Share via


SecurityEvent

Événements de sécurité collectés à partir de machines Windows par Azure Security Center ou Azure Sentinel.

Attributs de table

Attribut Valeur
Types de ressource microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Catégories Sécurité
Solutions Sécurité, SecurityInsights
Journal de base No
Transformation au moment de l’ingestion Yes
Exemples de requêtes Oui

Colonnes

Colonne Type Description
AccessMask string Masque hexadécimal pour l’opération demandée ou effectuée.
Compte string Contexte de sécurité pour les services ou les utilisateurs.
AccountDomain string Nom de domaine ou d’ordinateur de l’objet.
AccountExpires string Date d’expiration du compte.
AccountName string Nom du compte qui a demandé l’opération « supprimer l’approbation de domaine ».
AccountSessionIdentifier string Identificateur unique généré par l’ordinateur lors de la création de la session.
AccountType string Identifie si le compte est un compte d’ordinateur (machine) ou celui d’un utilisateur.
Activité string Le titre descriptif de l’événement s’est produit.
AdditionalInfo string Informations supplémentaires fournies par la source, qui ne sont pas mappées à d’autres champs, représentées par liste.
AdditionalInfo2 string Informations supplémentaires fournies par la source, qui ne sont pas mappées à d’autres champs, représentées par liste.
AllowedToDelegateTo string Liste des noms de service auxquels ce compte peut présenter des informations d’identification déléguées.
Attributs string Informations supplémentaires sur l’événement.
AuditPolicyChanges string Événements générés lorsque des modifications sont apportées à la stratégie d’audit système ou aux paramètres d’audit d’un fichier ou d’une clé de Registre.
AuditsDiscarded int Nombre de messages d’audit qui ont été ignorés.
AuthenticationLevel int Nombre de messages d’audit qui ont été ignorés.
AuthenticationPackageName string nom du package d’authentification chargé. Le format est : DLL_PATH_AND_NAME : AUTHENTICATION_PACKAGE_NAME.
AuthenticationProvider string Identité du fournisseur responsable du processus d’authentification (peut inclure une autorité de certification, un nom d’utilisateur, un système d’authentification par mot de passe, etc.).
AuthenticationServer string Serveur sur lequel se trouve le fournisseur d’authentification.
AuthenticationService int Service dans lequel se trouve le fournisseur d’authentification.
AuthenticationType string type d’authentification utilisé pour l’événement (authentification à deux facteurs, authentification biométrique, etc.).
AzureDeploymentID string ID de déploiement Azure du service cloud auquel appartient le journal.
_BilledSize real Taille de l’enregistrement en octets
CACertificateHash string Valeur de hachage du certificat de l’autorité de certification qui a été utilisée pour authentifier l’utilisateur qui a effectué l’événement.
CalledStationID string Informations sur l’ID de la station qui a lancé l’action qui a conduit à l’événement de sécurité.
CallerProcessId string ID de processus hexadécimal du processus qui a tenté l’ouverture de session. L’ID de processus (PID) est un nombre utilisé par le système d’exploitation pour identifier de manière unique un processus actif.
CallerProcessName string Chemin d’accès complet et nom de l’exécutable du processus.
AppelantStationID string Informations sur l’ID de la station qui a lancé l’action qui a conduit à l’événement de sécurité.
CAPublicKeyHash string Valeur de hachage qui identifie la clé publique d’une autorité de certification qui a émis un certificat.
CategoryId string Catégorie de l’événement de sécurité qui s’est produit (tentative de connexion, violation de données, etc.).
CertificateDatabaseHash string Valeur de hachage qui identifie la base de données qui a émis un certificat.
Canal string Canal dans lequel l’événement a été journalisé.
Classid string Attribut 'Guid de classe' de l’appareil.
ClassName string Attribut 'Class' de l’appareil.
ClientAddress string Adresse IP de l’ordinateur à partir duquel la demande TGT a été reçue.
ClientIPAddress string Adresse IP de l’ordinateur qui a lancé l’action qui a mené à l’événement.
ClientName string nom de l’ordinateur à partir duquel l’utilisateur a été reconnecté. A la valeur « Inconnu » pour la session de console.
CommandLine string Arguments de ligne de commande passés à une application ou à un processus impliqué dans l’événement.
CompatibleIds string Attribut « Ids compatibles » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » :
Computer string nom de l'ordinateur sur lequel l'événement s'est produit.
