SecurityEvent
Säkerhetshändelser som samlas in från Windows-datorer av Azure Security Center eller Azure Sentinel.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorier | Säkerhet |
| Lösningar | Säkerhet, SecurityInsights |
| Grundläggande logg | Nej |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | Ja |
Kolumner
| Column | Type | Beskrivning |
|---|---|---|
| AccessMask | sträng | Hexadecimal mask för den begärda eller utförda åtgärden. |
| Konto | sträng | Säkerhetskontexten för tjänster eller användare. |
| AccountDomain | sträng | Ämnesdomän eller datornamn. |
| AccountExpires | sträng | Det datum då kontot upphör att gälla. |
| AccountName | sträng | Namnet på det konto som begärde åtgärden "ta bort domänförtroende". |
| AccountSessionIdentifier | sträng | En unik identifierare som genereras av datorn när sessionen skapas. |
| AccountType | sträng | Identifierar om kontot är ett datorkonto (dator) eller en användares. |
| Aktivitet | sträng | Den beskrivande rubriken för händelsen inträffade. |
| AdditionalInfo | sträng | Ytterligare information som tillhandahålls av källan, som inte mappas till andra fält, som representeras av en lista. |
| AdditionalInfo2 | sträng | Ytterligare information som tillhandahålls av källan, som inte mappas till andra fält, som representeras av en lista. |
| AllowedToDelegateTo | sträng | Listan över SPN som det här kontot kan presentera delegerade autentiseringsuppgifter för. |
| Attribut | sträng | Ytterligare information om händelsen. |
| AuditPolicyChanges | sträng | Händelser som genereras när ändringar görs i systemgranskningsprincipen eller granskningsinställningarna för en fil eller registernyckel. |
| AuditsDiscarded | heltal | Antal granskningsmeddelanden som har ignorerats. |
| AuthenticationLevel | heltal | Antal granskningsmeddelanden som har ignorerats. |
| AuthenticationPackageName | sträng | namnet på det inlästa autentiseringspaketet. Formatet är: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | sträng | Identiteten på den leverantör som ansvarar för autentiseringsprocessen (kan innehålla en certifikatutfärdare, ett användarnamn, ett system för lösenordsautentisering osv.). |
| AuthenticationServer | sträng | Servern där autentiseringsprovidern finns. |
| AuthenticationService | heltal | Tjänsten där autentiseringsprovidern finns. |
| AuthenticationType | sträng | den typ av autentisering som användes för händelsen (tvåfaktorsautentisering, biometrisk autentisering osv.). |
| AzureDeploymentID | sträng | Azure-distributions-ID för molntjänsten som loggen tillhör. |
| _BilledSize | real | Poststorleken i byte |
| CACertificateHash | sträng | Hash-värdet för certifikatutfärdarcertifikatet (CA) som användes för att autentisera användaren som utförde händelsen. |
| CalledStationID | sträng | Information om ID:t för den station som initierade åtgärden som ledde till säkerhetshändelsen. |
| CallerProcessId | sträng | Hexadecimalt process-ID för den process som försökte logga in. Process-ID (PID) är ett tal som används av operativsystemet för att unikt identifiera en aktiv process. |
| CallerProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för processen. |
| CallingStationID | sträng | Information om ID:t för den station som initierade åtgärden som ledde till säkerhetshändelsen. |
| CAPublicKeyHash | sträng | Hash-värde som identifierar den offentliga nyckeln för en certifikatutfärdare (CA) som utfärdade ett certifikat. |
| CategoryId | sträng | Kategorin för säkerhetshändelsen som inträffade (inloggningsförsök, dataintrång osv.). |
| CertificateDatabaseHash | sträng | Hash-värde som identifierar databasen som utfärdade ett certifikat. |
| Kanal | sträng | Kanalen som händelsen loggades till. |
| ClassId | sträng | Attributet "Class Guid" för enheten. |
| ClassName | sträng | Attributet "Klass" för enheten. |
