NetworkSessions
網路連線或會話,例如防火牆、Wire Data、NSG、Netflow、Proxy 系統和Web安全性網關所記錄的連線。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄檔 | No |
| 擷取時間轉換 | No |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | Description |
|---|---|---|
| AdditionalFields | 動態 | 當架構相符項目中沒有個別的數據行時,可以將其他字段儲存在 JSON 包中。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CloudAppId | 字串 | Proxy 識別之 HTTP 應用程式的目的地應用程式識別碼。 此值通常專屬於所使用的 Proxy。 |
| CloudAppName | 字串 | Proxy 識別之 HTTP 應用程式的目的地應用程式名稱。 |
| CloudAppOperation | 字串 | 使用者為 Proxy 識別的 HTTP 應用程式,在目的地應用程式情境下執行的作業。 此值通常專屬於所使用的 Proxy。 |
| CloudAppRiskLevel | 字串 | 與 Proxy 所識別 HTTP 應用程式相關聯的風險等級。 此值通常專屬於所使用的 Proxy。 |
| DstBytes | long | 從連線或工作階段目的地傳送至來源的位元組數目。 |
| DstDomainHostname | 字串 | 目的地主機的網域。 |
| DstDvcDomain | 字串 | 目的地裝置的網域。 |
| DstDvcFqdn | 字串 | 建立記錄檔之主機的完整功能變數名稱。 |
| DstDvcHostname | 字串 | 目的地裝置的裝置名稱。 |
| DstDvcIpAddr | 字串 | 未與網路封包直接關聯的裝置目的地 IP 位址。 |
| DstDvcMacAddr | 字串 | 未直接與網路封包相關聯之裝置的目的地 MAC 位址。 |
| DstGeoCity | 字串 | 與目的地 IP 位址相關聯的城市。 |
| DstGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
| DstGeoLatitude | real | 與目的地 IP 位址相關聯的地理座標緯度。 |
| DstGeoLongitude | real | 與目的地 IP 位址相關聯的地理座標經度 |
| DstGeoRegion | 字串 | 與目的地IP位址相關聯的國家/地區。 |
| DstInterfaceGuid | 字串 | 用於驗證要求的網路介面 GUID。 |
| DstInterfaceName | 字串 | 目的地裝置用於連線或工作階段的網路介面。 |
| DstIpAddr | 字串 | 連線或工作階段目的地的 IP 位址。 |
| DstMacAddr | 字串 | 聯機或會話終止之網路介面的 MAC 位址。 |
| DstNatIpAddr | 字串 | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與來源通訊的 IP 位址。 |
| DstNatPortNumber | int | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與來源通訊的連接埠。 |
| DstPackets | long | 從連線或工作階段目的地傳送至來源的封包數目。 封包的意思由報告裝置定義。 |
| DstPortNumber | int | 目的地 IP 連接埠。 |
| DstResourceId | 字串 | 目的地裝置的資源標識碼。 |
| DstUserAadId | 字串 | 會話結尾之使用者的 Azure AD 帳戶對象識別碼。 |
| DstUserDomain | 字串 | 會話目的地的帳戶網域或計算機名稱。 |
| DstUserName | 字串 | 與工作階段目的地相關聯之身分識別的使用者名稱。 |
| DstUserSid | 字串 | 與會話目的地相關聯的身分識別使用者標識碼。 一般而言,為用來驗證伺服器的身分識別。 |
| DstUserUpn | 字串 | 與工作階段目的地相關聯之身分識別的 UPN。 |
| DstZone | 字串 | 目的地的網路區域,如報告裝置所定義。 |
| DvcAction | 字串 | 如果由中繼裝置 (如防火牆) 回報,則為裝置採取的動作。 |
| DvcHostname | 字串 | 產生訊息之裝置的裝置名稱。 |
| DvcInboundInterface | 字串 | 如果由中繼裝置 (如防火牆) 回報,則為用來連線到來源裝置的網路介面。 |
| DvcIpAddr | 字串 | 產生記錄之裝置的IP位址。 |
| DvcMacAddr | 字串 | 事件傳送來源之報告裝置網路介面的 MAC 位址。 |
| DvcOutboundInterface | 字串 | 如果由中繼裝置 (如防火牆) 回報,則為用來連線到目的地裝置的網路介面。 |
| EventCount | int | 彙總的事件數目,如適用。 |
| EventEndTime | datetime | 事件結束的時間。 |
