SecurityEvent
Eventos de segurança coletados de máquinas Windows pela Central de Segurança do Azure ou pelo Azure Sentinel.
Atributos da tabela
| Atributo | Value |
|---|---|
| Tipos de recursos | Microsoft.SecurityInsights/SecurityInsights, microsoft.compute/virtualmachines, Microsoft.ConenctedVMWarevsphere/VirtualMachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, Microsoft.Compute/VirtualMachineScaleSets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | Não |
| Transformação do tempo de ingestão | Sim |
| Consultas de Exemplo | Sim |
Colunas
| Column | Tipo | Description |
|---|---|---|
| Máscara de Acesso | string | Máscara hexadecimal para a operação solicitada ou executada. |
| Account | string | O contexto de segurança para serviços ou usuários. |
| AccountDomain | string | Domínio do assunto ou nome do computador. |
| ContaExpira | string | A data em que a conta expira. |
| AccountName | string | O nome da conta que solicitou a operação "remover confiança de domínio". |
| AccountSessionIdentifier | string | Um identificador exclusivo que é gerado pela máquina quando a sessão é criada. |
| Tipo de Conta | string | Identifica se a conta é uma conta de computador (máquina) ou de um usuário. |
| Atividade | string | O título descritivo do evento ocorreu. |
| AdditionalInfo | string | Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista. |
| AdicionalInfo2 | string | Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista. |
| AllowedToDelegateTo | string | A lista de SPNs para os quais essa conta pode apresentar credenciais delegadas. |
| Atributos | string | Informações adicionais sobre o evento. |
| AuditPolicyChanges | string | Eventos que são gerados quando são feitas alterações na diretiva de auditoria do sistema ou nas configurações de auditoria em um arquivo ou chave do Registro. |
| AuditoriasDescartadas | número inteiro | Número de mensagens de auditoria que foram descartadas. |
| Nível de autenticação | número inteiro | Número de mensagens de auditoria que foram descartadas. |
| AuthenticationPackageName | string | o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | A identidade do fornecedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de utilizador, um sistema de autenticação por palavra-passe, etc.). |
| AuthenticationServer | string | O servidor no qual localizado o provedor de autenticação. |
| Serviço de autenticação | número inteiro | O serviço no qual localizado o provedor de autenticação. |
| Tipo de autenticação | string | o tipo de autenticação que foi usado para o evento (autenticação de dois fatores, autenticação biométrica, etc.). |
| AzureDeploymentID | string | ID de implantação do Azure do serviço de nuvem ao qual o log pertence. |
| _BilledSize | real | O tamanho do registo em bytes |
| CACertificateHash | string | O valor de hash do certificado da autoridade de certificação (CA) que foi usado para autenticar o usuário que executou o evento. |
| CalledStationID | string | Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança. |
| CallerProcessId | string | ID de processo hexadecimal do processo que tentou fazer logon. ID de processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo. |
| CallerProcessName | string | Caminho completo e o nome do executável para o processo. |
| CallingStationID | string | Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança. |
| CAPublicKeyHash | string | Valor de hash que identifica a chave pública de uma autoridade de certificação (CA) que emitiu um certificado. |
| CategoriaId | string | A categoria do evento de segurança que ocorreu (tentativa de login, violação de dados, etc). |
| CertificateDatabaseHash | string | Valor de hash que identifica o banco de dados que emitiu um certificado. |
| Canal | string | O canal no qual o evento foi registrado. |
| ClassId | string | Atributo 'Class Guid' do dispositivo. |
| ClassName | string | Atributo 'Classe' do dispositivo. |
| Endereço do Cliente | string | Endereço IP do computador a partir do qual o pedido de TGT foi recebido. |
| ClientIPAddress | string | Endereço IP do computador que iniciou a ação que levou ao evento. |
| Nome do Cliente | string | nome do computador a partir do qual o usuário foi reconectado. Tem o valor 'Desconhecido' para a sessão do console. |
| Linha de comando | string | Os argumentos de linha de comando que foram passados para um aplicativo ou processo envolvido no evento. |
| CompatibleIds | string | Atributo 'Ids compatíveis' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes': |
