Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Événements de sécurité collectés à partir de machines Windows par Azure Security Center ou Azure Sentinel.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Catégories | Sécurité |
| Solutions | Sécurité, Aperçus de sécurité |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| AccessMask | chaîne | Masque hexadécimal pour l’opération demandée ou effectuée. |
| Compte | chaîne | Contexte de sécurité pour les services ou les utilisateurs. |
| Domaine de compte | chaîne | Nom de domaine ou nom de l'ordinateur du sujet. |
| Expiration du compte | chaîne | Date d’expiration du compte. |
| Nom du compte | chaîne | Nom du compte qui a demandé l’opération « supprimer l’approbation de domaine ». |
| IdentifiantDeSessionDeCompte | chaîne | Identificateur unique généré par l’ordinateur lors de la création de la session. |
| Type de compte | chaîne | Identifie si le compte est un compte d’ordinateur ou un utilisateur. |
| Activité | chaîne | Titre descriptif de l’événement qui s’est produit. |
| Informations supplémentaires | chaîne | Informations supplémentaires fournies par la source, qui n’étaient pas mappées à d’autres champs, représentées par la liste. |
| InformationsSupplémentaires2 | chaîne | Informations supplémentaires fournies par la source, qui n’étaient pas mappées à d’autres champs, représentées par la liste. |
| AllowedToDelegateTo | chaîne | Liste des SPN auxquels ce compte peut présenter des informations d’identification déléguées. |
| Attributs | chaîne | Informations supplémentaires sur l’événement. |
| Modifications de la Politique d'Audit | chaîne | Événements générés lorsque des modifications sont apportées à la stratégie d’audit système ou aux paramètres d’audit d’un fichier ou d’une clé de Registre. |
| AuditsDiscarded | entier | Nombre de messages d’audit qui ont été ignorés. |
| Niveau d'authentification | entier | Nombre de messages d’audit qui ont été ignorés. |
| NomDuPaquetD'Authentification | chaîne | nom du package d’authentification chargé. Le format est : DLL_PATH_AND_NAME : AUTHENTICATION_PACKAGE_NAME. |
| Fournisseur d'Authentification | chaîne | Identité du fournisseur responsable du processus d’authentification (peut inclure une autorité de certification, un nom d’utilisateur, un système d’authentification par mot de passe, etc.). |
| Serveur d'authentification | chaîne | Serveur dans lequel se trouve le fournisseur d’authentification. |
| AuthenticationService | entier | Service dans lequel se trouve le fournisseur d’authentification. |
| Type d'authentification | chaîne | type d’authentification utilisé pour l’événement (authentification à deux facteurs, authentification biométrique, etc.). |
| AzureDeploymentID | chaîne | ID de déploiement Azure du service cloud auquel appartient le journal. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| Hash du certificat CA | chaîne | Valeur de hachage du certificat de l’autorité de certification utilisée pour authentifier l’utilisateur qui a effectué l’événement. |
| CalledStationID | chaîne | Informations sur l’ID de la station qui a lancé l’action qui a conduit à l’événement de sécurité. |
| CallerProcessId | chaîne | ID de processus hexadécimal du processus qui a tenté l’ouverture de session. L’ID de processus (PID) est un nombre utilisé par le système d’exploitation pour identifier de manière unique un processus actif. |
| CallerProcessName | chaîne | Chemin complet et nom de l’exécutable pour le processus. |
| CallingStationID | chaîne | Informations sur l’ID de la station qui a lancé l’action qui a conduit à l’événement de sécurité. |
| CAPublicKeyHash | chaîne | Valeur de hachage qui identifie la clé publique d’une autorité de certification qui a émis un certificat. |
| CategoryId | chaîne | Catégorie de l’événement de sécurité qui s’est produit (tentative de connexion, violation de données, etc.). |
| CertificateDatabaseHash | chaîne | Valeur de hachage qui identifie la base de données qui a émis un certificat. |
| Channel | chaîne | Canal auquel l’événement a été enregistré. |
| Identifiant de classe | chaîne | Attribut « Guid de classe » de l’appareil. |
