Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Události zabezpečení shromážděné z počítačů s Windows službou Azure Security Center nebo Azure Sentinel.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/securityinsights, microsoft.compute/virtuální_stroje microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/škálovací sady virtuálních strojů |
| Kategorie | Zabezpečení |
| Řešení | Zabezpečení, SecurityInsights |
| Základní protokol | Ano |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| AccessMask | řetězec | Šestnáctková maska požadované nebo provedené operace. |
| Obchodní vztah | řetězec | Kontext zabezpečení pro služby nebo uživatele |
| Doména účtu | řetězec | Název domény nebo počítače subjektu. |
| PlatnostÚčtuVyprší | řetězec | Datum vypršení platnosti účtu. |
| Jméno účtu | řetězec | Název účtu, který požadoval operaci odebrání důvěryhodnosti domény. |
| Identifikátor relace účtu | řetězec | Jedinečný identifikátor vygenerovaný počítačem při vytvoření relace. |
| Typ účtu | řetězec | Určuje, jestli je účet počítačovým účtem nebo účtem uživatele. |
| Aktivita | řetězec | Došlo k popisném názvu události. |
| Další informace | řetězec | Další informace poskytované zdrojem, které nejsou mapovány na jiná pole reprezentovaná seznamem. |
| DalšíInfo2 | řetězec | Další informace poskytované zdrojem, které nejsou mapovány na jiná pole reprezentovaná seznamem. |
| Povolenodelegovatkomu | řetězec | Seznam hlavních názvů služeb( SPN), ke kterým může tento účet prezentovat delegovaná pověření. |
| Atributy | řetězec | Další informace o události. |
| Změny auditní politiky | řetězec | Události, které se generují při změnách zásad auditu systému nebo nastavení auditu v souboru nebo klíči registru. |
| AudityZahozeno | int (integer) | Počet zpráv auditu, které byly zahozeny. |
| Úroveň ověřování | int (integer) | Počet zpráv auditu, které byly zahozeny. |
| NázevBalíčkuOvěřování | řetězec | název načteného ověřovacího balíčku. Formát je: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| Poskytovatel autentizace | řetězec | Identita zprostředkovatele zodpovědného za proces ověřování (může zahrnovat certifikační autoritu, uživatelské jméno, ověřovací systém hesel atd.). |
| Server ověřování | řetězec | Server, ve kterém se nachází zprostředkovatel ověřování. |
| AuthenticationService | int (integer) | Služba, ve které se nachází zprostředkovatel ověřování. |
| Typ autentizace | řetězec | typ ověřování, který byl použit pro událost (dvojúrovňové ověřování, biometrické ověřování atd.). |
| AzureDeploymentID | řetězec | ID nasazení Azure cloudové služby, do které protokol patří. |
| _Fakturovaná velikost | opravdový | Velikost záznamu v bajtech |
| Hash certifikátu CA | řetězec | Hodnota hash certifikátu certifikační autority,která byla použita k ověření uživatele, který událost provedl. |
| CalledStationID | řetězec | Informace o ID stanice, která iniciovala akci, která vedla k události zabezpečení. |
| CallerProcessId | řetězec | Šestnáctkové ID procesu, který se pokusil o přihlášení. ID procesu (PID) je číslo, které operační systém používá k jednoznačné identifikaci aktivního procesu. |
| Název procesu volajícího | řetězec | Úplná cesta a název spustitelného souboru procesu. |
| CallStationID | řetězec | Informace o ID stanice, která iniciovala akci, která vedla k události zabezpečení. |
| CAPublicKeyHash | řetězec | Hodnota hash, která identifikuje veřejný klíč certifikační autority (CA), která vydala certifikát. |
| Id kategorie | řetězec | Kategorie události zabezpečení, ke které došlo (pokus o přihlášení, porušení zabezpečení dat atd.). |
| Hash certifikátové databáze | řetězec | Hodnota hash, která identifikuje databázi, která vydala certifikát. |
| Kanál | řetězec | Kanál, do kterého byla událost zaznamenána. |
| ID třídy | řetězec | Atribut Guid třídy zařízení. |
| TřídaNázev | řetězec | Atribut Class zařízení. |