| Computador | string | O nome do computador no qual o evento ocorreu. |
| Correlação | string | Os identificadores de atividade que os consumidores podem usar para agrupar eventos relacionados. |
| DCDNSName | string | O nome DNS do controlador de domínio envolvido no evento. |
| Descrição do dispositivo | string | a descrição do dispositivo envolvido no evento. |
| DeviceId | string | O identificador exclusivo do dispositivo envolvido no evento. |
| DisplayName | string | É um nome, exibido no catálogo de endereços de uma conta específica. Isso geralmente é a combinação do primeiro nome, inicial do meio e sobrenome do usuário. |
| Disposição | string | O resultado/resolução do evento, como se o evento foi resolvido ou se alguma ação foi tomada em resposta ao evento. |
| DomainBehaviorVersion | string | O atributo de domínio msDS-Behavior-Version foi modificado. Valor numérico. |
| DomainName | string | O nome do domínio confiável removido. |
| DomainPolicyChanged | string | Indica se alguma política de domínio foi alterada como parte do evento (políticas de senha, políticas de segurança, etc.). |
| DomainSid | string | SID do parceiro fiduciário. Este parâmetro pode não ser capturado no evento e, nesse caso, aparece como 'SID NULL'. |
| EAPTipo | string | O tipo de protocolo de autenticação extensível (EAP) que foi usado para o processo de autenticação de eventos. |
| ElevatedToken | string | Uma bandeira "Sim" ou "Não". Se 'Sim', a sessão que este evento representa é elevada e tem privilégios de administrador. |
| CódigoDoErro | número inteiro | Contém código de erro para eventos de falha. Para eventos de sucesso, esse parâmetro tem valor '0x0'. |
| Dados de Evento | string | Dados específicos do evento associados ao evento. |
| EventID | número inteiro | O identificador que o provedor usou para identificar o evento. |
| EventLevelName | string | A cadeia de caracteres de mensagem renderizada do nível especificado no evento. |
| EventRecordId | string | O número de registro atribuído ao evento quando ele foi registrado. |
| EventSourceName | string | O nome do software que registra o evento (applicationor a succomponent). |
| ExtendedQuarantineState | string | O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual dispositivos não autorizados são impedidos de acessar uma rede até que atendam a certos requisitos de segurança ou tenham sido verificados quanto a malware. |
| FailureReason | string | explicação textual do valor do campo Status. Para este evento, normalmente tem o valor 'Conta bloqueada'. |
| Hash de Ficheiro | string | O valor de hash para todos os arquivos que foram acessados ou modificados como parte do evento, ou quaisquer arquivos que foram usados no processo de autenticação ou autorização. |
| FilePath | string | Caminho completo e nome do arquivo de chave no qual a operação foi executada. |
| FilePathNoUser | string | O caminho de todos os arquivos relacionados ao evento, excluindo o nome de usuário ou outras informações específicas do usuário. |
| Filtro | string | Filtros que são usados no evento executado. |
| ForceLogoff | string | Política de grupo '\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: Forçar logoff quando as horas de logon expirarem'. |
| FQBN | string | O nome binário totalmente qualificado (FQBN) para quaisquer arquivos relacionados ao evento. |
| FullyQualifiedSubjectMachineName | string | O nome de domínio totalmente qualificado (FQDN) da máquina que iniciou o evento. |
| FullyQualifiedSubjectUserName | string | O nome de usuário do usuário ou serviço que iniciou o evento no formato FQDN. |
| GroupMembership | string | A lista de SIDs de grupo aos quais a conta registrada pertence (membro de). O Visualizador de Eventos tenta resolver SIDs automaticamente e mostrar o nome da conta. Se o SID não puder ser resolvido, você verá os dados de origem no evento. |
| HandleId | string | Valor hexadecimal de um identificador para Nome do objeto. Este campo pode ser usado para correlação com outros eventos. |
| HardwareIds | string | Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes': |
| HomeDirectório | string | Diretório inicial do usuário. Se o atributo homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho deve ser um UNC de rede do formato \Server\Share\Directory. |
| HomePath | string | Caminho inicial do usuário. O caminho deve ser um UNC de rede do formato \Server\Share\Directory. |
| InterfaceUuid | string | O identificador exclusivo (UUID) para a interface de rede que foi usada para o evento. |
