Grundlegendes zu gängigen Tabellen
Die folgende Tabelle zeigt die gängigsten Tabellen, die verwendet werden, wenn Sentinel Daten von Datenconnectors erfasst.
| Tabelle | Beschreibung |
|---|---|
AzureActivity |
Einträge aus dem Azure-Aktivitätsprotokoll, das Einblicke in alle Ereignisse auf Abonnementebene oder Verwaltungsgruppenebene bietet, die in Azure aufgetreten sind. |
AzureDiagnostics |
Speichert Ressourcenprotokolle für Azure-Dienste, die den Azure-Diagnosemodus verwenden. Ressourcenprotokolle beschreiben den internen Betrieb von Azure-Ressourcen. |
AuditLogs |
Überwachungsprotokoll für Microsoft Entra ID. Enthält Systemaktivitätsinformationen zur Benutzer- und Gruppenverwaltung, verwalteten Anwendungen sowie zu Verzeichnisaktivitäten |
CommonSecurityLog |
Syslog-Nachrichten im Common Event Format (CEF). |
McasShadowItReporting |
Microsoft Defender für Cloud Apps-Protokolle |
OfficeActivity |
Von Microsoft Sentinel erfasste Überwachungsprotokolle für Office 365-Mandanten. Schließt Protokolle für Exchange, SharePoint und Teams ein. |
SecurityEvent |
Sicherheitsereignisse von Windows-Computern, die von Azure Security Center oder Microsoft Sentinel erfasst wurden. |
SigninLogs |
Azure Active Directory-Anmeldeprotokolle |
Syslog |
Syslog-Ereignisse auf Linux-Computern, die den Log Analytics-Agent verwenden. |
Event |
Sysmon-Ereignisse, die auf einem Windows-Host erfasst wurden. |
WindowsFirewall |
Windows-Firewall-Ereignisse. |