| AADTenantID |
字串 |
訂用帳戶 (在其中建立、重新命名、修改或刪除受監視實體) 的 AAD 租用戶識別碼。 |
| AzureResourceId |
字串 |
被監視的實體所屬資源的 Azure 資源識別碼已經被建立、重新命名、修改或刪除。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| ChangeType |
字串 |
實體上發生的變更類型。 對於 'File' 實體,必須是 'Created'、'Modified'、'Renamed' 或 'Deleted'。 對於 'Registry' 實體,必須是 'RegistryKeyCreated'、'RegistryKeyDeleted'、'RegistryValueSet'、'RegistryValueDeleted'、'RegistryKeyRenamed'。 |
| CloudIdentifier |
字串 |
資源的雲端標識碼。 |
| 雲端服務提供者 |
字串 |
資源的雲端提供者。 |
| 雲資源類型 |
字串 |
雲端資源的類型。 |
| 電腦 |
字串 |
建立、重新命名、修改或刪除受監視實體的計算機名稱。 |
| FileMd5 |
字串 |
與「檔案」受監視的實體類型相關。 保存已修改、建立或刪除之檔案的 MD5。 |
| 檔案名稱 |
字串 |
與「檔案」受監視的實體類型相關。 保存已建立、重新命名、修改或刪除的檔名。 |
| FilePath |
字串 |
與「檔案」受監視的實體類型相關。 保存已建立、重新命名、修改或刪除的檔案路徑。 |
| FileSha1 |
字串 |
與「檔案」受監視的實體類型相關。 保留修改、建立或刪除之檔案的SHA1。 |
| FileSha256 |
字串 |
與「檔案」受監視的實體類型相關。 保存所修改、建立或刪除檔案的 SHA256。 |
| 檔案大小 |
long |
與「檔案」受監視的實體類型相關。 保留已建立、重新命名、修改或刪除的檔案目前大小(以位元組為單位)。 |
| FileType |
字串 |
與「檔案」受監視的實體類型相關。 保存已建立、重新命名、修改或刪除的文件類型。 可能值的範例:Zip、PDF、Xar 等。 |
| InitiatingProcessAccountDomainName |
字串 |
保留導致受監視實體事件之起始程序的帳戶網域名稱。 |
| 啟動程序帳戶名稱 |
字串 |
保留造成受監視實體事件之起始程式的帳戶名稱。 |
| InitiatingProcessAccountSid |
字串 |
保留導致受監視實體事件的起始程序帳戶 SID。 |
| InitiatingProcessCreationTime |
日期時間 |
儲存導致受監視實體事件的啟動流程的建立時間。 |
| InitiatingProcessFirstSeen |
日期時間 |
保留導致受監視實體事件的起始處理序第一次看到時間。 |
| InitiatingProcessId |
long |
保留導致受監視實體事件之起始進程的進程標識碼。 |
| InitiatingProcessImageFileName |
字串 |
保留導致受監視實體事件之起始進程的映像檔名稱。 |
| InitiatingProcessImageFilePath |
字串 |
保留導致受監視實體事件之起始進程的映像檔路徑。 |
| InitiatingProcessImageFileType |
字串 |
保留導致受監視實體事件之起始進程的映像檔類型。 |
| InitiatingProcessName |
字串 |
保留導致受監視實體事件之起始進程的名稱。 |
| InitiatingProcessSessionId |
long |
保留導致受監視實體事件之起始程式的會話標識碼。 |
| InitiatingProcessSource |
字串 |
保留導致受監視實體事件之起始程式的來源。 |
| InitProcImageCreationTimeUtc |
日期時間 |
保留導致受監視實體事件的起始處理序映像的映像建立時間。 |
| InitProcImageFileSizeInBytes |
long |
保留導致受監視實體事件之起始進程的圖像檔案大小(以位元組為單位)。 |
| InitProcImageLastAccessTimeUtc |
日期時間 |
保留導致受監視實體事件的起始處理序的映像上次存取時間。 |
| InitProcImageLastWriteTimeUtc |
日期時間 |
保留導致受監視實體事件的起始處理序的映像上次寫入時間。 |
| InitProcImageLsHash |
字串 |
保留導致受監視實體事件的起始處理序映像的映像 LS 雜湊。 |
| InitProcImageMd5 |
字串 |
保留導致受監視實體事件的起始處理序映像的映像 MD5。 |
| InitProcImagePeTimestampUtc |
日期時間 |