| AdresaZákazníka | řetězec | IP adresa počítače, ze kterého byl přijat požadavek TGT. |
| ClientIPAddress | řetězec | IP adresa počítače, který inicioval akci, která vedla k události. |
| Název klienta | řetězec | název počítače, ze kterého byl uživatel znovu připojen. Má hodnotu Unknown (Neznámá) pro relaci konzoly. |
| Příkazový řádek | řetězec | Argumenty příkazového řádku, které byly předány aplikaci nebo procesu, který byl součástí události. |
| Kompatibilní ID | řetězec | Atribut Kompatibilní ID zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| Počítač | řetězec | Název počítače, na kterém došlo k události. |
| Korelace | řetězec | Identifikátory aktivit, které uživatelé můžou použít k seskupení souvisejících událostí. |
| DCDNSName | řetězec | Název DNS řadiče domény, který byl součástí události. |
| Popis zařízení | řetězec | popis zařízení, které bylo součástí události. |
| Id zařízení | řetězec | Jedinečný identifikátor zařízení, které bylo součástí události. |
| Zobrazované jméno | řetězec | Jedná se o jméno, které se zobrazuje v adresáři pro konkrétní účet. Obvykle se jedná o kombinaci křestního jména uživatele, prostředního iniciály a příjmení. |
| Dispozice | řetězec | Výsledek události nebo řešení, například jestli byla událost vyřešena nebo jestli byla provedena nějaká akce v reakci na událost. |
| Verze chování domény | řetězec | Byl změněn atribut domény msDS-Behavior-Version. Číselná hodnota |
| Název domény | řetězec | Název odebrané důvěryhodné domény. |
| ZměnaPolitikyDomény | řetězec | Označuje, jestli se v rámci události změnily nějaké zásady domény (zásady hesel, zásady zabezpečení atd.). |
| DomainSid | řetězec | IDENTIFIKÁTOR SID důvěryhodného partnera. Tento parametr nemusí být zachycen v události a v takovém případě se zobrazí jako IDENTIFIKÁTOR SID s hodnotou NULL. |
| EAPType | řetězec | Typ protokolu EAP (Extensible Authentication Protocol), který byl použit pro proces ověřování událostí. |
| Zvýšených oprávnění | řetězec | Příznak Ano nebo Ne. Pokud ano, pak relace, která tato událost představuje, je zvýšená a má oprávnění správce. |
| Kód chyby | int (integer) | Obsahuje kód chyby pro události selhání. U událostí Success má tento parametr hodnotu 0x0. |
| Údaje o událostech | řetězec | Data specifická pro událost přidružená k události. |
| ID události | int (integer) | Identifikátor, který zprostředkovatel použil k identifikaci události. |
| ÚroveňUdálosti | řetězec | Generovaný řetězec zprávy pro úroveň určenou v události. |
| EventRecordId | řetězec | Číslo záznamu přiřazené události, když byla zaznamenána. |
| NázevZdrojovéUdálosti | řetězec | Název softwaru, který protokoluje událost (aplikace nebo komponenta). |
| Prodlužený stav karantény | řetězec | Stav procesu karantény sítě, pokud je to možné. Karanténa sítě je proces, pomocí kterého se neoprávněným zařízením brání v přístupu k síti, dokud nebudou splňovat určité požadavky na zabezpečení nebo se nekontrolují malware. |
| Důvod selhání | řetězec | textové vysvětlení hodnoty pole Stav. U této události má obvykle hodnotu Účet je uzamčen. |
| Souborový Hash | řetězec | Hodnota hash pro všechny soubory, které byly v rámci události přístupné nebo změněny, nebo všechny soubory použité při ověřování nebo autorizačním procesu. |
| Cesta k souboru | řetězec | Úplná cesta a název souboru klíče, na kterém byla operace provedena. |
| FilePathNoUser | řetězec | Cesta ke všem souborům, které souvisejí s událostí, s výjimkou uživatelského jména nebo jiných informací specifických pro uživatele. |
| Filtrovat | řetězec | Filtry, které se používají v provedené události. |
| ForceLogoff | řetězec | \Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Síťové zabezpečení: Vynutit odhlášení při vypršení přihlašovacích hodin'' zásada skupiny. |
| Fqbn | řetězec | Plně kvalifikovaný binární název (FQBN) pro všechny soubory, které souvisejí s událostí. |
| PlněKvalifikovanýNázevPředmětuStroje | řetězec | Plně kvalifikovaný název domény (FQDN) počítače, který událost inicioval. |
