WindowsEvent
代理程式收集及傳送的 Windows 事件。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | CustomizedWindowsEventsFiltering、InternalWindowsEvent、SecurityInsights、WEFInternalUat、WEF_10x、WEF_10xDSRE、WinLog、WindowsEventForwarding |
| 基本記錄檔 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | Description |
|---|---|---|
| _BilledSize | real | 以位元組為單位的記錄大小 |
| 管道 | 字串 | 記錄事件的通道。 |
| 電腦 | 字串 | 發生事件之電腦的名稱。 |
| Correlation | 字串 | 取用者可用來將相關事件群組在一起的活動標識符。 |
| EventData | 動態 | 包含剖析為動態類型的事件數據。 如果剖析失敗,則此欄位將包含 null,且會填入 RawEventData 字段。 |
| EventID | int | 提供者用來識別事件的標識碼。 |
| EventLevel | int | 包含事件的嚴重性層級。 |
| EventLevelName | 字串 | 事件中所指定層級的轉譯訊息字串。 |
| EventOriginId | 字串 | 從 Azure 實例元數據服務取得的 VM 識別碼, (IMDS) 。 |
| EventRecordId | 字串 | 記錄檔時指派給事件的記錄編號。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| 關鍵字 | 字串 | 事件中定義的關鍵字位掩碼。 |
| ManagementGroupName | 字串 | 根據資源類型的其他資訊。 |
| OpCode | 字串 | opcode 元素是由 SystemPropertiesType 複雜類型所定義。 |
| 提供者 | 字串 | 系統屬性類型 - 識別記錄事件的提供者。 |
| RawEventData | 字串 | 剖析失敗時的原始事件 XML。 剖析成功時為 Null。 |
| _ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
| _SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
| SystemProcessId | int | 識別已產生事件的處理序。 |
| SystemThreadId | int | 識別已產生事件的執行緒。 |
| SystemUserId | 字串 | 負責事件之使用者的標識碼。 |
| 工作 | int | 事件中定義的工作。 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| TimeGenerated | Datetime | 在電腦上產生事件的時間戳。 |
| 類型 | 字串 | 資料表的名稱 |
| 版本 | int | 包含事件定義的版本號碼。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應