مشاركة عبر

DeviceLogonEvents

  • مقالة

ينطبق على:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

DeviceLogonEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول عمليات تسجيل دخول المستخدم وأحداث المصادقة الأخرى على الأجهزة. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.

تلميح

للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.

للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.

اسم العمود نوع البيانات الوصف
Timestamp datetime تاريخ ووقت تسجيل الحدث
DeviceId string معرف فريد للجهاز في الخدمة
DeviceName string اسم المجال المؤهل بالكامل (FQDN) للجهاز
ActionType string نوع النشاط الذي أدى إلى تشغيل الحدث
LogonType string نوع جلسة تسجيل الدخول، على وجه التحديد:

- تفاعلي - يتفاعل المستخدم فعليا مع الجهاز باستخدام لوحة المفاتيح والشاشة المحلية

- تسجيلات الدخول التفاعلية عن بعد (RDP) - يتفاعل المستخدم مع الجهاز عن بعد باستخدام سطح المكتب البعيد أو الخدمات الطرفية أو المساعدة عن بعد أو عملاء RDP الآخرين

- الشبكة - يتم بدء الجلسة عند الوصول إلى الجهاز باستخدام PsExec أو عند الوصول إلى الموارد المشتركة على الجهاز، مثل الطابعات والمجلدات المشتركة،

- الدفعة - جلسة العمل التي بدأتها المهام المجدولة

- الخدمة - جلسة العمل التي بدأتها الخدمات عند بدء تشغيلها
AccountDomain string مجال الحساب
AccountName string اسم المستخدم للحساب
AccountSid string معرف الأمان (SID) للحساب
Protocol string البروتوكول المستخدم أثناء الاتصال
FailureReason string معلومات توضح سبب فشل الإجراء المسجل
IsLocalAdmin boolean مؤشر منطقي لمعرفة ما إذا كان المستخدم مسؤولا محليا على الجهاز
LogonId long معرف جلسة تسجيل الدخول. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل.
RemoteDeviceName string اسم الجهاز الذي أجرى عملية عن بعد على الجهاز المتأثر. اعتمادا على الحدث الذي يتم الإبلاغ عنه، قد يكون هذا الاسم اسم مجال مؤهل بالكامل (FQDN) أو اسم NetBIOS أو اسم مضيف بدون معلومات المجال.
RemoteIP string عنوان IP للجهاز الذي تم إجراء محاولة تسجيل الدخول منه
RemoteIPType string نوع عنوان IP، على سبيل المثال عام، خاص، محجوز، تكرار حلقي، Teredo، FourToSixMapping، وبث
RemotePort int منفذ TCP على الجهاز البعيد الذي كان متصلا به
InitiatingProcessAccountDomain string مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث
InitiatingProcessAccountName string اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث
InitiatingProcessAccountSid string معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث
InitiatingProcessAccountUpn string اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث
InitiatingProcessAccountObjectId string Microsoft Entra معرف الكائن لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث
InitiatingProcessIntegrityLevel string مستوى تكامل العملية التي بدأت الحدث. يعين Windows مستويات تكامل للعمليات استنادا إلى خصائص معينة، مثل ما إذا تم تشغيلها من تنزيل الإنترنت. تؤثر مستويات التكامل هذه على أذونات الموارد.
InitiatingProcessTokenElevation string نوع الرمز المميز الذي يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي بدأت الحدث
InitiatingProcessSHA1 string تجزئة SHA-1 للعملية (ملف الصورة) التي بدأت الحدث
InitiatingProcessSHA256 string تجزئة SHA-256 للعملية (ملف الصورة) التي بدأت الحدث. عادة ما لا يتم ملء هذا الحقل - استخدم عمود SHA1 عند توفره.
InitiatingProcessMD5 string تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث
InitiatingProcessFileName string اسم ملف العملية الذي بدأ الحدث؛ إذا لم يكن متوفرا، فقد يظهر اسم العملية التي بدأت الحدث بدلا من ذلك
InitiatingProcessFileSize long حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث
InitiatingProcessVersionInfoCompanyName string اسم الشركة من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث
InitiatingProcessVersionInfoProductName string اسم المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث
InitiatingProcessVersionInfoProductVersion string إصدار المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث
InitiatingProcessVersionInfoInternalFileName string اسم الملف الداخلي من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث
InitiatingProcessVersionInfoOriginalFileName string اسم الملف الأصلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث
InitiatingProcessVersionInfoFileDescription string وصف من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث
InitiatingProcessId long معرف العملية (PID) للعملية التي بدأت الحدث
InitiatingProcessCommandLine string سطر الأوامر المستخدم لتشغيل العملية التي بدأت الحدث
InitiatingProcessCreationTime datetime تاريخ ووقت بدء العملية التي بدأت الحدث
InitiatingProcessFolderPath string مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث
InitiatingProcessParentId long معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث
InitiatingProcessParentFileName string الاسم أو المسار الكامل للعملية الأصل التي ولدت العملية المسؤولة عن الحدث
InitiatingProcessParentCreationTime datetime تاريخ ووقت بدء تشغيل أصل العملية المسؤولة عن الحدث
ReportId long معرف الحدث استنادا إلى عداد مكرر. لتحديد الأحداث الفريدة، يجب استخدام هذا العمود بالاقتران مع عمودي DeviceName و Timestamp.
AppGuardContainerId string معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض
AdditionalFields string معلومات إضافية حول الحدث بتنسيق صفيف JSON
InitiatingProcessSessionId long معرف جلسة Windows لعملية البدء
IsInitiatingProcessRemoteSession bool يشير إلى ما إذا كان قد تم تشغيل عملية البدء ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ)
InitiatingProcessRemoteSessionDeviceName string اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP الخاصة بعملية البدء منه
InitiatingProcessRemoteSessionIP string عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP لعملية البدء منه

ملاحظة

مجموعة DeviceLogonEvents غير مدعومة على أجهزة Windows 7 أو Windows Server 2008R2 المإلحاقة ب Defender لنقطة النهاية. نوصي بالترقية إلى نظام تشغيل أحدث للرؤية المثلى لنشاط تسجيل دخول المستخدم.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.