| Endereço IP | string | o endereço de rede (geralmente IPv4 ou IPv6) associado ao evento. |
| IpPort | string | O número da porta de rede associado ao evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| KeyLength | número inteiro | O comprimento da chave de segurança de sessão NTLM. Normalmente, tem 128 bits ou 56 bits de comprimento. |
| Palavras-chave | string | Uma máscara de bits das palavras-chave definidas no evento. |
| Level | string | O Windows categoriza cada evento com um nível de gravidade. Os níveis por ordem de severidade são informação, verbose, aviso, erro e crítica expressa em números. |
| LmPackageName | string | O nome do pacote ou componente de software que está usando atualmente a Autoridade de Segurança Local (LSA) na máquina onde o evento está sendo gerado. |
| LocalizaçãoInformação | string | Atributo 'Informação de localização' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes': |
| LockoutDuration | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio de Conta'. Valor numérico. |
| LockoutObservationWindow | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contador de bloqueio de conta após'. Valor numérico. |
| LockoutThreshold | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite de bloqueio de conta'. Valor numérico. |
| LoggingResult | string | O resultado do processo de logon. |
| LogonGuid | string | Um GUID que pode ajudá-lo a correlacionar esse evento com outro evento que pode conter o mesmo GUID de logon. |
| LogonHoras | string | Horas em que a conta tem permissão para fazer logon no domínio. |
| ID de logon | string | Valor hexadecimal que pode ajudá-lo a correlacionar esse evento com eventos recentes que podem conter a mesma ID de logon. |
| LogonProcessName | string | O nome do processo de logon registrado. |
| LogonType | número inteiro | O tipo de logon que foi executado. |
| LogonTypeName | string | O tipo de evento de logon ou autenticação que está sendo capturado pelo log de eventos (valores comuns:Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | O atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico. |
| MáquinaInventário | string | Informações sobre a configuração de hardware e ambiente de software do computador onde o evento está sendo gerado. Pode incluir diferentes pontos de dados, por exemplo: a marca e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de várias aplicações de software, etc.). |
| MáquinaLogon | string | Informações sobre um evento de logon bem-sucedido na máquina. |
| ManagementGroupName | string | Informações adicionais com base no tipo de recurso. |
| Rótulo obrigatório | string | ID do rótulo de integridade que foi atribuído ao novo processo. |
| MaxPasswordAge | string | O período de tempo (em dias) que uma senha pode ser usada antes que o sistema exija que o usuário a altere. |
| Nome do Membro | string | A conta de usuário que esteve envolvida no evento. |
| MemberSid | string | O identificador de segurança (SID) associado à conta de usuário envolvida no evento. |
| MinPasswordAge | string | O período de tempo (em dias) que uma senha deve ser usada antes que o sistema exija que o usuário a altere. |
| MinPasswordLength | string | O menor número de caracteres que podem compor uma senha para uma conta de usuário. |
| MixedDomainMode | string | O modo de domínio de um sistema ou controlador de domínio. |
| NASIdentifier | string | O identificador do servidor de acesso à rede (NAS) envolvido no evento. |
| NASIPv4Endereço | string | O IPv4Address do servidor de acesso à rede (NAS) envolvido no evento, se aplicável. |
| Endereço NASIPv6 | string | O IPv6Address do servidor de acesso à rede (NAS) envolvido no evento, se aplicável. |
| NASPort | string | A porta no servidor de acesso à rede que foi usada no evento. |
| NASPortType | string | o tipo de servidor de acesso à rede (NAS) usado no evento. |
| NetworkPolicyName | string | O nome da diretiva de rede associada ao evento. |
| NovoData | string | Nova data no fuso horário UTC. O formato é AAAA-MM-DD. |
| NewMaxUsers | string | O novo número máximo de usuários permitido para um recurso no evento. |
| NewProcessId | string | ID de processo hexadecimal do novo processo. ID de processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo. |
| NewProcessName | string | Caminho completo e o nome do executável para o novo processo. |
| NovoObservação | string | O novo valor do campo 'Comentários:' de compartilhamento de rede. Tem o valor 'N/A' se não estiver definido. |