| ClassName | chaîne | Attribut « Classe » de l’appareil. |
| ClientAddress | chaîne | Adresse IP de l’ordinateur à partir duquel la requête TGT a été reçue. |
| ClientIPAddress | chaîne | Adresse IP de l’ordinateur qui a lancé l’action qui a conduit à l’événement. |
| Nom du client | chaîne | nom de l’ordinateur à partir duquel l’utilisateur a été reconnecté. A la valeur « Inconnu » pour la session de console. |
| CommandLine | chaîne | Arguments de ligne de commande passés à une application ou à un processus impliqué dans l’événement. |
| CompatibleIds | chaîne | Attribut « Ids compatibles » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » : |
| Ordinateur | chaîne | nom de l'ordinateur sur lequel l'événement s'est produit. |
| Corrélation | chaîne | Identificateurs d’activité que les consommateurs peuvent utiliser pour regrouper les événements associés. |
| DCDNSName | chaîne | Nom DNS du contrôleur de domaine impliqué dans l’événement. |
| Description de l'appareil | chaîne | description de l’appareil impliqué dans l’événement. |
| DeviceId | chaîne | Identificateur unique de l’appareil impliqué dans l’événement. |
| Nom affiché | chaîne | Il s’agit d’un nom, affiché dans le carnet d’adresses d’un compte particulier. Il s'agit généralement de la combinaison du prénom, de l'initiale du deuxième prénom et du nom de famille de l'utilisateur. |
| Disposition | chaîne | Résultat/résolution de l’événement, par exemple, si l’événement a été résolu ou si une action a été effectuée en réponse à l’événement. |
| DomainBehaviorVersion | chaîne | L’attribut de domaine msDS-Behavior-Version a été modifié. Valeur numérique. |
| Nom de domaine | chaîne | Nom du domaine de confiance supprimé. |
| PolitiqueDeDomaineModifiée | chaîne | Indique si des stratégies de domaine ont été modifiées dans le cadre de l’événement (stratégies de mot de passe, stratégies de sécurité, etc.). |
| DomainSid | chaîne | SID du partenaire de confiance. Ce paramètre peut ne pas être capturé dans l’événement et, dans ce cas, apparaît sous la forme « SID NULL ». |
| EAPType | chaîne | Type de protocole EAP (Extensible Authentication Protocol) utilisé pour le processus d’authentification d’événement. |
| ElevatedToken | chaîne | Indicateur « Oui » ou « Non ». Si « Oui », la session que cet événement représente est élevée et dispose de privilèges d’administrateur. |
| Code d'erreur | entier | Contient le code d’erreur pour les événements d’échec. Pour les événements Success, ce paramètre a la valeur « 0x0 ». |
| Données d'Événement | chaîne | Données spécifiques à l’événement associées à l’événement. |
| EventID | entier | Identificateur utilisé par le fournisseur pour identifier l’événement. |
| NomDuNiveauDeL'Événement | chaîne | Chaîne de message rendue du niveau spécifié dans l’événement. |
| EventRecordId | chaîne | Numéro d’enregistrement affecté à l’événement lorsqu’il a été journalisé. |
| Nom Source d'Événement | chaîne | Nom du logiciel qui enregistre l’événement (application ou un sous-composant). |
| ÉtatDeQuarantaineProlongée | chaîne | État du processus de mise en quarantaine du réseau, le cas échéant. La mise en quarantaine du réseau est un processus par lequel les appareils non autorisés ne peuvent pas accéder à un réseau jusqu’à ce qu’ils répondent à certaines exigences de sécurité ou qu’ils aient été vérifiés pour les programmes malveillants. |
| Raison de l'échec | chaîne | explication textuelle de la valeur du champ État. Pour cet événement, il a généralement la valeur « Compte verrouillé ». |
| FileHash | chaîne | Valeur de hachage pour tous les fichiers qui ont été consultés ou modifiés dans le cadre de l’événement, ou tous les fichiers utilisés dans le processus d’authentification ou d’autorisation. |
| FilePath | chaîne | Chemin complet et nom de fichier du fichier de clé sur lequel l’opération a été effectuée. |
| FilePathNoUser | chaîne | Chemin d’accès de tous les fichiers liés à l’événement, à l’exclusion du nom d’utilisateur ou d’autres informations spécifiques à l’utilisateur. |
| Filtre | chaîne | Filtres utilisés dans l’événement effectué. |