| ClientAddress | sträng | IP-adressen för den dator som TGT-begäran togs emot från. |
| ClientIPAddress | sträng | IP-adressen för den dator som initierade åtgärden som ledde till händelsen. |
| ClientName | sträng | datornamn som användaren återansluts från. Har värdet "Okänt" för konsolsessionen. |
| Kommandorad | sträng | Kommandoradsargumenten som skickades till ett program eller en process som var inblandad i händelsen. |
| CompatibleIds | sträng | Attributet "Kompatibla ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information: |
| Dator | sträng | Namnet på den dator där händelsen inträffade. |
| Korrelation | sträng | Aktivitetsidentifierarna som konsumenter kan använda för att gruppera relaterade händelser tillsammans. |
| DCDNSName | sträng | DNS-namnet på domänkontrollanten som var inblandad i händelsen. |
| DeviceDescription | sträng | beskrivningen av enheten som var inblandad i händelsen. |
| DeviceId | sträng | Den unika identifieraren för den enhet som var inblandad i händelsen. |
| DisplayName | sträng | Det är ett namn som visas i adressboken för ett visst konto. Detta är vanligtvis kombinationen av användarens förnamn, mellan initialt och efternamn. |
| Disposition | sträng | Händelseresultat/lösning, till exempel om händelsen löstes eller om någon åtgärd vidtogs som svar på händelsen. |
| DomainBehaviorVersion | sträng | domänattributet msDS-Behavior-Version ändrades. Numeriskt värde. |
| DomainName | sträng | Namnet på den borttagna betrodda domänen. |
| DomainPolicyChanged | sträng | Anger om några domänprinciper har ändrats som en del av händelsen (lösenordsprinciper, säkerhetsprinciper osv.). |
| DomainSid | sträng | SID för förtroendepartnern. Den här parametern kanske inte fångas in i händelsen, och i så fall visas den som "NULL SID". |
| EAPType | sträng | Den typ av EAP (Extensible Authentication Protocol) som användes för händelseautentiseringsprocessen. |
| ElevatedToken | sträng | En "Ja" eller "Nej"-flagga. Om "Ja" är sessionen som den här händelsen representerar upphöjd och har administratörsbehörighet. |
| Felkod | heltal | Innehåller felkod för felhändelser. För lyckade händelser har den här parametern värdet "0x0". |
| EventData | sträng | Händelsespecifika data som är associerade med händelsen. |
| EventID | heltal | Identifieraren som providern använde för att identifiera händelsen. |
| EventLevelName | sträng | Den renderade meddelandesträngen på den nivå som anges i händelsen. |
| EventRecordId | sträng | Det postnummer som tilldelades händelsen när den loggades. |
| EventSourceName | sträng | Namnet på programvaran som loggar händelsen (applicationor a succomponent). |
| ExtendedQuarantineState | sträng | Tillståndet för nätverkets karantänprocess, om tillämpligt. Nätverkskarantän är en process där obehöriga enheter hindras från att komma åt ett nätverk tills de uppfyller vissa säkerhetskrav eller har kontrollerats efter skadlig kod. |
| FailureReason | sträng | textuell förklaring av värdet för fältet Status. För den här händelsen har den vanligtvis värdet "Konto utelåst". |
| FileHash | sträng | Hash-värdet för alla filer som har använts eller ändrats som en del av händelsen, eller filer som användes i autentiserings- eller auktoriseringsprocessen. |
| FilePath | sträng | Fullständig sökväg och filnamn för nyckelfilen som åtgärden utfördes på. |
| FilePathNoUser | sträng | Sökvägen till filer som är relaterade till händelsen, exklusive användarnamnet eller annan användarspecifik information. |
| Filtrera | sträng | Filter som används i den utförda händelsen. |
| ForceLogoff | sträng | Grupprincipen '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire'. |
| Fqbn | sträng | Det fullständigt kvalificerade binära namnet (FQBN) för alla filer som är relaterade till händelsen. |
