通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

AWSALBAccessLogs

此连接器允许将 AWS 弹性负载均衡器(ALB、NLB 和 GLB)日志引入 Microsoft Sentinel。 这些日志包含负载均衡器处理的请求的详细记录,包括客户端 IP、延迟、请求路径和状态代码。 这些日志可用于监视流量模式、调查异常并确保安全符合性。

数据表属性

Attribute 价值
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询 -

类型 Description
ActionsExecuted 字符串 处理请求时执行的作(例如转发、固定响应、重定向)。
Alb 字符串 应用程序负载均衡器的 ARN。
ALBType 字符串 请求的类型(例如 http 或 https)。
_BilledSize(账单大小) real 记录大小(字节)
ChosenCertArn 字符串 提供给客户端的证书的 ARN。
Classification 字符串 请求分类(例如成功或错误)。
ClassificationReason 字符串 请求以某种方式分类的原因。
ClientIp 字符串 客户端的 IP 地址。
ClientPort int 客户端的端口号。
ConnTraceId 字符串 唯一标识连接的连接跟踪 ID。
域名 字符串 客户端在 TLS 握手期间提供的 SNI 域。
ElbStatusCode int 从负载均衡器发送到客户端的状态代码。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LambdaErrorReason 字符串 失败的 Lambda 函数的原因代码(如果适用)。
MatchedRulePriority 字符串 与请求匹配的规则的优先级值。
接收字节数 long 从客户端接收的请求的大小(以字节为单位)。
RedirectUrl 字符串 如果采取了重定向作,则重定向目标的 URL。
RequestCreationTime 字符串 负载均衡器向目标生成请求时的时间戳。
RequestProcessingTime 字符串 负载均衡器从客户端接收请求所花费的总时间。
RequestRaw 字符串 来自客户端的完整请求行。
ResponseProcessingTime 字符串 负载均衡器向客户端发送响应所花费的总时间。
SentBytes long 发送到客户端的响应大小(以字节为单位)。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
SslCipher 字符串 用于 SSL 连接的 SSL 密码(如果有)。
SslProtocol 字符串 用于 SSL 连接的 SSL 协议(如果有)。
TargetGroupArn 字符串 处理请求的目标组的 ARN。
TargetIp 字符串 处理请求的目标的 IP 地址。
TargetPort int 处理请求的目标的端口号。
TargetPortList 字符串 处理请求的目标的 IP:端口对的列表。
TargetProcessingTime 字符串 目标处理请求所花费的总时间。
TargetStatusCode 字符串 从目标接收的状态代码。
TargetStatusCodeList 字符串 目标返回的状态代码列表。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 负载均衡器收到请求的时间。
TraceId 字符串 请求的跟踪标识符,可用于调试。
类型 字符串 表的名称
用户代理 (UserAgent) 字符串 客户端的用户代理字符串。
  • Last updated on