| ForceLogoff | chaîne | '\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité\Sécurité réseau : forcer la déconnexion lorsque les heures d’ouverture de session expirent' stratégie de groupe. |
| Fqbn | chaîne | Nom binaire complet (FQBN) pour tous les fichiers liés à l’événement. |
| FullyQualifiedSubjectMachineName | chaîne | Nom de domaine complet (FQDN) de l’ordinateur qui a lancé l’événement. |
| FullyQualifiedSubjectUserName | chaîne | Nom d’utilisateur de l’utilisateur ou du service qui a lancé l’événement au format FQDN. |
| Appartenance au groupe | chaîne | Liste des SID de groupe dont le compte connecté est membre. L’Observateur d’événements tente automatiquement de résoudre les SID et d’afficher le nom du compte. Si le SID ne peut pas être résolu, vous verrez les données sources dans l’événement. |
| HandleId | chaîne | Valeur hexadécimale d’un handle de nom d’objet. Ce champ peut être utilisé pour la corrélation avec d’autres événements. |
| HardwareIds | chaîne | Attribut « Identifiants matériels » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » : |
| HomeDirectory | chaîne | Répertoire d’accueil de l’utilisateur. Si l’attribut homeDrive est défini et spécifie une lettre de lecteur, homeDirectory doit être un chemin UNC. Le chemin d’accès doit être de type UNC réseau et de la forme \\Serveur\Partage\Répertoire. |
| HomePath | chaîne | Chemin d’accueil de l’utilisateur. Le chemin d’accès doit être de type UNC réseau et de la forme \\Serveur\Partage\Répertoire. |
| InterfaceUuid | chaîne | Identificateur unique (UUID) pour l’interface réseau utilisée pour l’événement. |
| Adresse IP | chaîne | adresse réseau (généralement IPv4 ou IPv6) associée à l’événement. |
| IpPort | chaîne | Numéro de port réseau associé à l’événement. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| Longueur de clé | entier | Longueur de la clé de sécurité de session NTLM. En général, il a une longueur de 128 bits ou 56 bits. |
| Mots clés | chaîne | Masque de bits des mots clés définis dans l’événement. |
| Niveau | chaîne | Windows classe chaque événement avec un niveau de gravité. Les niveaux par ordre de gravité sont informations, commentaire, avertissement, erreur et critique, exprimés par des chifffres. |
| LmPackageName | chaîne | Nom du package ou du composant logiciel qui utilise actuellement l’autorité de sécurité locale (LSA) sur l’ordinateur sur lequel l’événement est généré. |
| Informations sur l'emplacement | chaîne | Attribut « Informations sur l’emplacement » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » : |
| Durée du verrouillage | chaîne | Stratégie de groupe « \Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte\Durée du verrouillage du compte ». Valeur numérique. |
| LockoutObservationWindow | chaîne | Stratégie de groupe « \Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after ». Valeur numérique. |
| Seuil de blocage | chaîne | Stratégie de groupe « \Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage du compte\Seuil de verrouillage du compte ». Valeur numérique. |
| LoggingResult | chaîne | Résultat du processus d’ouverture de session. |
| LogonGuid | chaîne | GUID qui peut vous aider à mettre en corrélation cet événement avec un autre événement qui peut contenir le même GUID d’ouverture de session. |
| LogonHours | chaîne | Heures pendant laquelle le compte est autorisé à se connecter au domaine. |
| Identifiant de connexion | chaîne | Valeur hexadécimale qui peut vous aider à mettre en corrélation cet événement avec les événements récents qui peuvent contenir le même ID d’ouverture de session. |
| LogonProcessName | chaîne | Nom du processus d’ouverture de session inscrit. |
| Type de connexion | entier | Type d’ouverture de session qui a été effectué. |
| LogonTypeName | chaîne | Type d’événement d’ouverture de session ou d’authentification capturé par le journal des événements (valeurs courantes :Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | chaîne | L’attribut de domaine ms-DS-MachineAccountQuota a été modifié. Valeur numérique. |
