你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
由代理收集和发送的 Windows 事件。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | CustomizedWindowsEventsFiltering、InternalWindowsEvent、SecurityInsights、WEFInternalUat、WEF_10x、WEF_10xDSRE、WinLog、WindowsEventForwarding |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| _BilledSize | 实数 | 记录大小(字节) |
| Channel | 字符串 | 事件被记录到的通道。 |
| 计算机 | 字符串 | 发生该事件的计算机的名称。 |
| Correlation | 字符串 | 使用者可用于将相关事件组合在一起的活动标识符。 |
| 事件数据 | 动态 | 包含解析为动态类型的事件数据。 如果解析失败,则此字段将包含空值,并填充 RawEventData 字段。 |
| EventID | 整数 (int) | 提供程序用于标识事件的标识符。 |
| 事件级别 | 整数 (int) | 包含事件的严重性级别。 |
| 事件等级名称 | 字符串 | 事件中指定级别的呈现消息字符串。 |
| 事件来源ID | 字符串 | 从 Azure 实例元数据服务 (IMDS) 获取的 VM ID。 |
| EventRecordId | 字符串 | 记录事件时分配给该事件的记录号。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 关键字 | 字符串 | 事件中定义的关键字的位掩码。 |
| 管理组名称 | 字符串 | 基于资源类型的附加信息。 |
| 操作码 | 字符串 | opcode 元素由 SystemPropertiesType 复杂类型定义。 |
| 提供程序 | 字符串 | 系统属性类型 - 标明记录事件的提供程序。 |
| RawEventData | 字符串 | 解析失败时的原始事件 XML。 解析成功时为 null。 |
| _ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
| _SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
| 系统进程ID | 整数 | 标识生成事件的进程。 |
| 系统线程ID | 整数 | 标识生成事件的线程。 |
| SystemUserId | 字符串 | 负责该事件的用户的 ID。 |
| 任务 | int | 事件中定义的任务。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 事件在计算机上生成时的时间戳。 |
| 类型 | 字符串 | 表的名称 |
| Version | 整数 | 包含事件定义的版本号。 |