| PlněKvalifikovanéJménoUživatele | řetězec | Uživatelské jméno uživatele nebo služby, která událost iniciovala ve formátu plně kvalifikovaného názvu domény. |
| Členství ve skupině | řetězec | Seznam identifikátorů SID skupin, které protokolovaný účet patří (člena). Prohlížeč událostí se automaticky pokusí zpracovat identifikátory SID a zobrazit název účtu. Pokud identifikátor SID nelze přeložit, zobrazí se zdrojová data v události. |
| HandleId | řetězec | Šestnáctková hodnota ukazatele na název objektu. Toto pole lze použít pro korelaci s jinými událostmi. |
| IdentifikátoryHardwaru | řetězec | Atribut identifikátorů hardwaru zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| domovský adresář | řetězec | Domovský adresář uživatele. Pokud je nastaven atribut homeDrive a určuje písmeno jednotky, homeDirectory by měla být cesta UNC. Cesta musí mít síťový UNC ve formátu \Server\Share\Directory. |
| HomePath | řetězec | Domovská cesta uživatele. Cesta musí mít síťový UNC ve formátu \Server\Share\Directory. |
| InterfaceUuid | řetězec | Jedinečný identifikátor (UUID) pro síťové rozhraní, které se použilo pro událost. |
| IP adresa | řetězec | síťová adresa (obvykle IPv4 nebo IPv6) přidružená k události. |
| IpPort | řetězec | Číslo síťového portu přidruženého k události. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Když _IsBillable je false, příjem dat se neúčtuje na váš účet Azure. |
| Délka klíče | int (integer) | Délka klíče zabezpečení relace NTLM. Obvykle má 128bitovou nebo 56bitovou délku. |
| Klíčová slova | řetězec | Bitová maska klíčových slov definovaných v události. |
| Úroveň | řetězec | Systém Windows kategorizuje každou událost s úrovní závažnosti. Úrovně v pořadí závažnosti jsou informace, rozsáhlé, varování, chyba a kritické vyjádřené pomocí čísel. |
| LmPackageName | řetězec | Název komponenty balíčku nebo softwaru, která aktuálně používá místní autoritu zabezpečení (LSA) na počítači, ve kterém se událost generuje. |
| Informace o poloze | řetězec | Atribut Informace o poloze zařízení Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| Doba uzamčení | řetězec | Zásady skupiny \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Doba trvání uzamčení účtu. Číselná hodnota |
| Pozorovací okno uzamčení | řetězec | '\Nastavení zabezpečení\Zásady účtů\Zásady uzamčení účtů\Obnovit čítač uzamčení účtu po' zásadě skupiny. Číselná hodnota |
| Prahová hodnota blokování | řetězec | Zásady skupiny \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Prahová hodnota uzamčení účtu. Číselná hodnota |
| Výsledek záznamu | řetězec | Výsledek procesu přihlášení. |
| Guid přihlášení | řetězec | Identifikátor GUID, který vám může pomoci korelovat tuto událost s jinou událostí, která může obsahovat identifikátor GUID použitý pro přihlášení. |
| Hodiny přihlášení | řetězec | Hodiny, kdy se účet může přihlásit k doméně. |
| Přihlašovací ID | řetězec | Šestnáctková hodnota, která vám může pomoct korelovat tuto událost s nedávnými událostmi, které můžou obsahovat stejné přihlašovací ID. |
| NázevProcesuPřihlášení | řetězec | Název registrovaného procesu přihlášení. |
| Typ přihlášení | int (integer) | Typ přihlášení, který byl proveden. |
| NázevTypuPřihlášení | řetězec | Typ události přihlášení nebo ověřování zachycené protokolem událostí (společné hodnoty: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | řetězec | Atribut domény ms-DS-MachineAccountQuota byl změněn. Číselná hodnota |
| Inventář strojů | řetězec | Informace o konfiguraci hardwaru a softwarovém prostředí počítače, ve kterém se událost generuje. Může obsahovat různé datové body, například make a model počítače, množství dostupné paměti RAM nebo úložného prostoru, čísla verzí různých softwarových aplikací atd. |
| MachineLogon | řetězec | Informace o úspěšné události přihlášení v počítači. |
| Název skupiny správy | řetězec | Další informace založené na typu prostředku |
