SecurityEvent
Události zabezpečení shromažďované z počítačů s Windows Azure Security Center nebo Azure Sentinel.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpečení |
| Řešení | Zabezpečení, SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| AccessMask | řetězec | Šestnáctková maska pro požadovanou nebo provedenou operaci. |
| Účet | řetězec | Kontext zabezpečení pro služby nebo uživatele. |
| AccountDomain | řetězec | Název domény nebo počítače subjektu. |
| AccountExpires | řetězec | Datum vypršení platnosti účtu. |
| AccountName | řetězec | Název účtu, který požadoval operaci odebrání důvěryhodnosti domény. |
| AccountSessionIdentifier | řetězec | Jedinečný identifikátor vygenerovaný počítačem při vytvoření relace. |
| Accounttype | řetězec | Určuje, jestli se jedná o účet počítače nebo uživatele. |
| Aktivita | řetězec | Došlo k popisnýmu názvu události. |
| AdditionalInfo | řetězec | Další informace poskytované zdrojem, které nejsou namapovány na jiná pole reprezentovaná seznamem. |
| Další informace 2 | řetězec | Další informace poskytované zdrojem, které nejsou namapovány na jiná pole reprezentovaná seznamem. |
| AllowedToDelegateTo | řetězec | Seznam hlavních názvů služeb (SPN), do kterých může tento účet prezentovat delegovaná pověření. |
| Atributy | řetězec | Další informace o události. |
| AuditPolicyChanges | řetězec | Události, které se generují při provedení změn v zásadách auditování systému nebo nastavení auditování v souboru nebo klíči registru. |
| AudityDiscarded | int | Počet zpráv auditu, které byly zahozeny |
| Úroveň ověřování | int | Počet zpráv auditu, které byly zahozeny |
| AuthenticationPackageName | řetězec | název načteného ověřovacího balíčku. Formát je: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | řetězec | Identita zprostředkovatele zodpovědného za proces ověřování (může zahrnovat certifikační autoritu, uživatelské jméno, systém ověřování hesel atd.). |
| AuthenticationServer | řetězec | Server, na kterém se nachází zprostředkovatele ověřování. |
| Authenticationservice | int | Služba, ve které se nachází zprostředkovatel ověřování. |
| Authenticationtype | řetězec | typ ověřování, který byl použit pro událost (dvojúrovňové ověřování, biometrické ověřování atd.). |
| AzureDeploymentID | řetězec | ID nasazení Azure cloudové služby, do které protokol patří. |
| _BilledSize | real | Velikost záznamu v bajtech |
| CACertificateHash | řetězec | Hodnota hash certifikátu certifikační autority (CA), která se použila k ověření uživatele, který provedl událost. |
| CalledStationID | řetězec | Informace o ID stanice, která iniciovala akci, která vedla k události zabezpečení. |
| CallerProcessId | řetězec | Šestnáctkové ID procesu procesu, který se pokusil o přihlášení. ID procesu (PID) je číslo, které operační systém používá k jedinečné identifikaci aktivního procesu. |
| CallerProcessName | řetězec | Úplná cesta a název spustitelného souboru procesu. |
| CallingStationID | řetězec | Informace o ID stanice, která iniciovala akci, která vedla k události zabezpečení. |
| CAPublicKeyHash | řetězec | Hodnota hash, která identifikuje veřejný klíč certifikační autority (CA), která certifikát vydala. |
| CategoryId | řetězec | Kategorie události zabezpečení, ke které došlo (pokus o přihlášení, únik dat atd.). |
| CertificateDatabaseHash | řetězec | Hodnota hash, která identifikuje databázi, která vydala certifikát. |
| Kanál | řetězec | Kanál, do kterého byla událost zaznamenána. |
| Classid | řetězec | Atribut Guid třídy zařízení. |
| Classname | řetězec | Atribut 'Class' pro zařízení. |
| ClientAddress | řetězec | IP adresa počítače, ze kterého byl přijat požadavek TGT. |