| FullyQualifiedSubjectMachineName | sträng | Det fullständigt kvalificerade domännamnet (FQDN) för den dator som initierade händelsen. |
| FullyQualifiedSubjectUserName | sträng | Användarnamnet för den användare eller tjänst som initierade händelsen i FQDN-format. |
| GroupMembership | sträng | Listan över grupp-SID:er som loggade konton tillhör (medlem i). Loggboken försöker automatiskt matcha SID:er och visa kontonamnet. Om SID inte kan matchas visas källdata i händelsen. |
| HandleId | sträng | Hexadecimalt värde för ett referensvärde till Objektnamn. Det här fältet kan användas för korrelation med andra händelser. |
| HardwareIds | sträng | "Maskinvaru-ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information: |
| HomeDirectory | sträng | Användarens hemkatalog. Om attributet homeDrive har angetts och anger en enhetsbeteckning bör homeDirectory vara en UNC-sökväg. Sökvägen måste vara ett unc-nätverk av formuläret \Server\Share\Directory. |
| HomePath | sträng | Användarens hemsökväg. Sökvägen måste vara ett unc-nätverk av formuläret \Server\Share\Directory. |
| InterfaceUuid | sträng | Den unika identifieraren (UUID) för nätverksgränssnittet som användes för händelsen. |
| IpAddress | sträng | nätverksadressen (vanligtvis IPv4 eller IPv6) som är associerad med händelsen. |
| IpPort | sträng | Det nätverksportnummer som är associerat med händelsen. |
| _IsBillable | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| Nyckellängd | heltal | Längden på NTLM-sessionssäkerhetsnyckeln. Vanligtvis har den 128 bitars eller 56 bitars längd. |
| Nyckelord | sträng | En bitmask av nyckelorden som definierats i händelsen. |
| Nivå | sträng | Windows kategoriserar varje händelse med allvarlighetsgrad. Nivåerna i ordning efter allvarlighetsgrad är information, utförlig, varning, fel och kritisk som uttrycks i tal. |
| LmPackageName | sträng | Namnet på paketet eller programvarukomponenten som för närvarande använder LSA (Local Security Authority) på den dator där händelsen genereras. |
| LocationInformation | sträng | Attributet Platsinformation för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information: |
| LockoutDuration | sträng | Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration'. Numeriskt värde. |
| LockoutObservationWindow | sträng | Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after'. Numeriskt värde. |
| LockoutThreshold | sträng | Grupprincipen "\Säkerhetsinställningar\Kontoprinciper\Kontoutelåsningsprincip\Tröskelvärde för kontoutelåsning". Numeriskt värde. |
| LoggingResult | sträng | Resultatet av inloggningsprocessen. |
| Inloggning | sträng | Ett GUID som kan hjälpa dig att korrelera den här händelsen med en annan händelse som kan innehålla samma GUID för inloggning. |
| LogonHours | sträng | Timmar då kontot tillåts logga in på domänen. |
| Inloggnings-ID | sträng | Hexadecimalt värde som kan hjälpa dig att korrelera den här händelsen med de senaste händelserna som kan innehålla samma inloggnings-ID. |
| LogonProcessName | sträng | Namnet på den registrerade inloggningsprocessen. |
| Inloggningstyp | heltal | Den typ av inloggning som utfördes. |
| LogonTypeName | sträng | Den typ av inloggnings- eller autentiseringshändelse som registreras av händelseloggen (vanliga värden:Interaktiva, Nätverk, RemoteInteractive, Unlock). |
| MachineAccountQuota | sträng | domänattributet ms-DS-MachineAccountQuota ändrades. Numeriskt värde. |
| MachineInventory | sträng | Information om maskinvarukonfigurationen och programvarumiljön på den dator där händelsen genereras. Den kan innehålla olika datapunkter, till exempel datorns märke och modell, mängden RAM-minne eller tillgängligt lagringsutrymme, versionsnummer för olika program osv.). |
| MachineLogon | sträng | Information om en lyckad inloggningshändelse på datorn. |