| Povinný štítek | řetězec | ID štítku integrity, který byl přiřazen novému procesu. |
| Maximální věk hesla | řetězec | Časové období (ve dnech), po které může být heslo použito před tím, než systém vyžaduje, aby ho uživatel změnil. |
| Název člena | řetězec | Uživatelský účet, který byl součástí události. |
| Id člena | řetězec | Identifikátor zabezpečení (SID) přidružený k uživatelskému účtu, který byl součástí události. |
| Minimální stáří hesla | řetězec | Časové období (ve dnech), po které musí být heslo použito před tím, než systém vyžaduje, aby ho uživatel změnil. |
| MinimálníDélkaHesla | řetězec | Nejmenší počet znaků, které můžou vytvořit heslo pro uživatelský účet. |
| Režim smíšené domény | řetězec | Režim domény systému nebo řadiče domény. |
| Identifikátor NAS | řetězec | Identifikátor serveru pro přístup k síti (NAS), který byl součástí události. |
| adresa IPv4 NAS | řetězec | IPv4Address serveru síťového přístupu (NAS), který byl v případě potřeby zapojen do události. |
| IPv6 adresa NAS | řetězec | IPv6Address serveru síťového přístupu (NAS), který byl v případě potřeby zapojen do události. |
| NASPort | řetězec | port na serveru síťového přístupu, který byl použit v události. |
| Typ portu NAS | řetězec | typ serveru pro přístup k síti (NAS) použitý v události. |
| NázevSíťovéPolitiky | řetězec | Název zásady sítě přidružené k události. |
| NovéDatum | řetězec | Nové datum v časovém pásmu UTC Formát je RRRR-MM-DD. |
| NewMaxUsers | řetězec | Nový maximální počet uživatelů povolených pro prostředek v události. |
| NovýIdentifikátorProcesu | řetězec | Šestnáctkové ID nového procesu. ID procesu (PID) je číslo, které operační systém používá k jednoznačné identifikaci aktivního procesu. |
| NovýNázevProcesu | řetězec | Úplná cesta a název spustitelného souboru pro nový proces. |
| Nová poznámka | řetězec | Nová hodnota pole 'Komentáře:' síťového sdílení. Má hodnotu N/A, pokud není nastavená. |
| NewShareFlags | řetězec | Příznaky sdílení přidružené ke zdroji v události, například: informace o tom, zda je zdroj pouze pro čtení nebo pro čtení/zápis, zda je skrytý, a další parametry, které mohou ovlivnit přístup a oprávnění. |
| NewTime | řetězec | Nový čas nastavený v časovém pásmu UTC Formát je RRRR-MM-DDThh:mm:ss.nnnnnnnnnZ |
| NewUacValue | řetězec | Určuje příznaky, které řídí heslo, uzamčení, zakázání/povolení, skript a další chování uživatelského účtu. |
| Nová hodnota | řetězec | Nová hodnota pro změněnou hodnotu klíče registru |
| NovýTypHodnoty | řetězec | Nový typ změněné hodnoty klíče registru |
| Název objektu | řetězec | Název a další identifikační informace pro objekt, pro který byl požadován přístup. Například pro soubor by byla zahrnuta cesta. |
| ObjectServer | řetězec | Obsahuje název subsystému Windows, který volá rutinu. |
| Typ objektu | řetězec | Typ objektu, ke kterému došlo během operace. |
| NázevHodnotyObjektu | řetězec | Název změněné hodnoty klíče registru. |
| Informace o výrobci | řetězec | Výrobce původního zařízení (OEM) přidružený k zařízení nebo systému v události. |
| OldMaxUsers | řetězec | Předchozí maximální počet uživatelů povolených pro prostředek v události. |
| Starý komentář | řetězec | stará hodnota pole 'Komentář:' síťového sdílení Má hodnotu N/A, pokud není nastavená. |
| StaréSdílecíPříznaky | řetězec | Předchozí sdílené příznaky přidružené k prostředku v události, například: informace o tom, zda je prostředek pouze pro čtení nebo pro čtení/zápis, zda je skrytý, a další parametry, které mohou ovlivnit přístup a oprávnění. |
| OldUacValue | řetězec | Určuje příznaky, které řídí heslo, uzamčení, zakázání/povolení, skript a další chování uživatelského účtu. Tento parametr obsahuje předchozí hodnotu atributu userAccountControl objektu uživatele. |
| StaráHodnota | řetězec | Stará hodnota pro změněnou hodnotu klíče registru. |
| StaráHodnotaTypu | řetězec | Starý typ změněné hodnoty klíče registru. |
