NetworkSessions
網路連線或會話,例如防火牆、Wire Data、NSG、Netflow、Proxy 系統和Web安全性網關所記錄的連線。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | No |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AdditionalFields | 動態 | 當架構相符項目中沒有個別的數據行時,可以將其他字段儲存在 JSON 包中。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
CloudAppId | 字串 | Proxy 識別之 HTTP 應用程式的目的地應用程式識別碼。 此值通常專屬於所使用的 Proxy。 |
CloudAppName | 字串 | Proxy 識別之 HTTP 應用程式的目的地應用程式名稱。 |
CloudAppOperation | 字串 | 使用者為 Proxy 識別的 HTTP 應用程式,在目的地應用程式情境下執行的作業。 此值通常專屬於所使用的 Proxy。 |
CloudAppRiskLevel | 字串 | 與 Proxy 所識別 HTTP 應用程式相關聯的風險等級。 此值通常專屬於所使用的 Proxy。 |
DstBytes | long | 從連線或工作階段目的地傳送至來源的位元組數目。 |
DstDomainHostname | 字串 | 目的地主機的網域。 |
DstDvcDomain | 字串 | 目的地裝置的網域。 |
DstDvcFqdn | 字串 | 建立記錄檔之主機的完整功能變數名稱。 |
DstDvcHostname | 字串 | 目的地裝置的裝置名稱。 |
DstDvcIpAddr | 字串 | 未與網路封包直接關聯的裝置目的地 IP 位址。 |
DstDvcMacAddr | 字串 | 未直接與網路封包相關聯之裝置的目的地 MAC 位址。 |
DstGeoCity | 字串 | 與目的地 IP 位址相關聯的城市。 |
DstGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
DstGeoLatitude | real | 與目的地 IP 位址相關聯的地理座標緯度。 |
DstGeoLongitude | real | 與目的地 IP 位址相關聯的地理座標經度 |
DstGeoRegion | 字串 | 與目的地IP位址相關聯的國家/地區。 |
DstInterfaceGuid | 字串 | 用於驗證要求的網路介面 GUID。 |
DstInterfaceName | 字串 | 目的地裝置用於連線或工作階段的網路介面。 |
DstIpAddr | 字串 | 連線或工作階段目的地的 IP 位址。 |
DstMacAddr | 字串 | 聯機或會話終止之網路介面的 MAC 位址。 |
DstNatIpAddr | 字串 | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與來源通訊的 IP 位址。 |
DstNatPortNumber | int | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與來源通訊的連接埠。 |
DstPackets | long | 從連線或工作階段目的地傳送至來源的封包數目。 封包的意思由報告裝置定義。 |
DstPortNumber | int | 目的地 IP 連接埠。 |
DstResourceId | 字串 | 目的地裝置的資源標識碼。 |
DstUserAadId | 字串 | 會話結尾之使用者的 Azure AD 帳戶對象識別碼。 |
DstUserDomain | 字串 | 會話目的地的帳戶網域或計算機名稱。 |
DstUserName | 字串 | 與工作階段目的地相關聯之身分識別的使用者名稱。 |
DstUserSid | 字串 | 與會話目的地相關聯的身分識別使用者標識碼。 一般而言,為用來驗證伺服器的身分識別。 |
DstUserUpn | 字串 | 與工作階段目的地相關聯之身分識別的 UPN。 |
DstZone | 字串 | 目的地的網路區域,如報告裝置所定義。 |
DvcAction | 字串 | 如果由中繼裝置 (如防火牆) 回報,則為裝置採取的動作。 |
DvcHostname | 字串 | 產生訊息之裝置的裝置名稱。 |
DvcInboundInterface | 字串 | 如果由中繼裝置 (如防火牆) 回報,則為用來連線到來源裝置的網路介面。 |
DvcIpAddr | 字串 | 產生記錄之裝置的IP位址。 |
DvcMacAddr | 字串 | 事件傳送來源之報告裝置網路介面的 MAC 位址。 |
DvcOutboundInterface | 字串 | 如果由中繼裝置 (如防火牆) 回報,則為用來連線到目的地裝置的網路介面。 |
EventCount | int | 彙總的事件數目,如適用。 |
EventEndTime | datetime | 事件結束的時間。 |