DCDNSName string Nom DNS du contrôleur de domaine impliqué dans l’événement.
DeviceDescription string description de l’appareil impliqué dans l’événement.
deviceId string Identificateur unique de l’appareil impliqué dans l’événement.
DisplayName string Il s’agit d’un nom, affiché dans le carnet d’adresses d’un compte particulier. Il s’agit généralement de la combinaison du prénom, de l’initiale intermédiaire et du nom de l’utilisateur.
Disposition string Résultat/résolution de l’événement, par exemple si l’événement a été résolu ou si une action a été effectuée en réponse à l’événement.
DomainBehaviorVersion string l’attribut de domaine msDS-Behavior-Version a été modifié. Valeur numérique.
DomainName string Nom du domaine approuvé supprimé.
DomainPolicyChanged string Indique si des stratégies de domaine ont été modifiées dans le cadre de l’événement (stratégies de mot de passe, stratégies de sécurité, etc.).
DomainSid string SID du partenaire d’approbation. Ce paramètre n’est peut-être pas capturé dans l’événement et, dans ce cas, apparaît sous la forme « NULL SID ».
EAPType string Type de protocole EAP (Extensible Authentication Protocol) utilisé pour le processus d’authentification d’événement.
ElevatedToken string Indicateur « Oui » ou « Non ». Si « Oui », la session que cet événement représente est élevée et dispose de privilèges d’administrateur.
ErrorCode int Contient le code d’erreur pour les événements d’échec. Pour les événements de réussite, ce paramètre a la valeur « 0x0 ».
EventData string Données spécifiques à l’événement associées à l’événement.
EventID int Identificateur utilisé par le fournisseur pour identifier l’événement.
EventSourceName string Nom du logiciel qui journalise l’événement (application ou succomponent).
ExtendedQuarantineState string État du processus de mise en quarantaine du réseau, le cas échéant. La mise en quarantaine du réseau est un processus par lequel les appareils non autorisés sont empêchés d’accéder à un réseau tant qu’ils ne répondent pas à certaines exigences de sécurité ou qu’ils n’ont pas été vérifiés pour les programmes malveillants.
FailureReason string explication textuelle de la valeur du champ État. Pour cet événement, il a généralement la valeur « Compte verrouillé ».
FileHash string Valeur de hachage pour tous les fichiers qui ont été consultés ou modifiés dans le cadre de l’événement, ou tous les fichiers qui ont été utilisés dans le processus d’authentification ou d’autorisation.
FilePath string Chemin d’accès complet et nom de fichier du fichier de clé sur lequel l’opération a été effectuée.
FilePathNoUser string Chemin d’accès de tous les fichiers liés à l’événement, à l’exclusion du nom d’utilisateur ou d’autres informations spécifiques à l’utilisateur.
Filtrer string Filtres utilisés dans l’événement effectué.
ForceLogoff string Stratégie de groupe « \Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : Forcer la fermeture de session lorsque les heures d’ouverture de session expirent ».
Fqbn string Nom binaire complet (FQBN) pour tous les fichiers liés à l’événement.
FullyQualifiedSubjectMachineName string Nom de domaine complet (FQDN) de l’ordinateur qui a lancé l’événement.
FullyQualifiedSubjectUserName string Nom d’utilisateur de l’utilisateur ou du service qui a lancé l’événement au format FQDN.
GroupMembership string Liste des SID de groupe auxquels le compte journalisé appartient (membre de). observateur d'événements tente automatiquement de résoudre les SID et d’afficher le nom du compte. Si le SID ne peut pas être résolu, vous verrez les données sources dans l’événement.
HandleId string Valeur hexadécimale d’un handle en Nom d’objet. Ce champ peut être utilisé pour la corrélation avec d’autres événements.
HardwareIds string Attribut « Ids matériels » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » :
HomeDirectory string Répertoire de base de l’utilisateur. Si l’attribut homeDrive est défini et spécifie une lettre de lecteur, homeDirectory doit être un chemin UNC. Le chemin doit être un UNC réseau de la forme \Server\Share\Directory.
HomePath string Chemin d’accès d’accueil de l’utilisateur. Le chemin doit être un UNC réseau de la forme \Server\Share\Directory.
InterfaceUuid string Identificateur unique (UUID) de l’interface réseau utilisée pour l’événement.
IpAddress string adresse réseau (généralement IPv4 ou IPv6) associée à l’événement.
IpPort string Numéro de port réseau associé à l’événement.