| ClientIPAddress | řetězec | IP adresa počítače, který inicioval akci, která vedla k události. |
| Název_klienta | řetězec | název počítače, ze kterého byl uživatel znovu připojen. Má hodnotu Neznámý pro relaci konzoly. |
| CommandLine | řetězec | Argumenty příkazového řádku, které byly předány aplikaci nebo procesu, který byl zapojen do události. |
| CompatibleIds | řetězec | Atribut Kompatibilní IDs zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| Počítač | řetězec | Název počítače, ve kterém došlo k události. |
| DCDNSName | řetězec | Název DNS řadiče domény, který byl zapojen do události. |
| Popis zařízení | řetězec | popis zařízení, které bylo zapojeno do události. |
| DeviceId | řetězec | Jedinečný identifikátor zařízení, které bylo zapojeno do události. |
| DisplayName | řetězec | Jedná se o jméno, které se zobrazuje v adresáři konkrétního účtu. Obvykle se jedná o kombinaci jména uživatele, prostřední iniciály a příjmení. |
| Dispozice | řetězec | Výsledek nebo řešení události, například jestli byla událost vyřešena nebo jestli byla v reakci na událost provedena nějaká akce. |
| DomainBehaviorVersion | řetězec | Atribut domény msDS-Behavior-Version byl změněn. Číselná hodnota. |
| DomainName | řetězec | Název odebrané důvěryhodné domény. |
| DomainPolicyChanged | řetězec | Označuje, jestli se v rámci události změnily nějaké zásady domény (zásady hesel, zásady zabezpečení atd.). |
| Id domény | řetězec | SID důvěryhodného partnera. Tento parametr nemusí být zachycen v události a v takovém případě se zobrazí jako NULL SID. |
| Typ protokolu EAP | řetězec | Typ protokolu EAP (Extensible Authentication Protocol), který byl použit pro proces ověřování událostí. |
| ElevatedToken | řetězec | Příznak "Ano" nebo "Ne". Pokud ano, relace, která představuje tuto událost, je zvýšená a má oprávnění správce. |
| ErrorCode | int | Obsahuje kód chyby pro události selhání. Pro události success má tento parametr hodnotu 0x0. |
| Eventdata | řetězec | Data specifická pro událost přidružená k události. |
| ID události | int | Identifikátor, který zprostředkovatel použil k identifikaci události. |
| EventSourceName | řetězec | Název softwaru, který protokoluje událost (applicationnebo succomponent). |
| ExtendedQuarantineState | řetězec | Stav procesu karantény sítě, pokud je k dispozici. Karanténa sítě je proces, při kterém se neoprávněným zařízením brání v přístupu k síti, dokud nesplní určité požadavky na zabezpečení nebo dokud nebudou zkontrolována na malware. |
| ChybaReason | řetězec | textové vysvětlení hodnoty pole Stav. Pro tuto událost má obvykle hodnotu Účet uzamčený. |
| FileHash | řetězec | Hodnota hash pro všechny soubory, ke kterým bylo v rámci události přistupováno nebo změněno, nebo všechny soubory, které byly použity v procesu ověřování nebo autorizace. |
| Filepath | řetězec | Úplná cesta a název souboru klíče, na kterém byla operace provedena. |
| FilePathNoUser | řetězec | Cesta ke všem souborům, které souvisejí s událostí, s výjimkou uživatelského jména nebo jiných informací specifických pro uživatele. |
| Filtrovat | řetězec | Filtry, které se použijí v provedené události. |
| ForceLogoff | řetězec | Zásady skupiny \Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Zabezpečení sítě: Vynutit odhlášení po uplynutí doby přihlášení. |
| Fqbn | řetězec | Plně kvalifikovaný binární název (FQBN) pro všechny soubory, které souvisejí s událostí. |
| FullyQualifiedSubjectMachineName | řetězec | Plně kvalifikovaný název domény (FQDN) počítače, který událost inicioval. |
| FullyQualifiedSubjectUserName | řetězec | Uživatelské jméno uživatele nebo služby, která událost iniciovala ve formátu FQDN. |