| NewShareFlags | string | Os sinalizadores de compartilhamento associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| NewTime | string | Nova hora que foi definida no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Especifica sinalizadores que controlam senha, bloqueio, desabilitar/habilitar, script e outros comportamentos para a conta de usuário. |
| NovoValor | string | Novo valor para o valor da chave do Registro alterado. |
| NewValueType | string | Novo tipo de valor de chave do Registro alterado. |
| ObjectName | string | Nome e outras informações de identificação do objeto para o qual o acesso foi solicitado. Por exemplo, para um arquivo, o caminho seria incluído. |
| ObjectServer | string | Contém o nome do subsistema Windows que chama a rotina. |
| Tipo de objeto | string | O tipo de um objeto que foi acessado durante a operação. |
| ObjectValueName | string | O nome do valor da chave do Registro modificada. |
| OemInformação | string | O fabricante do equipamento original (OEM) associado a um dispositivo ou sistema no evento. |
| OldMaxUsuários | string | O número máximo anterior de usuários permitido para um recurso no evento. |
| Observação antiga | string | o valor antigo do campo 'Comentários:' de compartilhamento de rede. Tem o valor 'N/A' se não estiver definido. |
| OldShareFlags | string | Os sinalizadores de compartilhamento anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| OldUacValue | string | Especifica sinalizadores que controlam senha, bloqueio, desabilitar/habilitar, script e outros comportamentos para a conta de usuário. Este parâmetro contém o valor anterior do atributo userAccountControl do objeto user. |
| OldValue | string | Valor antigo para o valor da chave do Registro alterado. |
| OldValueType | string | Tipo antigo de valor de chave do Registro alterado. |
| Opcode | string | O elemento opcode é definido pelo tipo complexo SystemPropertiesType. |
| OperationType | string | O tipo de operação que foi executada em um objeto |
| Nome do pacote | string | O nome do subpacote do LAN Manager (nome do protocolo da família NTLM) que foi usado durante o logon. |
| ParentProcessName | string | O nome do processo pai associado ao evento. |
| PasswordHistoryLength | string | Política de grupo \Configurações de Segurança\Políticas de Conta\Política de Senha\Impor histórico de senhas. Valor numérico. |
| PasswordLastSet | string | Da última vez que a palavra-passe da conta foi modificada. |
| PasswordProperties | string | As políticas de senha ou propriedades associadas ao evento, por exemplo: comprimento da senha, complexidade e data de validade. |
| AnteriorData | string | A data anterior associada ao evento. |
| AnteriorTime | string | Hora anterior no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | Identificador Relativo (RID) do grupo primário de objetos do usuário. |
| PrivateKeyUsageCount | string | O número de vezes que uma chave privada foi usada. |
| Lista de privilégios | string | Os privilégios, incluindo privilégios de usuário, grupo ou sistema associados ao evento. |
| Processo | string | O nome do processo que gera o evento. |
| ProcessId | string | Identifica o processo que gerou o evento. |
| ProcessName | string | Caminho completo e o nome do executável para o processo. |
| ProfilePath | string | Especifica um caminho para o perfil da conta. Esse valor pode ser uma cadeia de caracteres nula, um caminho absoluto local ou um caminho UNC. |
| Propriedades | string | Depende do tipo de objeto. Este campo pode estar vazio ou conter a lista das propriedades do objeto que foram acessadas. |
| ProtocolSequence | string | Informações sobre o protocolo usado para uma tentativa de autenticação. |
| ProxyPolicyName | string | Nome da política que foi usada para configurar o servidor proxy para se conectar à rede. |
| QuarentenaHelpURL | string | URL que fornece ajuda para solucionar um problema de quarentena de rede. |
| QuarentenaSessionID | string | Identificador da sessão em que o ficheiro foi avaliado para quarentena. |
| QuarantineSessionIdentifier | string | Identificador da sessão em que o ficheiro foi avaliado para quarentena. |
| Estado de quarentena | string | Ele mostra se o arquivo está em quarentena. |
| QuarentenaSystemHealthResult | string | Relatório que mostra o estado dos ficheiros que foram colocados em quarentena. |
| RelativeTargetName | string | Nome relativo do arquivo ou pasta de destino acessado. Esse caminho de arquivo é relativo ao compartilhamento de rede. Se o acesso foi solicitado para o compartilhamento em si, este campo aparece como "". |
