你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Sentinel 连接器引入的 VPC 流日志,让你能够捕获进出 AWS VPC 网络接口的 IP 流量。
数据表属性
| Attribute | Value |
|---|---|
| 资源类型 | - |
| Categories | 安全性 |
| Solutions | SecurityInsights |
| 基本日志 | Yes |
| 引入时转换 | Yes |
| 示例查询 | Yes |
Columns
| Column | 类型 | Description |
|---|---|---|
| AccountId | 字符串 | 记录流量的源网络接口所有者的 AWS 帐户 ID。 如果网络接口是由 AWS 服务创建的,例如在创建 VPC 终结点或网络负载均衡器时,则此字段的记录可能显示为未知。 |
| Action | 字符串 | 与流量相关联的操作。 |
| AzId | 字符串 | 可用性区域 ID。 |
| _BilledSize | real | 记录大小(字节) |
| Bytes | long | 在流期间传输的字节数。 |
| DstAddr | 字符串 | 传出流量的目标地址。 |
| DstPort | int | 流量的目标端口。 |
| EcsClusterArn | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsClusterName | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsContainerId | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsContainerInstanceArn | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsContainerInstanceId | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsSecondContainerId | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsServiceName | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsTaskArn | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsTaskDefinitionArn | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| EcsTaskId | 字符串 | Optional. 为日志条目提供唯一标识符后,日志系统可在单次查询结果中移除具有相同时间戳和 insertId 的重复条目。 |
| 结束 | 日期/时间 | 在聚合间隔内收到的流的最后一个数据包的时间。 |
| FlowDirection | 字符串 | 与捕获流量的接口相关的流方向。 |
| InstanceId | 字符串 | 与记录流量的网络接口关联的实例的 ID。 |
| InterfaceId | 字符串 | 为其记录流量的网络接口的 ID。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LogStatus | 字符串 | 流日志的日志记录状态。 |
| Packets | int | 在流期间传输的数据包数。 |
| PktDstAddr | 字符串 | 流量的数据包级(原始)目标 IP 地址。 |
| PktDstAwsService | 字符串 | 如果目标 IP 地址用于 AWS 服务,则 PktDstAddr 字段的 IP 地址范围的子集的名称。 |
| PktSrcAddr | 字符串 | 流量的数据包级别(原始)源 IP 地址。 |
| PktSrcAwsService | 字符串 | 如果源 IP 地址用于 AWS 服务,则为 PktSrcAddr 字段的 IP 地址范围的子集的名称。 |
| Protocol | int | 流量的 IANA 协议编号。 |
| Region | 字符串 | 记录流量的网络接口所属的区域。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager,可以通过直接连接或 Operations Manager 来实现;适用于所有 Linux 代理的 Linux,以及适用于 Azure 诊断的 Azure。 |
| SrcAddr | 字符串 | 入站流量的源地址。 |
| SrcPort | int | 流量的源端口。 |
| Start | 日期/时间 | 请求的远程 IP。 |
| SublocationId | 字符串 | 包含为其记录流量的网络接口的子位置的 ID。 |
| SublocationType | 字符串 | 在 sublocationId 字段中返回的子位置的类型。 |
| SubnetId | 字符串 | 子网的 ID。 |
| TcpFlags | int | 以下 TCP 标志的位掩码值。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 生成事件时的时间戳 (UTC)。 如果 “开始 ”输入字段为空或缺失,该值将与“start”输入字段或数据到达 Azure Monitor 的时间相同。 |
| TrafficPath | 字符串 | 出口流量到达目标的路径。 |
| TrafficType | 字符串 | 流量类型。 可能的值为:IPv4、IPv6 和 EFA。 有关详细信息,请搜索“Elastic Fabric Adapter (EFA)”。 |
| 类型 | 字符串 | 表的名称 |
| Version | int | 使用 VPC 流日志版本。 |
| VpcId | 字符串 | VPC 的 ID。 |