你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此连接器允许将 AWS 弹性负载均衡器(ALB、NLB 和 GLB)日志引入 Microsoft Sentinel。 这些日志包含负载均衡器处理的请求的详细记录,包括客户端 IP、延迟、请求路径和状态代码。 这些日志可用于监视流量模式、调查异常并确保安全符合性。
数据表属性
| Attribute | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | Description |
|---|---|---|
| ALPNBEProtocol | 字符串 | 在后端协商的应用程序层协议。 |
| ALPNClientPrefList | 字符串 | 在 ALPN 期间客户端首选的应用程序协议列表。 |
| ALPNFEProtocol | 字符串 | 在前端(例如 HTTP/1.1、h2)上协商的应用程序层协议。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| ChosenCertArn | 字符串 | 握手期间选择的 TLS 证书的 ARN。 |
| ChosenCertSerial | 字符串 | 连接中使用的 TLS 证书的序列号。 |
| ClientIPPort | 字符串 | 发起请求的客户端的 IP 地址和端口。 |
| ConnectionTime | 字符串 | 连接持续时间(以毫秒为单位)。 |
| 域名 | 字符串 | 客户端通过 SNI 请求的域名(服务器名称指示)。 |
| IncomingTLSAlert | 字符串 | 任何传入 TLS 警报消息的详细信息。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 侦听器 | 字符串 | 用于连接(协议和端口)的侦听器配置。 |
| Nlb | 字符串 | 网络负载均衡器的标识符或名称。 |
| NLBType | 字符串 | 网络负载均衡器的类型(例如“gateway”、“application”)。 |
| 接收字节数 | 字符串 | 从客户端接收的字节数。 |
| SentBytes | 字符串 | 发送到客户端的字节数。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| TargetIPPort | 字符串 | 接收请求的目标的 IP 地址和端口。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 生成日志条目时的时间戳。 |
| TLSCipher | 字符串 | 用于 TLS 连接的密码套件。 |
| TLSConnectionCreationTime | 字符串 | 建立完整的 TLS 连接所需的时间,包括握手。 |
| TlsHandshakeTime | 字符串 | 完成 TLS 握手所需的时间(以毫秒为单位)。 |
| TLSNamedGroup | 字符串 | 握手中使用的椭圆曲线或 Diffie-Hellman 组。 |
| TLSProtocolVersion | 字符串 | 使用的 TLS 协议版本(例如 TLS 1.2、TLS 1.3)。 |
| 类型 | 字符串 | 表的名称 |
| 版本 | 字符串 | NLB 日志格式的版本。 |