| Členství ve skupině | řetězec | Seznam identifikátorů SID skupiny, ke kterým protokolovaný účet patří (člen). Prohlížeč událostí se automaticky pokusí přeložit identifikátory SID a zobrazit název účtu. Pokud identifikátor SID nelze přeložit, zobrazí se v události zdrojová data. |
| Id obslužné rutiny | řetězec | Šestnáctková hodnota popisovače pro název objektu. Toto pole lze použít pro korelaci s jinými událostmi. |
| Id hardwaru | řetězec | Atribut Id hardwaru zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| Adresář domů | řetězec | Domovský adresář uživatele. Pokud je atribut homeDrive nastavený a určuje písmeno jednotky, homeDirectory by měla být cesta UNC. Cesta musí být síťová UNC ve tvaru \Server\Share\Directory. |
| Domovská cesta | řetězec | Domovská cesta uživatele. Cesta musí být síťová UNC ve tvaru \Server\Share\Directory. |
| InterfaceUuid | řetězec | Jedinečný identifikátor (UUID) pro síťové rozhraní, které bylo použito pro událost. |
| IpAddress | řetězec | síťovou adresu (obvykle IPv4 nebo IPv6) přidruženou k události. |
| IpPort | řetězec | Číslo síťového portu přidruženého k události. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
| KeyLength | int | Délka klíče zabezpečení relace NTLM. Obvykle má délku 128 bitů nebo 56 bitů. |
| Level | řetězec | Systém Windows kategorizuje každou událost s úrovní závažnosti. Úrovně v pořadí závažnosti jsou informace, podrobné, upozornění, chyba a kritické hodnoty vyjádřené čísly. |
| LmPackageName | řetězec | Název balíčku nebo softwarové komponenty, která aktuálně používá místní úřad zabezpečení (LSA) na počítači, na kterém se událost generuje. |
| Informace o poloze | řetězec | Atribut "Informace o poloze" zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| LockoutDuration | řetězec | Zásady skupiny \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Doba trvání uzamčení účtu. Číselná hodnota. |
| LockoutObservationWindow | řetězec | \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Resetovat čítač uzamčení účtu po. Číselná hodnota. |
| LockoutThreshold | řetězec | Zásady skupiny \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Prahová hodnota uzamčení účtu. Číselná hodnota. |
| LoggingResult | řetězec | Výsledek procesu přihlášení. |
| LogonGuid | řetězec | Identifikátor GUID, který vám může pomoct s korelací této události s jinou událostí, která může obsahovat stejný přihlašovací identifikátor GUID. |
| Přihlašovací hodiny | řetězec | Hodiny, kdy se účet může přihlásit k doméně. |
| Id přihlášení | řetězec | Šestnáctková hodnota, která vám může pomoct korelovat tuto událost s nedávnými událostmi, které můžou obsahovat stejné přihlašovací ID. |
| LogonProcessName | řetězec | Název zaregistrovaného procesu přihlášení. |
| LogonType | int | Typ přihlášení, které bylo provedeno. |
| LogonTypeName | řetězec | Typ události přihlášení nebo ověřování, kterou protokol událostí zaznamenává (běžné hodnoty: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | řetězec | Atribut domény ms-DS-MachineAccountQuota byl změněn. Číselná hodnota. |
| MachineInventory | řetězec | Informace o konfiguraci hardwaru a softwarovém prostředí počítače, ve kterém se událost generuje. Může obsahovat různé datové body, například: z make a model počítače, množství dostupné paměti RAM nebo úložného prostoru, čísla verzí různých softwarových aplikací atd.). |
| MachineLogon | řetězec | Informace o události úspěšného přihlášení v počítači. |
| ManagementGroupName | řetězec | Další informace na základě typu prostředku |
| Povinnáznačka | řetězec | ID popisku integrity, který byl přiřazen novému procesu. |
| MaxPasswordAge | řetězec | Časové období (ve dnech), po které může být heslo použito, než systém vyžaduje, aby ho uživatel změnil. |