EventMessage | 字串 | 記錄中包含的一般訊息或描述。 |
EventOriginalUid | 字串 | 來自報告裝置的記錄識別碼。 |
EventProduct | 字串 | 產生事件的產品。 |
EventProductVersion | 字串 | 產生事件的產品版本。 |
EventReportUrl | 字串 | 報表裝置所建立之完整報表的連結。 |
EventResourceId | 字串 | 產生訊息之裝置的資源識別碼。 |
EventResult | 字串 | 針對活動報告的結果。 如果不適用,則為空白值。 |
EventResultDetails | 字串 | EventResult 中報告的結果原因 |
EventSchemaVersion | 字串 | Azure Sentinel 架構版本。 |
EventSeverity | 字串 | 如果報告的活動有安全性影響,表示影響嚴重性。 |
EventStartTime | datetime | 事件所指出的時間。 |
EventSubType | 字串 | 如果適用,則為類型的其他描述。 |
EventTimeIngested | datetime | 事件擷取至 Azure Sentinel 的時間。 Azure Sentinel 將會新增。 |
EventType | 字串 | 正在收集的事件類型。 |
EventUid | 字串 | Sentinel 用來標記數據列的唯一標識符。 |
EventVendor | 字串 | 產生事件的產品廠商。 |
FileExtension | 字串 | 透過通訊協定 (如 FTP 和 HTTP) 網路連線傳輸的檔案類型。 |
FileHashMd5 | 字串 | 透過通訊協定網路連線傳輸之檔案的 MD5 雜湊值。 |
FileHashSha1 | 字串 | 透過通訊協定網路連線傳輸之檔案的 SHA1 雜湊值。 |
FileHashSha256 | 字串 | 透過通訊協定網路連線傳輸之檔案的 SHA256 雜湊值。 |
FileHashSha512 | 字串 | 透過通訊協定網路連線傳輸之檔案的 SHA512 雜湊值。 |
FileMimeType | 字串 | 透過網路連線傳輸之檔案的 MIME 類型,適用於 FTP 和 HTTP 等通訊協定。 |
FileName | 字串 | 透過網路連線傳輸的檔名,例如 FTP 和 HTTP,可提供檔名資訊。 |
FilePath | 字串 | 檔案的完整路徑,包括檔名。 |
FileSize | int | 透過通訊協定網路連線傳輸之檔案的檔案大小,以位元組為單位。 |
HttpContentType | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 回應內容類型標頭。 |
HttpReferrerOriginal | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 參考者標頭。 |
HttpRequestMethod | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 方法。 |
HttpRequestTime | int | 將要求傳送給伺服器所花的時間,如適用。 |
HttpRequestXff | 字串 | HTTP/HTTPS 網路工作階段的 HTTP X-Forwarded-For 標頭。 |
HttpResponseTime | int | 在伺服器中收到回應所花的時間,如適用。 |
HttpStatusCode | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 狀態碼。 |
HttpUserAgentOriginal | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 使用者代理程式標頭。 |
HttpVersion | 字串 | HTTP/HTTPS 網路連線的 HTTP 要求版本。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
NetworkApplicationProtocol | 字串 | 連線或工作階段使用的應用程式層通訊協定。 |
NetworkBytes | long | 雙向傳送的位元組數目。 如果同時有 BytesReceived 和 BytesSent,BytesTotal 應等於兩者總和。 |
NetworkDirection | 字串 | 連線或工作階段進入或離開組織的方向。 |
NetworkDuration | int | 完成網路會話或連線的時間量,以毫秒為單位。 |
NetworkIcmpCode | int | 若為 ICMP 訊息,則為 ICMP 訊息類型數值 (RFC 2780 或 RFC 4443)。 |
NetworkIcmpType | 字串 | 若為 ICMP 訊息,則為 ICMP 訊息類型文字表示法 (RFC 2780 或 RFC 4443)。 |