保留導致受監視實體事件的起始處理序映像的映像 PE 時間。 |
| InitProcImageSha1 |
字串 |
保留導致受監視實體事件的起始處理序映像的映像 SHA 1。 |
| InitProcImageSha256 |
字串 |
保留導致受監視實體事件的起始處理序映像的映像 SHA 256。 |
| InitProcVersionInfoCompanyName |
字串 |
保留造成受監視實體事件的起始處理序的版本資訊公司名稱。 |
| InitProcVersionInfoFileDescription |
字串 |
保存造成受監視實體事件之起始進程的版本資訊檔案描述。 |
| InitProcVersionInfoInternalFileName |
字串 |
保留造成受監視實體事件的起始處理序的版本資訊內部檔案名稱。 |
| InitProcVersionInfoOriginalFileName |
字串 |
保留造成受監視實體事件的起始處理序的版本資訊來源檔案名稱。 |
| InitProcVersionInfoProductName |
字串 |
保留造成受監視實體事件的起始處理序的版本資訊產品名稱。 |
| InitProcVersionInfoProductVersion |
字串 |
保留造成受監視實體事件的起始處理序的版本資訊產品版本。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| MonitoredEntityType |
字串 |
已建立、重新命名、修改或刪除之受監視實體的類型。 可以是「檔案」或「登錄」。 |
| NewValueData |
字串 |
與「登錄」受監視的實體類型相關。 保存新的登錄值資料。 |
| NewValueName |
字串 |
與「登錄」受監視的實體類型相關。 保留新的登錄值名稱。 |
| NewValueType |
字串 |
與「登錄」受監視的實體類型相關。 保留新的登錄值類型。 |
| OldValueData |
字串 |
與「登錄」受監視的實體類型相關。 保留先前的登錄值數據。 |
| OldValueFullRegistryKey |
字串 |
與「登錄」受監視的實體類型相關。 保留先前的完整登錄機碼。 |
| OldValueName |
字串 |
與「登錄」受監視的實體類型相關。 保留先前的登錄值名稱。 |
| OldValueType |
字串 |
與「登錄」受監視的實體類型相關。 保留先前的登錄值類型。 |
| 原始檔案名稱 |
字串 |
與「檔案」受監視的實體類型和「重新命名」變更類型相關。 在重新命名發生之前,保留已重新命名的檔案的原始名稱。 |
| OriginalFilePath |
字串 |
與「檔案」受監視的實體類型和「重新命名」變更類型相關。 在重新命名發生之前,保留已重新命名之檔案的原始路徑。 |
| RegistryHive |
字串 |
與「登錄」受監視的實體類型相關。 保留作業系統和應用程式的群組組態設定。 |
| 登錄鍵 |
字串 |
與「登錄」受監視的實體類型相關。 保存已建立之登錄的完整登錄機碼,或重新命名之登錄的新登錄機碼。 |
| RequestAccountDomain |
字串 |
與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶網域。 |
| 請求帳戶名稱 |
字串 |
與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶名稱。 |
| RequestAccountSid |
字串 |
與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶 SID。 |
| RequestSource |
字串 |
與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶來源。 例如 Local/SMB/NFS。 |
| 請求來源IP |
字串 |
與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的來源IP。 對於遠端檔案,則是要求的來源 IP。 |
| RequestSourcePort |
字串 |
與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的來源埠。 針對遠端檔案,要求的來源連接埠。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager,不論是直接連線或使用 Operations Manager,適用於所有 Linux 代理程式的 Linux,或適用於 Azure 診斷的 Azure。 |
| 租戶識別碼 |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
建立、重新命名、修改或刪除受監視實體的時間 (UTC)。 |
| 類型 |
字串 |
資料表的名稱 |