| MemberName | řetězec | Uživatelský účet, který byl zapojen do události. |
| Id člena | řetězec | Identifikátor zabezpečení (SID) přidružený k uživatelskému účtu, který byl do události zapojen. |
| MinPasswordAge | řetězec | Časové období (ve dnech), po které musí být heslo použito, než systém vyžaduje, aby ho uživatel změnil. |
| MinPasswordLength | řetězec | Nejmenší počet znaků, které mohou vytvořit heslo pro uživatelský účet. |
| MixedDomainMode | řetězec | Doménový režim systému nebo řadiče domény. |
| NASIdentifier | řetězec | Identifikátor serveru pro přístup k síti (NAS), který byl zapojen do události. |
| NASIPv4Address | řetězec | IPv4Address serveru pro přístup k síti (NAS), který byl zapojen do události, pokud je k dispozici. |
| ADRESA NASIPv6Address | řetězec | IPv6Address serveru pro přístup k síti (NAS), který byl zapojen do události, pokud je k dispozici. |
| NASPort | řetězec | port na serveru pro přístup k síti, který byl použit v události. |
| NASPortType | řetězec | typ serveru pro přístup k síti (NAS) použitý v události. |
| NetworkPolicyName | řetězec | Název zásady sítě přidružené k události. |
| Nové datum | řetězec | Nové datum v časovém pásmu UTC. Formát je RRRR-MM-DD. |
| NewMaxUsers | řetězec | Nový maximální počet uživatelů povolených pro prostředek v události. |
| NewProcessId | řetězec | ID šestnáctkového procesu nového procesu. ID procesu (PID) je číslo, které operační systém používá k jedinečné identifikaci aktivního procesu. |
| NewProcessName | řetězec | Úplná cesta a název spustitelného souboru pro nový proces. |
| NewRemark | řetězec | Nová hodnota pole Síťové sdílené složky Komentáře: Pokud není nastavená, má hodnotu N/A. |
| NewShareFlags | řetězec | Sdílená složka v události označí příznakem přidruženým k prostředku, například informace o tom, jestli je prostředek jen pro čtení nebo pro čtení/zápis, jestli je skrytý, a další parametry, které můžou ovlivnit přístup a oprávnění. |
| NewTime | řetězec | Nový čas nastavený v časovém pásmu UTC. Formát je RRRR-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | řetězec | Určuje příznaky, které řídí heslo, uzamčení, zakázání/povolení, skript a další chování uživatelského účtu. |
| Newvalue | řetězec | Nová hodnota pro změněnou hodnotu klíče registru. |
| NewValueType | řetězec | Nový typ změněné hodnoty klíče registru. |
| ObjectName | řetězec | Název a další identifikační informace pro objekt, ke kterému byl požadován přístup. Například pro soubor by byla zahrnuta cesta. |
| ObjectServer | řetězec | Obsahuje název subsystému Windows, který volá rutinu. |
| ObjectType | řetězec | Typ objektu, ke kterému bylo během operace přistupováno. |
| Název hodnoty objektu | řetězec | Název upravené hodnoty klíče registru. |
| Informace Oem | řetězec | Výrobce originálního vybavení (OEM) přidružený k zařízení nebo systému v události. |
| OldMaxUsers | řetězec | Předchozí maximální počet uživatelů povolený pro prostředek v události |
| Staré označení | řetězec | původní hodnota pole Síťové sdílené složky Pokud není nastavená, má hodnotu N/A. |
| OldShareFlags | řetězec | Předchozí sdílená složka označí příznaky přidružené k prostředku v události, například informace o tom, jestli je prostředek jen pro čtení nebo pro čtení/zápis, jestli je skrytý, a další parametry, které můžou mít vliv na přístup a oprávnění. |
| OldUacValue | řetězec | Určuje příznaky, které řídí heslo, uzamčení, zakázání/povolení, skript a další chování uživatelského účtu. Tento parametr obsahuje předchozí hodnotu atributu userAccountControl objektu uživatele. |
| Oldvalue | řetězec | Stará hodnota pro změněnou hodnotu klíče registru. |
| OldValueType | řetězec | Starý typ změněné hodnoty klíče registru. |