| EventMessage | 字串 | 記錄中包含的一般訊息或描述。 |
| EventOriginalUid | 字串 | 來自報告裝置的記錄識別碼。 |
| EventProduct | 字串 | 產生事件的產品。 |
| EventProductVersion | 字串 | 產生事件的產品版本。 |
| EventReportUrl | 字串 | 報表裝置所建立之完整報表的連結。 |
| EventResourceId | 字串 | 產生訊息之裝置的資源識別碼。 |
| EventResult | 字串 | 針對活動報告的結果。 如果不適用,則為空白值。 |
| EventResultDetails | 字串 | EventResult 中報告的結果原因 |
| EventSchemaVersion | 字串 | Azure Sentinel 架構版本。 |
| EventSeverity | 字串 | 如果報告的活動有安全性影響,表示影響嚴重性。 |
| EventStartTime | datetime | 事件所指出的時間。 |
| EventSubType | 字串 | 如果適用,則為類型的其他描述。 |
| EventTimeIngested | datetime | 事件擷取至 Azure Sentinel 的時間。 Azure Sentinel 將會新增。 |
| EventType | 字串 | 正在收集的事件類型。 |
| EventUid | 字串 | Sentinel 用來標記數據列的唯一標識符。 |
| EventVendor | 字串 | 產生事件的產品廠商。 |
| FileExtension | 字串 | 透過通訊協定 (如 FTP 和 HTTP) 網路連線傳輸的檔案類型。 |
| FileHashMd5 | 字串 | 透過通訊協定網路連線傳輸之檔案的 MD5 雜湊值。 |
| FileHashSha1 | 字串 | 透過通訊協定網路連線傳輸之檔案的 SHA1 雜湊值。 |
| FileHashSha256 | 字串 | 透過通訊協定網路連線傳輸之檔案的 SHA256 雜湊值。 |
| FileHashSha512 | 字串 | 透過通訊協定網路連線傳輸之檔案的 SHA512 雜湊值。 |
| FileMimeType | 字串 | 透過網路連線傳輸之檔案的 MIME 類型,適用於 FTP 和 HTTP 等通訊協定。 |
| FileName | 字串 | 透過網路連線傳輸的檔名,例如 FTP 和 HTTP,可提供檔名資訊。 |
| FilePath | 字串 | 檔案的完整路徑,包括檔名。 |
| FileSize | int | 透過通訊協定網路連線傳輸之檔案的檔案大小,以位元組為單位。 |
| HttpContentType | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 回應內容類型標頭。 |
| HttpReferrerOriginal | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 參考者標頭。 |
| HttpRequestMethod | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 方法。 |
| HttpRequestTime | int | 將要求傳送給伺服器所花的時間,如適用。 |
| HttpRequestXff | 字串 | HTTP/HTTPS 網路工作階段的 HTTP X-Forwarded-For 標頭。 |
| HttpResponseTime | int | 在伺服器中收到回應所花的時間,如適用。 |
| HttpStatusCode | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 狀態碼。 |
| HttpUserAgentOriginal | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 使用者代理程式標頭。 |
| HttpVersion | 字串 | HTTP/HTTPS 網路連線的 HTTP 要求版本。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| NetworkApplicationProtocol | 字串 | 連線或工作階段使用的應用程式層通訊協定。 |
| NetworkBytes | long | 雙向傳送的位元組數目。 如果同時有 BytesReceived 和 BytesSent,BytesTotal 應等於兩者總和。 |
| NetworkDirection | 字串 | 連線或工作階段進入或離開組織的方向。 |
| NetworkDuration | int | 完成網路會話或連線的時間量,以毫秒為單位。 |
| NetworkIcmpCode | int | 若為 ICMP 訊息,則為 ICMP 訊息類型數值 (RFC 2780 或 RFC 4443)。 |
| NetworkIcmpType | 字串 | 若為 ICMP 訊息,則為 ICMP 訊息類型文字表示法 (RFC 2780 或 RFC 4443)。 |
| NetworkPackets | long | 雙向傳送的封包數目。 如果同時有 PacketsReceived 和 PacketsSent,BytesTotal 應等於兩者總和。 |