| ManagementGroupName | sträng | Ytterligare information baserat på resurstypen. |
| MandatoryLabel | sträng | ID för den integritetsetikett som tilldelades den nya processen. |
| MaxPasswordAge | sträng | Tidsperioden (i dagar) som ett lösenord kan användas innan systemet kräver att användaren ändrar det. |
| MemberName | sträng | Det användarkonto som var involverat i händelsen. |
| MemberSid | sträng | Säkerhetsidentifieraren (SID) som är associerad med det användarkonto som var involverat i händelsen. |
| MinPasswordAge | sträng | Tidsperioden (i dagar) som ett lösenord måste användas innan systemet kräver att användaren ändrar det. |
| MinPasswordLength | sträng | Det minsta antalet tecken som kan utgöra ett lösenord för ett användarkonto. |
| MixedDomainMode | sträng | Domänläget för ett system eller en domänkontrollant. |
| NASIdentifier | sträng | Identifieraren för nätverksåtkomstservern (NAS) som var inblandad i händelsen. |
| NASIPv4Address | sträng | IPv4Address för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt. |
| NASIPv6Address | sträng | IPv6Address för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt. |
| NASPort | sträng | porten på nätverksåtkomstservern som användes i händelsen. |
| NASPortType | sträng | vilken typ av nätverksåtkomstserver (NAS) som används i händelsen. |
| NetworkPolicyName | sträng | Namnet på den nätverksprincip som är associerad med händelsen. |
| NewDate | sträng | Nytt datum i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DD. |
| NewMaxUsers | sträng | Det nya maximala antalet användare som tillåts för en resurs i händelsen. |
| NewProcessId | sträng | Hexadecimalt process-ID för den nya processen. Process-ID (PID) är ett tal som används av operativsystemet för att unikt identifiera en aktiv process. |
| NewProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för den nya processen. |
| NewRemark | sträng | Det nya värdet för fältet Kommentarer för nätverksresursen. Har värdet "N/A" om det inte har angetts. |
| NewShareFlags | sträng | Resursflaggor som är associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivskyddad, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter. |
| NewTime | sträng | Ny tid som angavs i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | sträng | Anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och annat beteende för användarkontot. |
| NewValue | sträng | Nytt värde för ändrat registernyckelvärde. |
| NewValueType | sträng | Ny typ av ändrat registernyckelvärde. |
| ObjectName | sträng | Namn och annan identifierande information för det objekt som åtkomst begärdes för. För en fil inkluderas till exempel sökvägen. |
| ObjectServer | sträng | Innehåller namnet på Windows-undersystemet som anropar rutinen. |
| ObjectType | sträng | Typen av ett objekt som användes under åtgärden. |
| ObjectValueName | sträng | Namnet på det ändrade registernyckelvärdet. |
| OemInformation | sträng | Den ursprungliga utrustningstillverkaren (OEM) som är associerad med en enhet eller ett system i händelsen. |
| OldMaxUsers | sträng | Det tidigare maximala antalet användare som tillåts för en resurs i händelsen. |
| OldRemark | sträng | det gamla värdet för fältet Kommentarer för nätverksresursen. Har värdet "N/A" om det inte har angetts. |
| OldShareFlags | sträng | Tidigare resursflaggor som är associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivskyddad, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter. |
| OldUacValue | sträng | Anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och annat beteende för användarkontot. Den här parametern innehåller det tidigare värdet för userAccountControl-attributet för användarobjektet. |
| OldValue | sträng | Gammalt värde för ändrat registernyckelvärde. |
| OldValueType | sträng | Gammal typ av ändrat registernyckelvärde. |