| Typ operace | řetězec | Typ operace, která byla provedena s objektem |
| Packagename | řetězec | Název dílčího balíčku LAN Manager (název protokolu řady NTLM), který byl použit při přihlašování. |
| ParentProcessName | řetězec | Název nadřazeného procesu přidruženého k události. |
| PasswordHistoryLength | řetězec | \Nastavení zabezpečení\Zásady účtu\Zásady hesel\Vynutit historii hesel". Číselná hodnota. |
| PasswordLastSet | řetězec | Čas poslední změny hesla účtu |
| Vlastnosti hesla | řetězec | Zásady hesel nebo vlastnosti přidružené k události, například délka hesla, složitost a datum vypršení platnosti. |
| Předchozí datum | řetězec | Předchozí datum přidružené k události. |
| Předchozí čas | řetězec | Předchozí čas v časovém pásmu UTC. Formát je RRRR-MM-DDThh:mm:ss.nnnnnnnZ. |
| Id primární skupiny | řetězec | Relativní identifikátor (RID) primární skupiny objektů uživatele |
| PrivateKeyUsageCount | řetězec | Kolikrát byl privátní klíč použit. |
| Seznam oprávnění | řetězec | Oprávnění, včetně uživatelských, skupinových nebo systémových oprávnění přidružených k události. |
| Proces | řetězec | Název procesu, který generuje událost. |
| Processid | řetězec | Identifikuje proces, který vygeneroval událost. |
| ProcessName | řetězec | Úplná cesta a název spustitelného souboru pro proces. |
| Profilová cesta | řetězec | Určuje cestu k profilu účtu. Tato hodnota může být řetězec null, místní absolutní cesta nebo cesta UNC. |
| Vlastnosti | řetězec | Závisí na typu objektu. Toto pole může být prázdné nebo může obsahovat seznam vlastností objektu, ke kterým se přistupovalo. |
| Sekvence protokolu | řetězec | Informace o protokolu použitém pro pokus o ověření |
| ProxyPolicyName | řetězec | Název zásady, která se použila ke konfiguraci proxy serveru pro připojení k síti. |
| QuarantineHelpURL | řetězec | Adresa URL, která poskytuje pomoc s řešením potíží s karanténou sítě. |
| QUARANTINESessionID | řetězec | Identifikátor relace, ve které byl soubor vyhodnocen jako karanténní. |
| QuarantineSessionIdentifier | řetězec | Identifikátor relace, ve které byl soubor vyhodnocen jako karanténní. |
| QuarantineState | řetězec | Zobrazuje, jestli je soubor v karanténě. |
| QuarantineSystemHealthResult | řetězec | Sestava, která zobrazuje stav souborů, které byly v karanténě. |
| RelativeTargetName | řetězec | Relativní název cílového souboru nebo složky, ke které se přistupuje. Tato cesta k souboru je relativní vzhledem ke sdílené síťové složce. Pokud byl požadován přístup k samotné sdílené složce, zobrazí se toto pole jako \. |
| RemoteIpAddress | řetězec | IP adresa počítače, který inicioval vzdálené připojení. |
| RemotePort | řetězec | Číslo portu vzdáleného počítače, který inicioval připojení. |
| Žadatel | řetězec | Identifikátor žadatele o událost. |
| Requestid | řetězec | Jedinečný identifikátor, který je přidružený ke konkrétním požadavkům, například k požadavkům provedeným přes protokol HTTP. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| RestrictedAdminMode | řetězec | Vyplní se pouze pro relace typu přihlášení RemoteInteractive. Toto je příznak ano/ne označující, jestli byly zadané přihlašovací údaje předány pomocí režimu omezeného Správa. Režim omezeného Správa byl přidán ve Win8.1/2012R2, ale tento příznak byl přidán do události ve Win10. |
| ŘádkyOdleted | řetězec | Počet řádků, které byly odstraněny v rámci konkrétní operace. |
| Název účtu SAM | řetězec | přihlašovací jméno pro účet, který slouží k podpoře klientů a serverů z předchozích verzí systému Windows (přihlašovací jméno starších než Windows 2000). |
| Cesta skriptu | řetězec | Určuje cestu k přihlašovacímu skriptu účtu. |