| Operační kód | řetězec | Element opcode je definován komplexním typem SystemPropertiesType. |
| Typ operace | řetězec | Typ operace, která byla provedena u objektu |
| Název balíčku | řetězec | Název dílčího balíčku LAN Manageru (NTLM-family protocol name), který byl použit při přihlášení. |
| NázevNadřazenéhoProcesu | řetězec | Název nadřazeného procesu přidruženého k události. |
| DélkaHistorieHesel | řetězec | \Nastavení zabezpečení\Zásady účtu\Zásady hesel\Vynutit historii hesel" zásady skupiny. Číselná hodnota |
| PosledníNastaveníHesla | řetězec | Čas poslední změny hesla účtu |
| Vlastnosti hesla | řetězec | Zásady hesel nebo vlastnosti přidružené k události, například délka hesla, složitost a datum vypršení platnosti. |
| Předchozí datum | řetězec | Předchozí datum přidružené k události. |
| PředchozíČas | řetězec | Předchozí čas v časovém pásmu UTC Formát je RRRR-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimárníSkupinovéId | řetězec | Relativní identifikátor (RID) primární skupiny objektů uživatele |
| Počet použití privátního klíče | řetězec | Počet použití privátního klíče. |
| Seznam privilegií | řetězec | Oprávnění, včetně oprávnění uživatele, skupiny nebo systému přidružených k události. |
| Proces | řetězec | Název procesu, který vygeneruje událost. |
| Id procesu | řetězec | Identifikuje proces, který událost vygeneroval. |
| ProcessName | řetězec | Úplná cesta a název spustitelného souboru procesu. |
| Cesta profilu | řetězec | Určuje cestu k profilu účtu. Tato hodnota může být prázdný řetězec, místní absolutní cesta, nebo cesta UNC. |
| Vlastnosti | řetězec | Závisí na typu objektu. Toto pole může být prázdné nebo může obsahovat seznam vlastností objektu, ke kterým došlo. |
| ProtokolSekvence | řetězec | Informace o protokolu použitém k pokusu o ověření |
| ProxyPolicyName | řetězec | Název zásady použité ke konfiguraci proxy serveru pro připojení k síti. |
| QuarantineHelpURL | řetězec | Adresa URL, která poskytuje pomoc s řešením potíží s karanténou sítě. |
| QuarantineSessionID | řetězec | Identifikátor relace, ve které byl soubor vyhodnocen jako karanténní. |
| Identifikátor karanténního sezení | řetězec | Identifikátor relace, ve které byl soubor vyhodnocen jako karanténní. |
| QuarantineState | řetězec | Zobrazuje, jestli je soubor v karanténě. |
| Výsledek kontroly zdraví systému v karanténě | řetězec | Sestava znázorňující stav souborů, které byly umístěny do karantény. |
| RelativníNázevCíle | řetězec | Relativní název přístupového cílového souboru nebo složky Tato cesta k souboru je relativní vzhledem ke sdílené síťové složce. Pokud byl pro samotnou sdílenou složku požadován přístup, zobrazí se toto pole jako "". |
| VzdálenáIpAdresa | řetězec | IP adresa počítače, který inicioval vzdálené připojení. |
| RemotePort | řetězec | Číslo portu vzdáleného počítače, který inicioval připojení. |
| Žadatel | řetězec | Identifikátor žadatele o událost. |
| IdentifikátorPožadavku | řetězec | Jedinečný identifikátor, který je přidružený k určitým požadavkům, například identifikátory provedené přes protokol HTTP. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Omezený administrátorský režim | řetězec | Vyplněné pouze pro relace typu přihlášení RemoteInteractive. Jedná se o příznak Ano/Ne označující, jestli byly zadané přihlašovací údaje předány pomocí režimu omezeného správce. Režim omezeného správce byl přidán ve Win8.1/2012R2, ale tento příznak byl přidán do události ve Win10. |
| RowsDeleted | řetězec | Počet řádků, které byly odstraněny jako součást konkrétní operace. |
| SamAccountName | řetězec | přihlašovací jméno pro účet používaný k podpoře klientů a serverů z předchozích verzí Systému Windows (před přihlašovacím jménem systému Windows 2000). |
| ScriptPath | řetězec | Určuje cestu přihlašovacího skriptu účtu. |
| Bezpečnostní Popis | řetězec | Informace o nastavení zabezpečení a oprávněních konkrétního objektu nebo prostředku |
