 |
| NetworkRuleName | 字符串 | 确定 DeviceAction 所依据的规则的名称或 ID。 |
| NetworkRuleNumber | int | 匹配的规则编号。 |
| NetworkSessionId | 字符串 | 报告设备报告的会话标识符。 |
| SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager对于 Windows 代理,直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| SrcBytes | long | 从连接或会话的源发送到目标的字节数。 |
| SrcDvcDomain | 字符串 | 从中启动会话的设备域。 |
| SrcDvcFqdn | 字符串 | 创建日志的主机的完全限定域名。 |
| SrcDvcHostname | 字符串 | 源设备的设备名称。 |
| SrcDvcIpAddr | 字符串 | 不直接与网络数据包关联的设备的源 IP 地址(由提供程序收集,或显式计算)。 |
| SrcDvcMacAddr | 字符串 | 不直接与网络数据包关联的设备的源 MAC 地址。 |
| SrcDvcModelName | 字符串 | 源设备的模型。 |
| SrcDvcModelNumber | 字符串 | 源设备的型号。 |
| SrcDvcOs | 字符串 | 源设备的 OS。 |
| SrcDvcType | 字符串 | 源设备的类型。 |
| SrcGeoCity | 字符串 | 与源 IP 地址关联的城市。 |
| SrcGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude | real | 与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude | real | 与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion | 字符串 | 与源 IP 地址关联的国家/地区中的区域。 |
| SrcInterfaceGuid | 字符串 | 使用的网络接口的 GUID。 |
| SrcInterfaceName | 字符串 | 由源设备用来建立连接或会话的网络接口。 |
| SrcIpAddr | 字符串 | 从中发起了连接或会话的 IP 地址。 |
| SrcMacAddr | 字符串 | 从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcNatIpAddr | 字符串 | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的 IP 地址。 |
| SrcNatPortNumber | int | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的端口。 |
| SrcPackets | long | 从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 |
| SrcPortNumber | int | 从中发起了连接的 IP 端口。 可能与包含多个连接的会话无关。 |
| SrcResourceId | 字符串 | 生成消息的设备的资源 ID。 |
| SrcUserAadId | 字符串 | 会话源端用户的 Azure AD 帐户对象 ID。 |
| SrcUserDomain | 字符串 | 启动会话的帐户的域。 |
| SrcUserName | 字符串 | 与会话源关联的标识的用户名。 通常,这是在客户端上执行操作的用户。 |
| SrcUserSid | 字符串 | 与会话源关联的标识的用户 ID。 通常,这是在客户端上执行操作的用户。 |
| SrcUserUpn | 字符串 | 启动会话的帐户的 UPN。 |
| SrcZone | 字符串 | 源的网络区域,由报告设备定义。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| ThreatCategory | 字符串 | 安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的类别,与此网络会话相关联。 |
| ThreatId | 字符串 | 安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的 ID,与此网络会话相关联。 |
| ThreatName | 字符串 | 已识别的威胁或恶意软件的名称。 |
| TimeGenerated | datetime | 事件的发生时间,由报告源报告。 |
| 类型 | 字符串 | 表的名称 |
| UrlCategory | 字符串 | 定义的 URL 分组 (或可能仅基于 URL 中的域,) 与其 (相关,即成人、新闻、广告、寄存域等 ) 。 |
| UrlHostname | 字符串 | HTTP/HTTPS 网络会话的 HTTP 请求 URL 的域部分。 |
| UrlOriginal | 字符串 | HTTP/HTTPS 网络会话的 HTTP 请求 URL。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