_IsBillable string Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure
KeyLength int Longueur de la clé de sécurité de session NTLM. Il a généralement une longueur de 128 bits ou 56 bits.
Level string Windows classe chaque événement avec un niveau de gravité. Les niveaux dans l’ordre de gravité sont des informations, des commentaires, des avertissements, des erreurs et des critiques exprimés en nombres.
LmPackageName string Nom du package ou du composant logiciel qui utilise actuellement l’autorité de sécurité locale (LSA) sur l’ordinateur sur lequel l’événement est généré.
LocationInformation string Attribut « Informations d’emplacement » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » :
LockoutDuration string Stratégie de groupe '\Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte\Durée de verrouillage de compte. Valeur numérique.
LockoutObservationWindow string Stratégie de groupe « \Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte\Réinitialiser le compteur de verrouillage de compte après ». Valeur numérique.
LockoutThreshold string Stratégie de groupe « \Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte\Seuil de verrouillage de compte ». Valeur numérique.
LoggingResult string Résultat du processus d’ouverture de session.
LogonGuid string GUID qui peut vous aider à mettre en corrélation cet événement avec un autre événement qui peut contenir le même GUID d’ouverture de session.
LogonHours string Heures pendant lesquelles le compte est autorisé à se connecter au domaine.
LogonID string Valeur hexadécimale qui peut vous aider à mettre en corrélation cet événement avec des événements récents qui peuvent contenir le même ID d’ouverture de session.
LogonProcessName string Nom du processus d’ouverture de session inscrit.
LogonType int Type d’ouverture de session qui a été effectuée.
LogonTypeName string Type d’événement d’ouverture de session ou d’authentification capturé par le journal des événements (valeurs communes : Interactive, Network, RemoteInteractive, Unlock).
MachineAccountQuota string L’attribut de domaine ms-DS-MachineAccountQuota a été modifié. Valeur numérique.
MachineInventory string Informations sur la configuration matérielle et l’environnement logiciel de l’ordinateur sur lequel l’événement est généré. Il peut inclure différents points de données, pour instance : la fabrique et le modèle de l’ordinateur, la quantité de RAM ou d’espace de stockage disponible, les numéros de version de diverses applications logicielles, etc.
MachineLogon string Informations sur un événement d’ouverture de session réussi sur l’ordinateur.
ManagementGroupName string Informations supplémentaires basées sur le type de ressource.
MandatoryLabel string ID de l’étiquette d’intégrité qui a été affectée au nouveau processus.
MaxPasswordAge string Période (en jours) pendant laquelle un mot de passe peut être utilisé avant que le système n’oblige l’utilisateur à le modifier.
MemberName string Compte d’utilisateur impliqué dans l’événement.
MemberSid string Identificateur de sécurité (SID) associé au compte d’utilisateur impliqué dans l’événement.
MinPasswordAge string Période (en jours) pendant laquelle un mot de passe doit être utilisé avant que le système n’oblige l’utilisateur à le modifier.
MinPasswordLength string Nombre minimal de caractères pouvant créer un mot de passe pour un compte d’utilisateur.
MixedDomainMode string Mode de domaine d’un système ou d’un contrôleur de domaine.
NASIdentifier string Identificateur du serveur d’accès réseau (NAS) impliqué dans l’événement.
NASIPv4Address string IPv4Address du serveur d’accès réseau (NAS) impliqué dans l’événement, le cas échéant.
NASIPv6Address string IPv6Address du serveur d’accès réseau (NAS) impliqué dans l’événement, le cas échéant.
NASPort string port sur le serveur d’accès réseau utilisé dans l’événement.
NASPortType string type de serveur d’accès réseau (NAS) utilisé dans l’événement.
NetworkPolicyName string Nom de la stratégie réseau associée à l’événement.
NewDate string Nouvelle date dans le fuseau horaire UTC. Le format est AAAA-MM-JJ.
NewMaxUsers string Nouveau nombre maximal d’utilisateurs autorisés pour une ressource dans l’événement.
NewProcessId string ID de processus hexadécimal du nouveau processus. L’ID de processus (PID) est un nombre utilisé par le système d’exploitation pour identifier de manière unique un processus actif.
NewProcessName string Chemin d’accès complet et nom de l’exécutable pour le nouveau processus.
NewRemark string Nouvelle valeur du champ « Commentaires » du partage réseau. A la valeur « N/A » si elle n’est pas définie.