| Inventaire des Machines | chaîne | Informations sur la configuration matérielle et l’environnement logiciel de l’ordinateur sur lequel l’événement est généré. Il peut inclure différents points de données, par exemple : la marque et le modèle de l'ordinateur, la quantité de RAM ou d'espace de stockage disponible, les numéros de version de différentes applications logicielles, etc. |
| MachineLogon | chaîne | Information sur un événement d’ouverture de session réussi sur la machine. |
| NomDuGroupeDeGestion | chaîne | Informations supplémentaires basées sur le type de ressource. |
| Étiquette obligatoire | chaîne | ID de l'étiquette d'intégrité qui a été affectée au nouveau processus. |
| Âge maximal du mot de passe | chaîne | Période (en jours) pendant laquelle un mot de passe peut être utilisé avant que le système exige que l’utilisateur le modifie. |
| NomDuMembre | chaîne | Compte d’utilisateur impliqué dans l’événement. |
| MemberSid | chaîne | Identificateur de sécurité associé au compte d’utilisateur impliqué dans l’événement. |
| MinPasswordAge | chaîne | Période (en jours) pendant laquelle un mot de passe doit être utilisé avant que le système exige que l’utilisateur le modifie. |
| MinPasswordLength | chaîne | Nombre minimum de caractères pouvant être composés d’un mot de passe pour un compte d’utilisateur. |
| MixedDomainMode | chaîne | Mode de domaine d’un système ou d’un contrôleur de domaine. |
| NASIdentifier | chaîne | Identificateur du serveur d’accès réseau (NAS) impliqué dans l’événement. |
| NASIPv4Address | chaîne | IPv4Address du serveur d’accès réseau (NAS) impliqué dans l’événement, le cas échéant. |
| NASIPv6Address | chaîne | IPv6Address du serveur d’accès réseau (NAS) impliqué dans l’événement, le cas échéant. |
| NASPort | chaîne | Port sur le serveur d’accès réseau qui a été utilisé dans l’événement. |
| NASPortType | chaîne | type de serveur d’accès réseau (NAS) utilisé dans l’événement. |
| NomDeLaPolitiqueDeRéseau | chaîne | Nom de la stratégie réseau associée à l’événement. |
| NewDate | chaîne | Nouvelle date dans le fuseau horaire UTC. Le format est AAAA-MM-JJ. |
| NewMaxUsers | chaîne | Nouveau nombre maximal d’utilisateurs autorisés pour une ressource dans l’événement. |
| NewProcessId | chaîne | ID de processus hexadécimal du nouveau processus. L’ID de processus (PID) est un nombre utilisé par le système d’exploitation pour identifier de manière unique un processus actif. |
| NewProcessName | chaîne | Chemin complet et nom de l’exécutable pour le nouveau processus. |
| Nouvelle Remarque | chaîne | Nouvelle valeur du champ de partage réseau « Commentaires : ». A la valeur « N/A » si elle n’est pas définie. |
| NewShareFlags | chaîne | Indicateurs de partage associés à une ressource dans l’événement, par exemple : informations sur la lecture seule ou l’écriture de la ressource, qu’elle soit masquée et d’autres paramètres qui peuvent affecter l’accès et les autorisations. |
| NewTime | chaîne | Nouvelle heure définie dans le fuseau horaire UTC. Le format est AAAA-MM-JJThh:mm:ss.nnnnnnnZ |
| NewUacValue | chaîne | Spécifie des indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/activation, le script et d’autres comportements pour le compte d’utilisateur. |
| NouvelleValeur | chaîne | Nouvelle valeur pour la valeur de clé de Registre modifiée. |
| NouveauTypeDeValeur | chaîne | Nouveau type de valeur de clé de Registre modifiée. |
| Nom de l'Objet | chaîne | Nom et autres informations d’identification pour l’objet pour lequel l’accès a été demandé. Par exemple, pour un fichier, le chemin d’accès serait inclus. |
| ObjectServer | chaîne | Contient le nom du sous-système Windows appelant la routine. |
| Type d'Objet | chaîne | Type d’un objet accessible pendant l’opération. |
| ObjectValueName | chaîne | Nom de la valeur de clé de Registre modifiée. |
| OemInformation | chaîne | Fabricant d’équipement d’origine (OEM) associé à un appareil ou un système dans l’événement. |
| OldMaxUsers | chaîne | Nombre maximal précédent d’utilisateurs autorisés pour une ressource dans l’événement. |
| OldRemark | chaîne | Ancienne valeur du champ de partage réseau « Commentaires : ». A la valeur « N/A » si elle n’est pas définie. |