| RemoteIpAddress | string | O endereço IP do computador que iniciou uma conexão remota. |
| Porta Remota | string | O número da porta do computador remoto que iniciou uma conexão. |
| Autor do Pedido | string | O identificador do solicitante de eventos. |
| RequestId | string | Um identificador exclusivo associado a solicitações específicas, como aquelas feitas por HTTP. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registro está associado |
| RestrictedAdminMode | string | Preenchido apenas para sessões do tipo de logon RemoteInteractive. Este é um sinalizador Sim/Não que indica se as credenciais fornecidas foram passadas usando o modo Administrador restrito. Modo de administrador restrito foi adicionado no Win8.1/2012R2, mas esse sinalizador foi adicionado ao evento no Win10. |
| LinhasExcluídas | string | O número de linhas que foram excluídas como parte de uma operação específica. |
| SamAccountName | string | nome de logon para conta usada para suportar clientes e servidores de versões anteriores do Windows (nome de logon anterior ao Windows 2000). |
| Caminho do Script | string | Especifica o caminho do script de logon da conta. |
| SecurityDescritor | string | Informações sobre as configurações de segurança e permissões de um determinado objeto ou recurso. |
| ServiceAccount | string | O contexto de segurança que o serviço executará como quando iniciado. |
| ServiceFileName | string | Indica o tipo de serviço que foi registrado com o Gerenciador de Controle de Serviço. |
| ServiceName | string | O nome do serviço instalado. |
| ServiceStartType | número inteiro | Contém informações sobre como um determinado serviço deve ser iniciado, se deve ser iniciado automaticamente ou manualmente. |
| ServiceType | string | Indica o tipo de serviço que foi registrado com o Gerenciador de Controle de Serviço. |
| Nome da Sessão | string | O nome da sessão à qual o usuário foi reconectado. |
| ShareLocalPath | string | O caminho local do compartilhamento de rede acessado. |
| Nome_do-compartilhamento | string | O nome do compartilhamento de rede acessado. O formato é: \*\SHARE_NAME. |
| SidHistória | string | Contém SIDs anteriores usados para o objeto se o objeto foi movido de outro domínio. |
| SourceComputerId | string | Identificador exclusivo atribuído a cada computador em um domínio do Windows. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| Estado | string | A razão pela qual o logon falhou. Para este evento, normalmente tem valor '0xC0000234'. Os códigos de status mais comuns estão listados na Tabela 12. Códigos de status de logon do Windows. |
| StorageAccount | string | Define a chave de acesso da conta de armazenamento. |
| SubcategoriaGuid | string | O GUID exclusivo da subcategoria alterada. |
| SubcategoriaId | string | Um identificador exclusivo para um tipo específico de evento. |
| Assunto | string | Informações sobre a entidade de segurança (por exemplo: conta de usuário) que iniciou o evento. |
| AssuntoConta | string | Informações sobre a conta que está iniciando o evento. |
| AssuntoNome de Domínio | string | Informações sobre o domínio ou grupo de trabalho ao qual a conta de assunto pertence. |
| SubjectKeyIdentifier | string | Um identificador exclusivo para um assunto de certificado específico. |
| AssuntoLogonId | string | Um identificador exclusivo para a sessão de logon associada à conta de assunto. |
| SubjectMachineName | string | Informações sobre a máquina ou o sistema a partir do qual o evento foi criado. |
| SubjectMachineSID | string | O identificador de segurança (SID) da máquina que gerou o evento. |
| SubjectUserName | string | O nome da conta de usuário que gerou o evento. |
| AssuntoUserSid | string | O identificador de segurança (SID) para a conta de usuário que gerou o evento. |
| _SubscriptionId | string | Um identificador exclusivo para a assinatura à qual o registro está associado |
| Subestado | string | Informações adicionais sobre falha de logon. Os códigos de subestatuto mais comuns enumerados no «Quadro 12. Códigos de estado de início de sessão do Windows». |
| SystemProcessId | número inteiro | Identifica o processo que gerou o evento. |
| SystemThreadId | número inteiro | Identifica o thread que gerou o evento. |
| SystemUserId | string | O ID do usuário responsável pelo evento. |
| TableId | string | O identificador de tabela de dados específico no qual os dados do evento são armazenados. |
| Conta Alvo | string | A conta visada pelo evento (nome de utilizador, nome do computador, etc.). |