NewShareFlags string Indicateurs de partage associés à une ressource dans l’événement, pour instance : informations indiquant si la ressource est en lecture seule ou en lecture/écriture, si elle est masquée et d’autres paramètres susceptibles d’affecter l’accès et les autorisations.
NewTime string Nouvelle heure définie dans le fuseau horaire UTC. Le format est AAAA-MM-JJThh :mm :ss.nnnnnnnZ
NewUacValue string Spécifie les indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/l’activation, le script et d’autres comportements pour le compte d’utilisateur.
NewValue string Nouvelle valeur pour la valeur de clé de Registre modifiée.
NewValueType string Nouveau type de valeur de clé de Registre modifiée.
ObjectName string Nom et autres informations d’identification pour l’objet pour lequel l’accès a été demandé. Par exemple, pour un fichier, le chemin d’accès est inclus.
ObjectServer string Contient le nom du sous-système Windows appelant la routine.
ObjectType string Type d’un objet auquel on a accédé pendant l’opération.
ObjectValueName string Nom de la valeur de la clé de Registre modifiée.
OemInformation string Fabricant d’équipement d’origine (OEM) associé à un appareil ou à un système dans l’événement.
OldMaxUsers string Nombre maximal d’utilisateurs précédemment autorisés pour une ressource dans l’événement.
OldRemark string l’ancienne valeur du champ « Commentaires » du partage réseau. A la valeur « N/A » si elle n’est pas définie.
OldShareFlags string Les indicateurs de partage précédents associés à une ressource dans l’événement, pour instance : informations indiquant si la ressource est en lecture seule ou en lecture/écriture, si elle est masquée et d’autres paramètres susceptibles d’affecter l’accès et les autorisations.
OldUacValue string Spécifie les indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/l’activation, le script et d’autres comportements du compte d’utilisateur. Ce paramètre contient la valeur précédente de l’attribut userAccountControl de l’objet utilisateur.
OldValue string Ancienne valeur pour la valeur de clé de Registre modifiée.
OldValueType string Ancien type de valeur de clé de Registre modifiée.
OperationType string Type d’opération effectuée sur un objet
PackageName string Nom du sous-package LAN Manager (nom du protocole de la famille NTLM) utilisé lors de l’ouverture de session.
ParentProcessName string Nom du processus parent associé à l’événement.
PasswordHistoryLength string \Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe\Appliquer l’historique des mots de passe" stratégie de groupe. Valeur numérique.
PasswordLastSet string Dernière modification du mot de passe du compte.
PasswordProperties string Stratégies de mot de passe ou propriétés associées à l’événement, par exemple : longueur du mot de passe, complexité et date d’expiration.
PreviousDate string Date précédente associée à l’événement.
PreviousTime string Heure précédente dans le fuseau horaire UTC. Le format est AAAA-MM-JJThh :mm :ss.nnnnnnnZ.
PrimaryGroupId string Identificateur relatif (RID) du groupe d’objets principal de l’utilisateur.
PrivateKeyUsageCount string Nombre de fois où une clé privée a été utilisée.
PrivilegeList string Les privilèges, y compris les privilèges d’utilisateur, de groupe ou de système associés à l’événement.
Processus string Nom du processus qui génère l’événement.
ProcessId string Identifie le processus qui a généré l’événement.
ProcessName string Chemin d’accès complet et nom de l’exécutable du processus.
ProfilePath string Spécifie un chemin d’accès au profil du compte. Cette valeur peut être une chaîne null, un chemin d’accès absolu local ou un chemin UNC.
Propriétés string Dépend du type d’objet. Ce champ peut être vide ou contenir la liste des propriétés d’objet auxquelles on a accédé.
ProtocolSequence string Informations sur le protocole utilisé pour une tentative d’authentification.
ProxyPolicyName string Nom de la stratégie utilisée pour configurer le serveur proxy pour la connexion au réseau.
QuarantineHelpURL string URL qui fournit de l’aide pour résoudre un problème de mise en quarantaine réseau.
QuarantineSessionID string Identificateur de la session dans laquelle le fichier a été évalué pour la mise en quarantaine.
QuarantineSessionIdentifier string Identificateur de la session dans laquelle le fichier a été évalué pour la mise en quarantaine.
QuarantineState string Il indique si le fichier est mis en quarantaine.
QuarantineSystemHealthResult string Rapport qui montre la status des fichiers qui ont été mis en quarantaine.