| OldShareFlags | chaîne | Les indicateurs de partage précédents associés à une ressource dans l’événement, par exemple : informations sur la lecture seule ou l’écriture de la ressource, qu’elle soit masquée et d’autres paramètres qui peuvent affecter l’accès et les autorisations. |
| OldUacValue | chaîne | Spécifie des indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/activation, le script et d’autres comportements pour le compte d’utilisateur. Ce paramètre contient la valeur précédente de l’attribut userAccountControl de l’objet utilisateur. |
| OldValue | chaîne | Ancienne valeur pour la valeur de clé de Registre modifiée. |
| AncienTypeDeValeur | chaîne | Ancien type de valeur de clé de Registre modifiée. |
| Opcode | chaîne | L’élément opcode est défini par le type complexe SystemPropertiesType. |
| TypeD'Opération | chaîne | Type d’opération qui a été effectué sur un objet |
| PackageName | chaîne | Nom du sous-package du gestionnaire LAN (nom du protocole de famille NTLM) utilisé lors de l’ouverture de session. |
| Nom du processus parent | chaîne | Nom du processus parent associé à l’événement. |
| Longueur de l'historique de mot de passe | chaîne | \Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe\Appliquer l’historique des mots de passe" stratégie de groupe. Valeur numérique. |
| PasswordLastSet | chaîne | Dernière fois que le mot de passe du compte a été modifié. |
| Propriétés du mot de passe | chaîne | Les stratégies ou propriétés de mot de passe associées à l’événement, par exemple : longueur, complexité et date d’expiration du mot de passe. |
| DatePrécédente | chaîne | Date précédente associée à l’événement. |
| PreviousTime | chaîne | Heure précédente dans le fuseau horaire UTC. Le format est AAAA-MM-JJThh:mm:ss.nnnnnnnZ |
| PrimaryGroupId | chaîne | Identificateur relatif (RID) du groupe principal d’objets de l’utilisateur. |
| PrivateKeyUsageCount | chaîne | Nombre de fois qu’une clé privée a été utilisée. |
| Liste de Privilèges | chaîne | Privilèges, y compris les privilèges utilisateur, groupe ou système associés à l’événement. |
| Processus | chaîne | Nom du processus qui génère l’événement. |
| ProcessId | chaîne | Identifie le processus qui a généré l’événement. |
| ProcessName | chaîne | Chemin complet et nom de l’exécutable pour le processus. |
| ProfilePath | chaîne | Spécifie un chemin d’accès au profil du compte. Cette valeur peut être une chaîne Null, un chemin absolu local ou un chemin UNC. |
| Propriétés | chaîne | Dépend du type d’objet. Ce champ peut être vide ou contenir la liste des propriétés d’objet auxquelles vous avez accédé. |
| ProtocolSequence | chaîne | Informations sur le protocole utilisé pour une tentative d’authentification. |
| NomDeLaPolitiqueDuProxy | chaîne | Nom de la stratégie utilisée pour configurer le serveur proxy pour la connexion au réseau. |
| QuarantineHelpURL | chaîne | URL qui fournit de l’aide pour résoudre un problème de quarantaine réseau. |
| QuarantineSessionID | chaîne | Identificateur de la session où le fichier a été évalué pour la mise en quarantaine. |
| QuarantineSessionIdentifier | chaîne | Identificateur de la session où le fichier a été évalué pour la mise en quarantaine. |
| QuarantineState | chaîne | Il indique si le fichier est mis en quarantaine. |
| QuarantineSystemHealthResult | chaîne | Rapport qui indique l’état des fichiers mis en quarantaine. |
| RelativeTargetName | chaîne | Nom relatif du fichier ou dossier cible consulté. Ce chemin d’accès de fichier est relatif au partage réseau. Si l’accès a été demandé pour le partage lui-même, ce champ apparaît sous la forme « ». |
| Adresse IP distante | chaîne | Adresse IP de l’ordinateur qui a lancé une connexion distante. |
| RemotePort | chaîne | Numéro de port de l’ordinateur distant qui a lancé une connexion. |
| Requester | chaîne | Identificateur du demandeur d’événement. |
| ID de demande | chaîne | Identificateur unique associé à des requêtes particulières, telles que celles effectuées via HTTP. |