| Opcode | sträng | Opcode-elementet definieras av den komplexa typen SystemPropertiesType. |
| OperationType | sträng | Den typ av åtgärd som utfördes på ett objekt |
| PackageName | sträng | Namnet på det LAN Manager-underpaket (NTLM-family protocol name) som användes under inloggningen. |
| ParentProcessName | sträng | Namnet på den överordnade process som är associerad med händelsen. |
| PasswordHistoryLength | sträng | Grupprincip för \Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Framtvinga lösenordshistorik. Numeriskt värde. |
| PasswordLastSet | sträng | Senaste gången kontots lösenord ändrades. |
| PasswordProperties | sträng | Lösenordsprinciper eller egenskaper som är associerade med händelsen, till exempel lösenordslängd, komplexitet och förfallodatum. |
| PreviousDate | sträng | Föregående datum som är associerat med händelsen. |
| PreviousTime | sträng | Tidigare tid i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | sträng | Relativ identifierare (RID) för användarens primära objektgrupp. |
| PrivateKeyUsageCount | sträng | Antalet gånger en privat nyckel har använts. |
| PrivilegeList | sträng | Behörigheterna, inklusive användar-, grupp- eller systembehörigheter som är associerade med händelsen. |
| Process | sträng | Namnet på den process som genererar händelsen. |
| ProcessId | sträng | Identifierar den process som genererade händelsen. |
| ProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för processen. |
| ProfilePath | sträng | Anger en sökväg till kontots profil. Det här värdet kan vara en null-sträng, en lokal absolut sökväg eller en UNC-sökväg. |
| Egenskaper | sträng | Beror på objekttyp. Det här fältet kan vara tomt eller innehålla listan över objektegenskaperna som användes. |
| ProtocolSequence | sträng | Information om protokollet som används för ett autentiseringsförsök. |
| ProxyPolicyName | sträng | Namnet på principen som användes för att konfigurera proxyservern för att ansluta till nätverket. |
| QuarantineHelpURL | sträng | URL som ger hjälp med att felsöka ett problem med nätverkskarantän. |
| QuarantineSessionID | sträng | Identifierare för sessionen där filen utvärderades för karantän. |
| QuarantineSessionIdentifier | sträng | Identifierare för sessionen där filen utvärderades för karantän. |
| QuarantineState | sträng | Den visar om filen har placerats i karantän. |
| QuarantineSystemHealthResult | sträng | Rapport som visar status för de filer som har placerats i karantän. |
| RelativeTargetName | sträng | Relativt namn på den använda målfilen eller mappen. Den här filsökvägen är relativ till nätverksresursen. Om åtkomst begärdes för själva resursen visas det här fältet som "". |
| RemoteIpAddress | sträng | IP-adressen för den dator som initierade en fjärranslutning. |
| RemotePort | sträng | Portnumret för fjärrdatorn som initierade en anslutning. |
| Beställare | sträng | Identifieraren för händelseförfrågan. |
| RequestId | sträng | En unik identifierare som är associerad med specifika begäranden, till exempel de som görs via HTTP. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| RestrictedAdminMode | sträng | Fylls endast i för RemoteInteractive-inloggningstypsessioner. Det här är en ja/nej-flagga som anger om de angivna autentiseringsuppgifterna skickades med begränsat administratörsläge. Läget Begränsad administratör lades till i Win8.1/2012R2, men den här flaggan lades till i händelsen i Win10. |
| RaderTa bort | sträng | Antalet rader som har tagits bort som en del av en viss åtgärd. |
| SamAccountName | sträng | inloggningsnamn för konto som används för att stödja klienter och servrar från tidigare versioner av Windows (inloggningsnamn före Windows 2000). |
| ScriptPath | sträng | Anger sökvägen till kontots inloggningsskript. |
| SecurityDescriptor | sträng | Information om säkerhetsinställningar och behörigheter för ett visst objekt eller en viss resurs. |
