| AccountDomain |
string |
Domínio da conta. |
| AccountName |
string |
Nome de utilizador da conta. |
| AccountSid |
string |
Identificador de segurança (SID) da conta. |
| Tipo de ação |
string |
Tipo de atividade que desencadeou o evento. |
| Campos Adicionais |
dynamic |
Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
| _BilledSize |
real |
O tamanho do registo em bytes |
| DeviceId |
string |
Identificador exclusivo do dispositivo no serviço. |
| Nome do dispositivo |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo. |
| FailureReason |
string |
Informações que explicam por que a ação gravada falhou. |
| IniciandoProcessoAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento. |
| IniciandoProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento. |
| IniciandoProcessAccountObjectId |
string |
ID de objeto do Azure AD da conta de usuário que executou o processo responsável pelo evento. |
| IniciandoProcessAccountSid |
string |
Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento. |
| IniciandoProcessoAccountUpn |
string |
Nome principal do usuário (UPN) da conta que executou o processo responsável pelo evento. |
| IniciandoProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento. |
| IniciandoProcessoCriaçãoTempo |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado. |
| IniciandoProcessFileName |
string |
Nome do processo que iniciou o evento. |
| IniciandoProcessFileSize |
long |
Tamanho em bytes do processo (arquivo de imagem) que iniciou o evento. |
| IniciandoProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento. |
| IniciandoProcessId |
long |
ID do processo (PID) do processo que iniciou o evento. |
| IniciandoProcessoIntegridadeNível |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se fossem iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| IniciandoProcessoMD5 |
string |
Hash MD5 do processo (ficheiro de imagem) que iniciou o evento. |
| IniciandoProcessoParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| IniciandoProcessoParentFileName |
string |
Nome do processo pai que gerou o processo responsável pelo evento. |
| IniciandoProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento. |
| IniciandoProcessoRemoteSessionDeviceName |
string |
Nome do dispositivo remoto a partir do qual a sessão RDP do processo de iniciação foi iniciada. |
| IniciandoProcessoRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo de iniciação foi iniciada. |
| IniciandoProcessSessionId |
long |
ID de sessão do Windows do processo inicial. |
| IniciandoProcessSHA1 |
string |
Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento. |
| IniciandoProcessoSHA256 |
string |
Hash SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Este campo geralmente não é preenchido - use a coluna SHA1 quando disponível. |
| IniciandoProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégios do UAC (Controle de Acesso do Usuário) aplicada ao processo que iniciou o evento. |
| IniciandoProcessoVersãoInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoFileDescription |
string |
Descrição a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessoVersãoInfoOriginalFileName |
string |
Nome do arquivo original a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessoVersãoInfoNome do Produto |
string |
Nome do produto a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessoVersãoInfoProdutoVersão |
string |
Versão do produto a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento. |
| _IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| IsInitiatingProcessRemoteSession |
booleano |
Indica se o processo inicial foi executado em uma sessão de protocolo RDP (true) ou localmente (false). |
| IsLocalAdmin |
booleano |
Indicador booleano de se o usuário é um administrador local na máquina. |
| LogonId |
long |
Identificador de uma sessão de logon. Esse identificador é exclusivo na mesma máquina apenas entre reinicializações. |
| LogonType |
string |
Tipo de sessão de logon, especificamente interativo, interativo remoto (RDP), rede, lote e serviço. |
| Grupo de Máquinas |
string |
Grupo de máquinas da máquina. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso à máquina. |
| Protocolo |
string |
Protocolo utilizado durante a comunicação. |
| RemoteDeviceName |
string |
Nome do dispositivo que executou uma operação remota na máquina afetada. Dependendo do evento que está sendo relatado, esse nome pode ser um nome de domínio totalmente qualificado (FQDN), um nome NetBIOS ou um nome de host sem informações de domínio. |
| RemoteIP |
string |
Endereço IP ao qual estava sendo conectado. |
| RemoteIPTipe |
string |
Tipo de endereço IP, por exemplo, Público, Privado, Reservado, Loopback, Teredo, FourToSixMapping e Broadcast. |
| Porta Remota |
número inteiro |
Porta TCP no dispositivo remoto ao qual estava sendo conectado. |
| ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
| SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| TenantId |
cadeia |
O ID do espaço de trabalho do Log Analytics |
| TimeGenerated |
datetime |
Data e hora em que o evento foi registrado pelo agente MDE no ponto de extremidade. |
| Type |
string |
O nome da tabela |