| Účet služeb | řetězec | Kontext zabezpečení, ve kterém bude služba spuštěna při zahájení. |
| Název souboru služby | řetězec | Určuje typ služby, která byla zaregistrována ve Správci řízení služeb. |
| Název služby | řetězec | Název nainstalované služby. |
| TypSpuštěníSlužby | int (integer) | Obsahuje informace o tom, jak se má konkrétní služba spustit, ať už se má spustit automaticky nebo ručně. |
| Typ služby | řetězec | Určuje typ služby, která byla zaregistrována ve Správci řízení služeb. |
| Název relace | řetězec | Název relace, ke které se uživatel znovu připojil. |
| SdíletMístníCestu | řetězec | Místní cesta ke sdílené síťové složce. |
| Název sdílené složky | řetězec | Název přístupové síťové sdílené složky. Formát je: \*\SHARE_NAME. |
| Historie SID | řetězec | Obsahuje předchozí identifikátory SID použité pro objekt, pokud byl objekt přesunut z jiné domény. |
| ID zdrojového počítače | řetězec | Jedinečný identifikátor přiřazený každému počítači v doméně Windows. |
| SourceSystem | řetězec | Typ agenta, který událost zaznamenal. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Stav | řetězec | Důvod, proč se přihlášení nezdařilo. Pro tuto událost má obvykle hodnotu 0xC0000234. Nejběžnější stavové kódy jsou uvedeny v tabulce 12. Stavové kódy přihlášení systému Windows. |
| Úložišťový účet | řetězec | Nastaví přístupový klíč účtu úložiště. |
| SubkategorieGuid | řetězec | Jedinečný identifikátor GUID změněné podkategorie. |
| ID podkategorie | řetězec | Jedinečný identifikátor konkrétního typu události. |
| Předmět | řetězec | Informace o objektu zabezpečení (například uživatelském účtu), který událost inicioval. |
| Účet subjektu | řetězec | Informace o účtu, který spouští událost. |
| NázevDoménySubjektu | řetězec | Informace o doméně nebo pracovní skupině, do které patří účet subjektu. |
| IdentifikátorKlíčeSubjektu | řetězec | Jedinečný identifikátor konkrétního subjektu certifikátu. |
| ID přihlášení subjektu | řetězec | Jedinečný identifikátor pro přihlašovací relaci přidruženou k účtu daného subjektu. |
| NázevStrojeSpecifikace | řetězec | Informace o počítači nebo systému, ze kterého byla událost vytvořena. |
| SubjectMachineSID | řetězec | Identifikátor zabezpečení (SID) pro počítač, který událost vygeneroval. |
| UživatelskéJménoPředmětu | řetězec | Název uživatelského účtu, který událost vygeneroval. |
| SubjectUserSid | řetězec | Identifikátor zabezpečení (SID) pro uživatelský účet, který událost vygeneroval. |
| _IdPředplatného | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Dílčí stav | řetězec | Další informace o selhání přihlášení Nejběžnější kódy dílčích statistik uvedených v tabulce 12. Stavové kódy přihlášení systému Windows. |
| Identifikátor Systémového Procesu | int (integer) | Identifikuje proces, který událost vygeneroval. |
| ID systémového vlákna | int (integer) | Identifikuje vlákno, které vygenerovalo událost. |
| SystemUserId | řetězec | ID uživatele, který je zodpovědný za událost. |
| TableId | řetězec | Identifikátor konkrétní tabulky dat, ve které jsou data události uložená. |
| Cílový Účet | řetězec | Účet cílený událostí (uživatelské jméno, název počítače atd.). |
| TargetDomainName | řetězec | Název domény, do které cílový účet patří. |
| Informace o cíli | řetězec | Další informace o cíli události (například cesta k souboru nebo složce, název klíče registru atd.). |
| TargetLinkedLogonId | řetězec | Informace, které pomáhají propojit související události pomocí ID pokusů o přihlášení. Může být užitečné udržovat všechny relevantní události uspořádané, sledovat aktivitu napříč několika relacemi a identifikovat zdroj útoků. |
| TargetLogonGuid | řetězec | Globálně jedinečný identifikátor (GUID) přidružený k přihlašovací relaci související s událostí. |
| TargetLogonId | řetězec | Jedinečný identifikátor přidružený k přihlašovací relaci související s událostí. |