| NetworkProtocol | 字串 | 連線或工作階段使用的 IP 通訊協定。 一般而言,TCP、UDP 或 ICMP。 |
| NetworkRuleName | 字串 | 決定 DeviceAction 的規則名稱或識別碼。 |
| NetworkRuleNumber | int | 相符的規則編號。 |
| NetworkSessionId | 字串 | 報告裝置回報的工作階段識別碼。 |
| SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| SrcBytes | long | 從連線或工作階段來源傳送至目的地的位元組數目。 |
| SrcDvcDomain | 字串 | 起始會話之裝置的網域。 |
| SrcDvcFqdn | 字串 | 建立記錄檔之主機的完整功能變數名稱。 |
| SrcDvcHostname | 字串 | 來源裝置的裝置名稱。 |
| SrcDvcIpAddr | 字串 | 未直接與網路封包相關聯 (提供者收集或明確計算) 之裝置的來源 IP 位址。 |
| SrcDvcMacAddr | 字串 | 未直接與網路封包相關聯之裝置的來源 MAC 位址。 |
| SrcDvcModelName | 字串 | 來源裝置的型號。 |
| SrcDvcModelNumber | 字串 | 來源裝置的型號。 |
| SrcDvcOs | 字串 | 來源裝置的 OS。 |
| SrcDvcType | 字串 | 來源裝置的類型。 |
| SrcGeoCity | 字串 | 與來源 IP 位址相關聯的城市。 |
| SrcGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
| SrcGeoLatitude | real | 與來源 IP 位址相關聯的地理座標緯度。 |
| SrcGeoLongitude | real | 與來源 IP 位址相關聯的地理座標經度。 |
| SrcGeoRegion | 字串 | 與來源 IP 位址相關聯的國家/地區內的區域。 |
| SrcInterfaceGuid | 字串 | 使用的網路介面 GUID。 |
| SrcInterfaceName | 字串 | 來源裝置用於連線或工作階段的網路介面。 |
| SrcIpAddr | 字串 | 連線或工作階段的來源 IP 位址。 |
| SrcMacAddr | 字串 | 連線或工作階段來源網路介面的 MAC 位址。 |
| SrcNatIpAddr | 字串 | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與目的地通訊的 IP 位址。 |
| SrcNatPortNumber | int | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與目的地通訊的連接埠。 |
| SrcPackets | long | 從連線或工作階段來源傳送至目的地的封包數目。 封包的意思由報告裝置定義。 |
| SrcPortNumber | int | 連線的來源 IP 連接埠。 可能與包含多個連線的工作階段無關。 |
| SrcResourceId | 字串 | 產生訊息之裝置的資源識別碼。 |
| SrcUserAadId | 字串 | 會話來源端使用者的 Azure AD 帳戶物件識別碼。 |
| SrcUserDomain | 字串 | 起始會話之帳戶的網域。 |
| SrcUserName | 字串 | 與工作階段來源相關聯之身分識別的使用者名稱。 一般而言,使用者在用戶端上執行動作。 |
| SrcUserSid | 字串 | 與工作階段來源相關聯之身分識別的使用者識別碼。 一般而言,使用者在用戶端上執行動作。 |
| SrcUserUpn | 字串 | 起始會話之帳戶的UPN。 |
| SrcZone | 字串 | 來源的網路區域,如報告裝置所定義。 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| ThreatCategory | 字串 | 安全性系統識別的威脅 (如 IPS 的 Web 安全性閘道) 類別,並與此網路工作階段相關聯。 |
| ThreatId | 字串 | 安全性系統識別的威脅 (如 IPS 的 Web 安全性閘道) 識別碼,並與此網路工作階段相關聯。 |
| ThreatName | 字串 | 識別的威脅或惡意代碼名稱。 |
| TimeGenerated | Datetime | 事件發生的時間,如報告來源所報告。 |
| 類型 | 字串 | 資料表的名稱 |
| UrlCategory | 字串 | URL 的已定義群組 (或可能只是根據 URL 中的網域,) 與其 (相關,也就是成人、新聞、廣告、停駐網域等 ) 。 |
| UrlHostname | 字串 | HTTP/HTTPS 網路工作階段之 HTTP 要求 URL 的網域部分。 |
| UrlOriginal | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 要求 URL。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應