| ServiceAccount | sträng | Säkerhetskontexten som tjänsten ska köra som när den startas. |
| ServiceFileName | sträng | Anger vilken typ av tjänst som registrerades med Service Control Manager. |
| ServiceName | sträng | Namnet på den installerade tjänsten. |
| ServiceStartType | heltal | Innehåller information om hur en viss tjänst ska startas, om den ska startas automatiskt eller manuellt. |
| ServiceType | sträng | Anger vilken typ av tjänst som registrerades med Service Control Manager. |
| SessionName | sträng | Namnet på sessionen som användaren återanslutdes till. |
| ShareLocalPath | sträng | Den lokala sökvägen till den anslutna nätverksresursen. |
| ShareName | sträng | Namnet på den anslutna nätverksresursen. Formatet är: \*\SHARE_NAME. |
| SidHistory | sträng | Innehåller tidigare SID:er som användes för objektet om objektet flyttades från en annan domän. |
| SourceComputerId | sträng | Unik identifierare tilldelad till varje dator i en Windows-domän. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Status | sträng | Anledningen till att inloggningen misslyckades. För den här händelsen har den vanligtvis värdet "0xC0000234". De vanligaste statuskoderna visas i tabell 12. Statuskoder för Windows-inloggning. |
| StorageAccount | sträng | Anger åtkomstnyckeln för lagringskontot. |
| UnderkategoriGuid | sträng | Det unika GUID:et för ändrad underkategori. |
| SubcategoryId | sträng | En unik identifierare för en viss typ av händelse. |
| Ämne | sträng | Information om säkerhetsobjektet (till exempel användarkontot) som initierade händelsen. |
| SubjectAccount | sträng | Information om det konto som initierar händelsen. |
| SubjectDomainName | sträng | Information om den domän eller arbetsgrupp som ämneskontot tillhör. |
| SubjectKeyIdentifier | sträng | En unik identifierare för ett visst certifikatämne. |
| SubjectLogonId | sträng | En unik identifierare för inloggningssessionen som är associerad med ämneskontot. |
| SubjectMachineName | sträng | Information om den dator eller det system som händelsen skapades från. |
| SubjectMachineSID | sträng | Säkerhetsidentifieraren (SID) för den dator som genererade händelsen. |
| SubjectUserName | sträng | Namnet på det användarkonto som genererade händelsen. |
| SubjectUserSid | sträng | Säkerhetsidentifieraren (SID) för användarkontot som genererade händelsen. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| Understatus- | sträng | Ytterligare information om inloggningsfel. De vanligaste understatuskoderna som anges i tabell 12. Statuskoder för Windows-inloggning". |
| SystemProcessId | heltal | Identifierar den process som genererade händelsen. |
| SystemThreadId | heltal | Identifierar tråden som genererade händelsen. |
| SystemUserId | sträng | ID för den användare som ansvarar för händelsen. |
| TableId | sträng | Den specifika datatabellidentifieraren som händelsedata lagras i. |
| TargetAccount | sträng | Det konto som händelsen riktar sig till (användarnamn, datornamn osv.). |
| TargetDomainName | sträng | Namnet på den domän som målkontot tillhör. |
| TargetInfo | sträng | Ytterligare information om händelsemålet (till exempel sökvägen till en fil eller mapp, namnet på en registernyckel osv.). |
| TargetLinkedLogonId | sträng | Information som hjälper till att länka relaterade händelser tillsammans med deras inloggningsförsöks-ID:n. Det kan vara användbart för att hålla alla relevanta händelser organiserade, spåra aktivitet över flera sessioner och identifiera attackkällan. |
| TargetLogonGuid | sträng | En globalt unik identifierare (GUID) som är associerad med inloggningssessionen som är relaterad till händelsen. |
| TargetLogonId | sträng | En unik identifierare som är associerad med inloggningssessionen som är relaterad till händelsen. |
