你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Sentinel审核表参考

本文介绍 SentinelAudit 表中的字段，这些字段用于审核Microsoft Sentinel资源中的用户活动。使用Microsoft Sentinel审核功能，可以密切关注 SIEM 中执行的操作，并获取有关对环境和做出这些更改的用户所做的任何更改的信息。

了解如何查询和使用审核表，以便更深入地监视和查看环境中的操作。

Microsoft Sentinel的审核功能目前仅涵盖分析规则资源类型，但以后可能会添加其他类型。下表中的许多数据字段将跨资源类型应用，但有些字段具有每种类型的特定应用程序。下面的说明将指明一种或那样的方式。

SentinelAudit 表列架构

下表描述了 SentinelAudit 数据表中生成的列和数据：

ColumnName	ColumnType	说明
TenantId	String	Microsoft Sentinel工作区的租户 ID。
TimeGenerated	Datetime	发生审核活动 (UTC) 的时间。
OperationName	String	正在记录Azure操作。例如： - `Microsoft.SecurityInsights/alertRules/Write` - `Microsoft.SecurityInsights/alertRules/Delete`
SentinelResourceId	String	Microsoft Sentinel工作区的唯一标识符，以及发生审核活动的关联资源。
SentinelResourceName	String	资源名称。对于分析规则，这是规则名称。
地位	String	指示 `Success`OperationName 的或 `Failure` 。
说明	String	描述操作，包括根据需要扩展的数据。例如，对于失败，此列可能指示失败原因。
WorkspaceId	String	发生审核活动的工作区 GUID。 SentinelResourceID 列中提供了完整的Azure资源标识符。
SentinelResourceType	String	正在监视Microsoft Sentinel资源类型。
SentinelResourceKind	String	要监视的资源的特定类型。例如，对于分析规则： `NRT`。
CorrelationId	String	GUID 格式的事件相关 ID。
ExtendedProperties	动态 (json)	一个 JSON 包，它因事件的 OperationName 值和状态而异。有关详细信息，请参阅扩展属性。
Type	String	`SentinelAudit`

资源类型	操作名称	状态
分析规则	- `Microsoft.SecurityInsights/alertRules/Write` - `Microsoft.SecurityInsights/alertRules/Delete`	成功失败

分析规则的扩展属性反映了某些规则设置。

ColumnName	ColumnType	说明
CallerIpAddress	String	从中启动操作的 IP 地址。
CallerName	String	启动操作的用户或应用程序。
OriginalResourceState	动态 (json)	描述更改前的规则的 JSON 包。
原因	String	操作失败的原因。例如：`No permissions`。
ResourceDiffMemberNames	Array[String]	已审核活动更改的规则属性的数组。例如：`['custom_details','look_back']`。
ResourceDisplayName	String	发生审核活动的分析规则的名称。
ResourceGroupName	String	发生审核活动的工作区的资源组。
ResourceId	String	发生审核活动的分析规则的资源 ID。
SubscriptionId	String	发生审核活动的工作区的订阅 ID。
UpdatedResourceState	动态 (json)	描述更改后的规则的 JSON 包。
Uri	String	分析规则的完整路径资源 ID。
WorkspaceId	String	发生审核活动的工作区的资源 ID。
WorkspaceName	String	发生审核活动的工作区的名称。

此页面是否有帮助？