| TargetDomainName | string | O nome do domínio ao qual a conta de destino pertence. |
| TargetInfo | string | Informações adicionais sobre o destino do evento (por exemplo: o caminho para um arquivo ou pasta, o nome de uma chave do Registro, etc.). |
| TargetLinkedLogonId | string | Informações que ajudam a vincular eventos relacionados por suas IDs de tentativa de logon. Pode ser útil para manter todos os eventos relevantes organizados, rastrear a atividade em várias sessões e identificar a origem do ataque. |
| TargetLogonGuid | string | Um identificador global exclusivo (GUID) associado à sessão de logon relacionada ao evento. |
| TargetLogonId | string | Um identificador exclusivo associado à sessão de logon relacionada ao evento. |
| TargetOutboundDomainName | string | O domínio no qual a conta especificada no campo TargetAccount foi autenticada durante uma tentativa de autenticação de saída. |
| TargetOutboundUserName | string | O nome da conta de usuário que foi autenticada durante uma tentativa de autenticação de saída. |
| NomeServidorAlvo | string | O nome do servidor no qual o novo processo foi executado. Tem valor "localhost" se o processo foi executado localmente. |
| TargetSid | string | O identificador de segurança (SID) do servidor no qual o novo processo foi executado. |
| Utilizador-alvo | string | O identificador de conta de usuário que gerou o novo processo. |
| TargetUserName | string | O nome da conta de usuário que gerou o novo processo. |
| TargetUserSid | string | O identificador de segurança (SID) associado ao usuário ou recurso envolvido no evento. |
| Task | número inteiro | A tarefa definida no evento. |
| TemplateContent | string | O conteúdo da mensagem ou notificação do evento de forma estruturada. |
| ModeloDSObjectFQDN | string | FQDN do objeto DS que representa o modelo de GPO. |
| TemplateInternalName | string | O nome interno do modelo de GPO. |
| ModeloOID | string | O identificador exclusivo do modelo que foi usado para criar o evento. |
| TemplateSchemaVersion | string | Versão do esquema de modelo que define os dados a serem incluídos em um evento. |
| ModeloVersão | string | Versão do modelo que define os dados a serem incluídos em um evento. |
| TenantId | cadeia | O ID do espaço de trabalho do Log Analytics |
| TimeGenerated | datetime | O carimbo de data/hora quando o evento foi gerado no computador. |
| TokenElevationType | string | Tipo de token que foi atribuído a um novo processo de acordo com a Política de Controle de Conta de Usuário. |
| Serviços Transmitidos | string | A lista dos serviços transmitidos. Os serviços transmitidos são preenchidos se o logon foi resultado de um processo de logon S4U (Service For User). O S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicativo obtenha um tíquete de serviço Kerberos em nome de um usuário - mais comumente feito por um site front-end para acessar um recurso interno em nome de um usuário. Para obter mais informações sobre o S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | string | O nome da tabela |
| UserAccountControl | string | Mostra a lista de alterações no atributo userAccountControl. Você verá uma linha de texto para cada alteração. |
| UserParameters | string | Se você alterar qualquer configuração usando o console de gerenciamento Usuários e Computadores do Ative Directory na guia Discagem das propriedades da conta do usuário, verá <o valor alterado, mas não exibido> neste campo. Para contas locais, este campo não é aplicável e sempre tem <valor não definido> . |
| UserPrincipalName | string | Nome de login no estilo Internet para a conta, baseado no padrão da Internet RFC 822. Por convenção, isso deve ser mapeado para o nome de e-mail da conta. |
| UserWorkstations | string | Contém a lista de nomes NetBIOS ou DNS dos computadores a partir dos quais o utilizador pode iniciar sessão. Cada nome de computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador. |
| VendorIds | string | Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes'. |
| Versão | número inteiro | Contém o número da versão da definição do evento. |
| Conta virtual | string | Um sinalizador 'Sim' ou 'Não', que indica se a conta é uma conta virtual (por exemplo, 'Conta de Serviço Gerenciado'), que foi introduzido no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço usa, em vez de apenas usar 'NetworkService'. |
| Estação de trabalho | string | O nome da máquina que foi usada para executar o evento. |
| Nome da estação de trabalho | string | Nome da máquina a partir da qual foi executada uma tentativa de logon. |