| CílovýNázevOdchozíDomény | řetězec | Doména, pro kterou byl účet zadaný v poli TargetAccount ověřen při pokusu o odchozí ověření. |
| Uživatelské jméno pro odchozí cílový server | řetězec | Název uživatelského účtu, který byl ověřen během pokusu o odchozí ověření. |
| Název cílového serveru | řetězec | Název serveru, na kterém byl nový proces spuštěn. Má hodnotu localhost, pokud byl proces spuštěn místně. |
| TargetSid | řetězec | Identifikátor zabezpečení (SID) serveru, na kterém byl nový proces spuštěn. |
| Cílový uživatel | řetězec | Identifikátor uživatelského účtu, který vygeneroval nový proces. |
| CílovéUživatelskéJméno | řetězec | Název uživatelského účtu, který vygeneroval nový proces. |
| TargetUserSid (Identifikátor uživatele) | řetězec | Identifikátor zabezpečení (SID) přidružený k uživateli nebo prostředku, který je součástí události. |
| Úloha | int (integer) | Úkol definovaný v události. |
| Obsah šablony | řetězec | Obsah zprávy události nebo oznámení ve strukturovaném formuláři |
| TemplateDSObjectFQDN | řetězec | Plně kvalifikovaný název domény objektu DS, který představuje šablonu objektu zásad skupiny. |
| TemplateInternalName | řetězec | Interní název šablony objektu zásad skupiny. |
| TemplateOID | řetězec | jedinečný identifikátor šablony, která byla použita k vytvoření události. |
| TemplateSchemaVersion | řetězec | Verze schématu šablony, která definuje data, která se mají zahrnout do události. |
| Verze šablony | řetězec | Verze šablony, která definuje data, která se mají zahrnout do události. |
| Identifikátor nájemce (TenantId) | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas vygenerování | datetime | Časové razítko, kdy byla událost vygenerována v počítači. |
| TypZvýšeníTokenu | řetězec | Typ tokenu, který byl přiřazen k novému procesu v souladu se zásadami řízení uživatelských účtů |
| Přenášené služby | řetězec | Seznam přenášených služeb. Přenášené služby jsou naplněny, pokud přihlášení bylo výsledkem procesu přihlášení S4U (Služba pro uživatele). S4U je rozšíření protokolu Kerberos od Microsoftu, které umožňuje aplikační službě získat lístek služby Kerberos jménem uživatele – nejčastěji to dělá front-endový web pro přístup k internímu prostředku jménem uživatele. Další informace o S4U naleznete v tématu https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | řetězec | Název tabulky |
| Řízení uživatelských účtů | řetězec | Zobrazuje seznam změn v atributu userAccountControl. Pro každou změnu se zobrazí řádek textu. |
| UživatelskéParametry | řetězec | Pokud změníte jakékoli nastavení pomocí konzoly pro správu Uživatelé a počítače služby Active Directory na kartě Vytáčení vlastností účtu uživatele, zobrazí <se hodnota změněná>, ale nezobrazí se v tomto poli. U místních účtů se toto pole nedá použít a vždy nemá <nastavenou> hodnotu. |
| UserPrincipalName (uživatelské hlavní jméno) | řetězec | Přihlašovací jméno pro účet ve stylu internetu založené na internetovém standardu RFC 822. Podle konvence by to mělo být v souladu s jménem e-mailového účtu. |
| Uživatelské pracovní stanice | řetězec | Obsahuje seznam názvů NetBIOS nebo DNS počítačů, ze kterých se uživatel může přihlásit. Každý název počítače je oddělený čárkou. Název počítače je vlastnost sAMAccountName objektu počítače. |
| Id dodavatele | řetězec | Atribut identifikátorů hardwaru zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti. |
| Verze | int (integer) | Obsahuje číslo verze definice události. |
| VirtualAccount | řetězec | Příznak Ano nebo Ne, který označuje, jestli je účet virtuálním účtem (např. Účet spravované služby), který byl zaveden v systémech Windows 7 a Windows Server 2008 R2, aby bylo možné identifikovat účet, který daná služba používá, místo pouhého použití NetworkService. |
| Pracovní stanice | řetězec | Název počítače, který byl použit k provedení události. |
| Název pracovní stanice | řetězec | Název počítače, ze kterého byl proveden pokus o přihlášení. |