| TargetOutboundDomainName | sträng | Domänen som kontot som anges i fältet TargetAccount autentiserades mot under ett utgående autentiseringsförsök. |
| TargetOutboundUserName | sträng | Namnet på användarkontot som autentiserades under ett utgående autentiseringsförsök. |
| TargetServerName | sträng | Namnet på servern där den nya processen kördes. Har värdet "localhost" om processen kördes lokalt. |
| TargetSid | sträng | Säkerhetsidentifieraren (SID) för den server där den nya processen kördes. |
| TargetUser | sträng | Identifieraren för användarkontot som genererade den nya processen. |
| TargetUserName | sträng | Namnet på användarkontot som genererade den nya processen. |
| TargetUserSid | sträng | Säkerhetsidentifieraren (SID) som är associerad med användaren eller resursen som är inblandad i händelsen. |
| Uppgift | heltal | Uppgiften som definierats i händelsen. |
| TemplateContent | sträng | Innehållet i händelsemeddelandet eller meddelandet i ett strukturerat formulär. |
| TemplateDSObjectFQDN | sträng | FQDN för DS-objektet som representerar GPO-mallen. |
| TemplateInternalName | sträng | Det interna namnet på grupprincipobjektmallen. |
| TemplateOID | sträng | den unika identifieraren för mallen som användes för att skapa händelsen. |
| TemplateSchemaVersion | sträng | Version av mallschemat som definierar de data som ska inkluderas med en händelse. |
| TemplateVersion | sträng | Version av mallen som definierar de data som ska inkluderas med en händelse. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tidsstämpeln när händelsen genererades på datorn. |
| TokenElevationType | sträng | Typ av token som har tilldelats till en ny process i enlighet med principen för användarkontokontroll. |
| TransmittedServices | sträng | Listan över överförda tjänster. Överförda tjänster fylls i om inloggningen berodde på en inloggningsprocess för S4U (Tjänst för användare). S4U är ett Microsoft-tillägg till Kerberos-protokollet som gör att en programtjänst kan hämta en Kerberos-tjänstbiljett åt en användare – oftast via en klientdelswebbplats för att få åtkomst till en intern resurs åt en användare. Mer information om S4U finns i https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | sträng | Namnet på tabellen |
| UserAccountControl | sträng | Visar listan över ändringar i userAccountControl-attributet. Du ser en textrad för varje ändring. |
| UserParameters | sträng | Om du ändrar en inställning med hjälp av Active Directory - användare och datorer-hanteringskonsolen på fliken Uppringning i användarens kontoegenskaper visas <värdet ändrat, men visas> inte i det här fältet. För lokala konton är det här fältet inte tillämpligt och har <alltid ett värde som inte har angetts> . |
| UserPrincipalName | sträng | Inloggningsnamn i Internetstil för kontot, baserat på Internetstandarden RFC 822. Enligt konventionen bör detta mappas till kontots e-postnamn. |
| UserWorkstations | sträng | Innehåller listan över NetBIOS- eller DNS-namn på de datorer som användaren kan logga in från. Varje datornamn avgränsas med ett kommatecken. Namnet på en dator är egenskapen sAMAccountName för ett datorobjekt. |
| VendorIds | sträng | "Maskinvaru-ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information. |
| Version | heltal | Innehåller versionsnumret för händelsens definition. |
| VirtualAccount | sträng | Flaggan "Ja" eller "Nej", som anger om kontot är ett virtuellt konto (t.ex. "Hanterat tjänstkonto", som introducerades i Windows 7 och Windows Server 2008 R2 för att ge möjlighet att identifiera det konto som en viss tjänst använder, i stället för att bara använda "NetworkService". |
| Arbetsstation | sträng | Namnet på den dator som användes för att utföra händelsen. |
| WorkstationName | sträng | Datornamn som ett inloggningsförsök utfördes från. |