| SecurityDescriptor | řetězec | Informace o nastavení zabezpečení a oprávněních konkrétního objektu nebo prostředku. |
| ServiceAccount | řetězec | Kontext zabezpečení, jako by služba běžela při spuštění. |
| Název_souboru_služby | řetězec | Určuje typ služby, která byla zaregistrována ve Správci řízení služeb. |
| ServiceName | řetězec | Název nainstalované služby. |
| ServiceStartType | int | Obsahuje informace o tom, jak se má konkrétní služba spustit, jestli se má spustit automaticky nebo ručně. |
| ServiceType | řetězec | Určuje typ služby, která byla zaregistrována ve Správci řízení služeb. |
| Název_relace | řetězec | Název relace, ke které se uživatel znovu připojil. |
| ShareLocalPath | řetězec | Místní cesta ke sdílené síťové složce, ke které se přistupuje. |
| Název_sdílené_položky | řetězec | Název sdílené síťové složky, ke které se přistupuje. Formát je: \*\SHARE_NAME. |
| Sidhistory | řetězec | Obsahuje předchozí identifikátory SID použité pro objekt, pokud byl objekt přesunut z jiné domény. |
| SourceComputerId | řetězec | Jedinečný identifikátor přiřazený každému počítači v doméně systému Windows. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| Stav | řetězec | Důvod, proč se přihlášení nezdařilo. Pro tuto událost má obvykle hodnotu 0xC0000234. Nejběžnější stavové kódy jsou uvedeny v tabulce 12. Stavové kódy přihlášení k Windows. |
| Účet úložiště | řetězec | Nastaví přístupový klíč účtu úložiště. |
| PodkategorieGuid | řetězec | Jedinečný identifikátor GUID změněné podkategorie. |
| Id podkategorie | řetězec | Jedinečný identifikátor pro konkrétní typ události. |
| Předmět | řetězec | Informace o objektu zabezpečení (například: uživatelský účet), který událost inicioval. |
| SubjectAccount | řetězec | Informace o účtu, který událost iniciuje. |
| Název domény předmětu | řetězec | Informace o doméně nebo pracovní skupině, do které patří účet subjektu. |
| SubjectKeyIdentifier | řetězec | Jedinečný identifikátor konkrétního subjektu certifikátu. |
| SubjectLogonId | řetězec | Jedinečný identifikátor přihlašovací relace přidružené k účtu předmětu. |
| SubjectMachineName | řetězec | Informace o počítači nebo systému, ze kterého byla událost vytvořena. |
| SubjectMachineSID | řetězec | Identifikátor zabezpečení (SID) počítače, který událost vygeneroval. |
| SubjectUserName | řetězec | Název uživatelského účtu, který událost vygeneroval. |
| SubjectUserSid | řetězec | Identifikátor zabezpečení (SID) uživatelského účtu, který událost vygeneroval. |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Dílčí stav | řetězec | Další informace o chybě přihlášení. Nejběžnější dílčí stavové kódy uvedené v tabulce 12. Stavové kódy přihlášení systému Windows. |
| Tableid | řetězec | Identifikátor konkrétní tabulky dat, ve které jsou uložená data události. |
| Cílový účet | řetězec | Účet, na který událost cílí (uživatelské jméno, název počítače atd.). |
| Název_domény_cíle | řetězec | Název domény, do které cílový účet patří. |
| TargetInfo | řetězec | Další informace o cíli události (například: cesta k souboru nebo složce, název klíče registru atd.) |
| TargetLinkedLogonOnId | řetězec | Informace, které pomáhají propojit související události pomocí ID pokusů o přihlášení. Může být užitečné udržovat všechny relevantní události uspořádané, sledovat aktivity napříč několika relacemi a identifikovat zdroj útoku. |
| TargetLogonGuid | řetězec | Globálně jedinečný identifikátor (GUID) přidružený k přihlašovací relaci související s událostí. |
| Id cílového přihlášení | řetězec | Jedinečný identifikátor přidružený k relaci přihlášení související s událostí. |
| TargetOutboundDomainName | řetězec | Doména, pro kterou byl účet zadaný v poli TargetAccount ověřen během pokusu o ověření odchozích přenosů. |