NetworkPackets | long | 雙向傳送的封包數目。 如果同時有 PacketsReceived 和 PacketsSent,BytesTotal 應等於兩者總和。 |
NetworkProtocol | 字串 | 連線或工作階段使用的 IP 通訊協定。 一般而言,TCP、UDP 或 ICMP。 |
NetworkRuleName | 字串 | 決定 DeviceAction 的規則名稱或識別碼。 |
NetworkRuleNumber | int | 相符的規則編號。 |
NetworkSessionId | 字串 | 報告裝置回報的工作階段識別碼。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
SrcBytes | long | 從連線或工作階段來源傳送至目的地的位元組數目。 |
SrcDvcDomain | 字串 | 起始會話之裝置的網域。 |
SrcDvcFqdn | 字串 | 建立記錄檔之主機的完整功能變數名稱。 |
SrcDvcHostname | 字串 | 來源裝置的裝置名稱。 |
SrcDvcIpAddr | 字串 | 未直接與網路封包相關聯 (提供者收集或明確計算) 之裝置的來源 IP 位址。 |
SrcDvcMacAddr | 字串 | 未直接與網路封包相關聯之裝置的來源 MAC 位址。 |
SrcDvcModelName | 字串 | 來源裝置的型號。 |
SrcDvcModelNumber | 字串 | 來源裝置的型號。 |
SrcDvcOs | 字串 | 來源裝置的 OS。 |
SrcDvcType | 字串 | 來源裝置的類型。 |
SrcGeoCity | 字串 | 與來源 IP 位址相關聯的城市。 |
SrcGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
SrcGeoLatitude | real | 與來源 IP 位址相關聯的地理座標緯度。 |
SrcGeoLongitude | real | 與來源 IP 位址相關聯的地理座標經度。 |
SrcGeoRegion | 字串 | 與來源 IP 位址相關聯的國家/地區內的區域。 |
SrcInterfaceGuid | 字串 | 使用的網路介面 GUID。 |
SrcInterfaceName | 字串 | 來源裝置用於連線或工作階段的網路介面。 |
SrcIpAddr | 字串 | 連線或工作階段的來源 IP 位址。 |
SrcMacAddr | 字串 | 連線或工作階段來源網路介面的 MAC 位址。 |
SrcNatIpAddr | 字串 | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與目的地通訊的 IP 位址。 |
SrcNatPortNumber | int | 如果由中繼 NAT 裝置 (如防火牆) 回報,則為 NAT 裝置用來與目的地通訊的連接埠。 |
SrcPackets | long | 從連線或工作階段來源傳送至目的地的封包數目。 封包的意思由報告裝置定義。 |
SrcPortNumber | int | 連線的來源 IP 連接埠。 可能與包含多個連線的工作階段無關。 |
SrcResourceId | 字串 | 產生訊息之裝置的資源識別碼。 |
SrcUserAadId | 字串 | 會話來源端使用者的 Azure AD 帳戶物件識別碼。 |
SrcUserDomain | 字串 | 起始會話之帳戶的網域。 |
SrcUserName | 字串 | 與工作階段來源相關聯之身分識別的使用者名稱。 一般而言,使用者在用戶端上執行動作。 |
SrcUserSid | 字串 | 與工作階段來源相關聯之身分識別的使用者識別碼。 一般而言,使用者在用戶端上執行動作。 |
SrcUserUpn | 字串 | 起始會話之帳戶的UPN。 |
SrcZone | 字串 | 來源的網路區域,如報告裝置所定義。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatCategory | 字串 | 安全性系統識別的威脅 (如 IPS 的 Web 安全性閘道) 類別,並與此網路工作階段相關聯。 |
ThreatId | 字串 | 安全性系統識別的威脅 (如 IPS 的 Web 安全性閘道) 識別碼,並與此網路工作階段相關聯。 |
ThreatName | 字串 | 識別的威脅或惡意代碼名稱。 |
TimeGenerated | Datetime | 事件發生的時間,如報告來源所報告。 |
類型 | 字串 | 資料表的名稱 |
UrlCategory | 字串 | URL 的已定義群組 (或可能只是根據 URL 中的網域,) 與其 (相關,也就是成人、新聞、廣告、停駐網域等 ) 。 |
UrlHostname | 字串 | HTTP/HTTPS 網路工作階段之 HTTP 要求 URL 的網域部分。 |
UrlOriginal | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 要求 URL。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應