RelativeTargetName string Nom relatif du fichier ou dossier cible consulté. Ce chemin d’accès de fichier est relatif au partage réseau. Si l’accès a été demandé pour le partage lui-même, ce champ apparaît sous la forme « \ ».
RemoteIpAddress string Adresse IP de l’ordinateur qui a lancé une connexion à distance.
RemotePort string Numéro de port de l’ordinateur distant qui a lancé une connexion.
Demandeur string Identificateur du demandeur d’événements.
RequestId string Identificateur unique associé à des requêtes particulières, telles que celles effectuées via HTTP.
_ResourceId string Un identificateur unique de la ressource à laquelle l’enregistrement est associé
RestrictedAdminMode string Renseigné uniquement pour les sessions de type d’ouverture de session RemoteInteractive. Il s’agit d’un indicateur Oui/Non qui indique si les informations d’identification fournies ont été passées en mode Administration restreint. Le mode Administration restreint a été ajouté dans Win8.1/2012R2, mais cet indicateur a été ajouté à l’événement dans Win10.
RowsDeleted string Nombre de lignes supprimées dans le cadre d’une opération particulière.
SamAccountName string nom d’ouverture de session pour le compte utilisé pour prendre en charge les clients et les serveurs des versions précédentes de Windows (nom d’ouverture de session antérieur à Windows 2000).
ScriptPath string Spécifie le chemin d’accès du script d’ouverture de session du compte.
SecurityDescriptor string Informations sur les paramètres de sécurité et les autorisations d’un objet ou d’une ressource particulier.
ServiceAccount string Contexte de sécurité dans lequel le service s’exécutera au démarrage.
ServiceFileName string Indique le type de service qui a été inscrit auprès du Gestionnaire de contrôle des services.
NomService string Nom du service installé.
ServiceStartType int Contient des informations sur la façon dont un service particulier doit être démarré, s’il doit être démarré automatiquement ou manuellement.
ServiceType string Indique le type de service qui a été inscrit auprès du Gestionnaire de contrôle des services.
SessionName string Nom de la session à laquelle l’utilisateur a été reconnecté.
ShareLocalPath string Chemin d’accès local du partage réseau consulté.
ShareName string Nom du partage réseau consulté. Le format est : \*\SHARE_NAME.
Sidhistory string Contient les SID précédents utilisés pour l’objet si l’objet a été déplacé d’un autre domaine.
SourceComputerId string Identificateur unique attribué à chaque ordinateur d’un domaine Windows.
SourceSystem string Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure
État string Raison de l’échec de l’ouverture de session. Pour cet événement, il a généralement la valeur « 0xC0000234 ». Les codes status les plus courants sont répertoriés dans le tableau 12. Codes status d’ouverture de session Windows.
StorageAccount string Définit la clé d’accès au compte de stockage.
Sous-catégorieGuid string GUID unique de la sous-catégorie modifiée.
SubcategoryId string Identificateur unique d’un type spécifique de l’événement.
Objet string Informations sur le principal de sécurité (pour instance : compte d’utilisateur) qui a lancé l’événement.
SubjectAccount string Informations sur le compte qui lance l’événement.
SubjectDomainName string Informations sur le domaine ou le groupe de travail auquel appartient le compte d’objet.
SubjectKeyIdentifier string Identificateur unique pour un sujet de certificat particulier.
SubjectLogonId string Identificateur unique pour la session d’ouverture de session associée au compte d’objet.
SubjectMachineName string Informations sur la machine ou le système à partir duquel l’événement a été créé.
SubjectMachineSID string Identificateur de sécurité (SID) de l’ordinateur qui a généré l’événement.
SubjectUserName string Nom du compte d’utilisateur qui a généré l’événement.
SubjectUserSid string Identificateur de sécurité (SID) du compte d’utilisateur qui a généré l’événement.
_SubscriptionId string Un identificateur unique de l’abonnement auquel l’enregistrement est associé
SubStatus string Informations supplémentaires sur l’échec de connexion. Les codes de sous-état les plus courants répertoriés dans le tableau 12. Ouverture de session Windows status codes'.
TableId string Identificateur de table de données spécifique dans lequel les données d’événement sont stockées.
TargetAccount string Compte ciblé par l’événement (nom d’utilisateur, nom d’ordinateur, etc.).
Targetdomainname string Nom du domaine auquel appartient le compte cible.