| TargetOutboundUserName | řetězec | Název uživatelského účtu, který byl ověřen během pokusu o odchozí ověření. |
| TargetServerName | řetězec | Název serveru, na kterém byl spuštěn nový proces. Pokud byl proces spuštěn místně, má hodnotu localhost. |
| TargetSid | řetězec | Identifikátor zabezpečení (SID) serveru, na kterém byl spuštěn nový proces. |
| Cílový uživatel | řetězec | Identifikátor uživatelského účtu, který vygeneroval nový proces. |
| Cílové uživatelské jméno | řetězec | Název uživatelského účtu, který vygeneroval nový proces. |
| Id cílového uživatele | řetězec | Identifikátor zabezpečení (SID) přidružený k uživateli nebo prostředku zapojeného do události. |
| Úkol | int | Úkol definovaný v události. |
| TemplateContent | řetězec | Obsah zprávy nebo oznámení události ve strukturované podobě. |
| TemplateDSObjectFQDN | řetězec | Plně kvalifikovaný název domény objektu DS, který představuje šablonu objektu zásad skupiny. |
| TemplateInternalName | řetězec | Interní název šablony objektu zásad skupiny. |
| Identifikátor šablony | řetězec | jedinečný identifikátor šablony, která byla použita k vytvoření události. |
| TemplateSchemaVersion | řetězec | Verze schématu šablony definující data, která se mají zahrnout do události. |
| Verze šablony | řetězec | Verze šablony, která definuje data, která se mají zahrnout do události. |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Časové razítko, kdy byla událost v počítači vygenerována. |
| TokenElevationType | řetězec | Typ tokenu, který byl přiřazen novému procesu v souladu se zásadami řízení uživatelských účtů. |
| Přenosové služby | řetězec | Seznam přenášených služeb. Přenášené služby jsou naplněny, pokud bylo přihlášení výsledkem procesu přihlášení S4U (Služba pro uživatele). S4U je rozšíření protokolu Kerberos od Microsoftu, které aplikační službě umožňuje získat lístek služby Kerberos jménem uživatele – nejčastěji ho provádí front-end web za účelem přístupu k internímu prostředku jménem uživatele. Další informace o S4U najdete v tématu https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | řetězec | Název tabulky |
| Ovládací prvek uživatelského účtu | řetězec | Zobrazuje seznam změn v atributu userAccountControl. Pro každou změnu se zobrazí řádek textu. |
| Parametry uživatele | řetězec | Pokud změníte jakékoli nastavení pomocí konzoly pro správu Uživatelé a počítače služby Active Directory na kartě Vytáčení vlastností účtu uživatele, zobrazí <se v tomto poli změněná hodnota, ale nezobrazí se>. Pro místní účty není toto pole použitelné a vždy obsahuje hodnotu, která není nastavena<>. |
| UserPrincipalName | řetězec | Internetové přihlašovací jméno účtu založené na internetovém standardu RFC 822. Podle konvence by se to mělo mapovat na název e-mailu účtu. |
| UserWorkstations | řetězec | Obsahuje seznam názvů NetBIOS nebo DNS počítačů, ze kterých se uživatel může přihlásit. Každý název počítače je oddělený čárkou. Název počítače je vlastnost sAMAccountName objektu počítače. |
| Id dodavatele | řetězec | Atribut ID hardwaru zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti. |
| Virtuální účet | řetězec | Příznak "Ano" nebo "Ne", který označuje, jestli je účet virtuálním účtem (např. "Účet spravované služby"), který byl zaveden ve Windows 7 a Windows Serveru 2008 R2, aby poskytoval možnost identifikovat účet, který daná služba používá, namísto pouhého použití služby NetworkService. |
| Pracovní stanice | řetězec | Název počítače, který byl použit k provedení události. |
| Název pracovní stanice | řetězec | Název počítače, ze kterého došlo k pokusu o přihlášení. |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro