Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Eventi di Windows raccolti e inviati dall'agente.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/securityinsights |
| Categorie | Sicurezza |
| Soluzioni | CustomizedWindowsEventsFiltering, InternalWindowsEvent, SecurityInsights, WEFInternalUat, WEF_10x, WEF_10xDSRE, WinLog, WindowsEventForwarding |
| Log di base | No |
| Trasformazione al momento dell'inserimento | Sì |
| Esempi di query | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| _BilledSize | real | Dimensioni del record in byte |
| Canale | string | Canale a cui è stato registrato l'evento. |
| Computer | string | nome del computer in cui si è verificato l'evento. |
| Correlazione | string | Identificatori di attività che gli utenti possono usare per raggruppare gli eventi correlati. |
| Dati dell'Evento | dinamico | Contiene i dati dell'evento analizzati nel tipo dinamico. Se l'analisi non riesce, questo campo conterrà null e il campo RawEventData verrà popolato. |
| EventID | INT | Identificatore utilizzato dal provider per identificare l'evento. |
| EventLevel | INT | Contiene il livello di gravità dell'evento. |
| EventLevelName | string | La stringa del messaggio generata per il livello specificato nell'evento. |
| EventOriginId | string | ID VM ottenuto dal servizio di metadati dell'istanza Azure (IMDS). |
| EventRecordId | string | Numero di record assegnato all'evento al momento della registrazione. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| Parole chiave | string | Una maschera di bit delle parole chiave definite nell'evento. |
| ManagementGroupName | string | Informazioni aggiuntive basate sul tipo di risorsa. |
| Opcode | string | L'elemento opcode è definito dal tipo complesso SystemPropertiesType. |
| Fornitore | string | Tipo proprietà di sistema: identifica il provider che ha registrato l'evento. |
| RawEventData | string | L'XML originale dell'evento quando l'analisi non riesce. È Null quando l'analisi ha esito positivo. |
| _ResourceId | string | Identificatore univoco della risorsa a cui è associato il record. |
| _SubscriptionId | string | Identificatore univoco della sottoscrizione a cui è associato il record |
| SystemProcessId | INT | Identifica il processo che ha generato l'evento. |
| SystemThreadId | INT | Identifica il thread che ha generato l'evento. |
| SystemUserId | string | ID dell'utente responsabile dell'evento. |
| Attività | INT | Attività definita nell'evento. |
| TenantId | string | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Timestamp quando l'evento è stato generato nel computer. |
| Tipo | string | Nome della tabella |
| Versione | INT | Contiene il numero di versione della definizione dell'evento. |