TargetInfo string Informations supplémentaires sur la cible de l’événement (par exemple , le chemin d’accès à un fichier ou dossier, le nom d’une clé de Registre, etc.).
TargetLinkedLogonId string Informations qui permettent de lier des événements connexes par leurs ID de tentative d’ouverture de session. Il peut être utile pour maintenir l’organisation de tous les événements pertinents, le suivi de l’activité sur plusieurs sessions et l’identification de la source d’attaque.
TargetLogonGuid string Identificateur global unique (GUID) associé à la session d’ouverture de session liée à l’événement.
TargetLogonId string Identificateur unique associé à la session d’ouverture de session liée à l’événement.
TargetOutboundDomainName string Domaine sur lequel le compte spécifié dans le champ TargetAccount a été authentifié lors d’une tentative d’authentification sortante.
TargetOutboundUserName string Nom du compte d’utilisateur qui a été authentifié lors d’une tentative d’authentification sortante.
TargetServerName string Nom du serveur sur lequel le nouveau processus a été exécuté. A la valeur « localhost » si le processus a été exécuté localement.
TargetSid string Identificateur de sécurité (SID) du serveur sur lequel le nouveau processus a été exécuté.
TargetUser string Identificateur de compte d’utilisateur qui a généré le nouveau processus.
TargetUserName string Nom du compte d’utilisateur qui a généré le nouveau processus.
TargetUserSid string Identificateur de sécurité (SID) associé à l’utilisateur ou à la ressource impliqué dans l’événement.
Tâche int Tâche définie dans l’événement.
TemplateContent string Contenu du message ou de la notification d’événement dans un formulaire structuré.
TemplateDSObjectFQDN string Nom de domaine complet de l’objet DS qui représente le modèle DPO.
TemplateInternalName string Nom interne du modèle D’objet de stratégie de groupe.
TemplateOID string identificateur unique du modèle utilisé pour créer l’événement.
TemplateSchemaVersion string Version du schéma de modèle qui définit les données à inclure dans un événement.
TemplateVersion string Version du modèle qui définit les données à inclure dans un événement.
TenantId string ID de l’espace de travail Log Analytics
TimeGenerated DATETIME Horodatage lorsque l’événement a été généré sur l’ordinateur.
TokenElevationType string Type de jeton affecté à un nouveau processus conformément à la stratégie de contrôle de compte d’utilisateur.
TransmitServices string Liste des services transmis. Les services transmis sont renseignés si l’ouverture de session est le résultat d’un processus d’ouverture de session S4U (Service Pour l’utilisateur). S4U est une extension Microsoft du protocole Kerberos qui permet à un service d’application d’obtenir un ticket de service Kerberos pour le compte d’un utilisateur, le plus souvent effectué par un site web frontal pour accéder à une ressource interne pour le compte d’un utilisateur. Pour plus d’informations sur S4U, consultez https://msdn.microsoft.com/library/cc246072.aspx.
Type string Le nom de la table
UserAccountControl string Affiche la liste des modifications apportées à l’attribut userAccountControl. Une ligne de texte s’affiche pour chaque modification.
UserParameters string Si vous modifiez un paramètre à l’aide de Utilisateurs et ordinateurs Active Directory console de gestion dans l’onglet Rendez-vous des propriétés du compte de l’utilisateur, vous verrez <la valeur modifiée, mais pas affichée> dans ce champ. Pour les comptes locaux, ce champ n’est pas applicable et a <toujours valeur non définie> .
UserPrincipalName string Nom de connexion de style Internet pour le compte, basé sur la norme Internet RFC 822. Par convention, cela doit être mappé au nom de l’e-mail du compte.
UserWorkstations string Contient la liste des noms NetBIOS ou DNS des ordinateurs à partir desquels l’utilisateur peut se connecter. Chaque nom d’ordinateur est séparé par une virgule. Le nom d’un ordinateur est la propriété sAMAccountName d’un objet ordinateur.
VendorIds string Attribut « Ids matériels » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails ».
VirtualAccount string Indicateur « Oui » ou « Non », qui indique si le compte est un compte virtuel (par exemple, « Compte de service managé »), qui a été introduit dans Windows 7 et Windows Server 2008 R2 pour permettre d’identifier le compte utilisé par un service donné, au lieu d’utiliser simplement « NetworkService ».
Station de travail string Nom de l’ordinateur utilisé pour effectuer l’événement.
WorkstationName string Nom de l’ordinateur à partir duquel une tentative d’ouverture de session a été effectuée.