| _ResourceId (Identifiant de Ressource) | chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RestrictedAdminMode | chaîne | Uniquement renseigné pour les sessions de connexion de type RemoteInteractive. Il s’agit d’un indicateur Oui/Non indiquant si les informations d’identification fournies ont été passées à l’aide du mode Administrateur restreint. Le mode Administrateur restreint a été ajouté dans Win8.1/2012R2, mais cet indicateur a été ajouté à l’événement dans Win10. |
| RowsDeleted | chaîne | Nombre de lignes qui ont été supprimées dans le cadre d’une opération particulière. |
| SamAccountName | chaîne | Nom d’ouverture de session du compte utilisé pour prendre en charge les clients et les serveurs des versions précédentes de Windows (nom de connexion antérieur à Windows 2000). |
| ScriptPath | chaîne | Spécifie le chemin d’accès du script d’ouverture de session du compte. |
| Descripteur de sécurité | chaîne | Informations sur les paramètres de sécurité et les autorisations d’un objet ou d’une ressource particulier. |
| Compte de Service | chaîne | Contexte de sécurité sous lequel le service s’exécutera au démarrage. |
| ServiceFileName | chaîne | Indique le type de service inscrit auprès du Gestionnaire de contrôle de service. |
| Nom du Service | chaîne | Nom du service installé. |
| ServiceStartType | entier | Contient des informations sur le démarrage d’un service particulier, qu’il soit démarré automatiquement ou manuellement. |
| Type de Service | chaîne | Indique le type de service inscrit auprès du Gestionnaire de contrôle de service. |
| Nom de la session | chaîne | Nom de la session à laquelle l’utilisateur a été reconnecté. |
| Partager le chemin local | chaîne | Chemin local du partage réseau sollicité. |
| ShareName | chaîne | Nom du partage réseau accessible. Le format est : \*\SHARE_NAME. |
| HistoriqueSID | chaîne | Contient les SID précédents utilisés pour l’objet si l’objet a été déplacé d’un autre domaine. |
| SourceComputerId | chaîne | Identificateur unique affecté à chaque ordinateur d’un domaine Windows. |
| SourceSystem | chaîne | Le type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Statut | chaîne | Raison pour laquelle l’ouverture de session a échoué. Pour cet événement, il a généralement la valeur « 0xC0000234 ». Les codes d’état les plus courants sont répertoriés dans le tableau 12. Codes d’état de connexion Windows. |
| StorageAccount | chaîne | Définit la clé d’accès du compte de stockage. |
| Sous-catégorieGuid | chaîne | GUID unique de la sous-catégorie modifiée. |
| Identifiant de sous-catégorie | chaîne | Identificateur unique pour un type spécifique de l’événement. |
| Objet | chaîne | Informations sur le principal de sécurité (par exemple : compte d’utilisateur) qui a lancé l’événement. |
| SubjectAccount | chaîne | Informations sur le compte qui lance l’événement. |
| NomDeDomaineDuSujet | chaîne | Informations sur le domaine ou le groupe de travail auquel appartient le compte d’objet. |
| SubjectKeyIdentifier | chaîne | Identificateur unique d’un sujet de certificat particulier. |
| SubjectLogonId | chaîne | Identificateur unique de la session de connexion associée au compte utilisateur. |
| SubjectMachineName | chaîne | Informations sur l’ordinateur ou le système à partir duquel l’événement a été créé. |
| SubjectMachineSID | chaîne | Identificateur de sécurité (SID) de l’ordinateur qui a généré l’événement. |
| NomUtilisateurSujet | chaîne | Nom du compte d’utilisateur qui a généré l’événement. |
| SubjectUserSid | chaîne | Identificateur de sécurité (SID) pour le compte d’utilisateur qui a généré l’événement. |
| _IdentifiantDeSouscription | chaîne | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| SubStatus | chaîne | Informations supplémentaires sur l’échec de connexion. Les codes de sous-état les plus courants répertoriés dans le tableau 12. Codes d’état de connexion Windows'. |
| SystemProcessId | entier | Identifie le processus qui a généré l’événement. |
| SystemThreadId | entier | Identifie le thread qui a généré l’événement. |
| SystemUserId | chaîne | ID de l’utilisateur responsable de l’événement. |
| TableId | chaîne | Identificateur spécifique de la table de données dans laquelle les données d’événement sont stockées. |
| TargetAccount | chaîne | Compte ciblé par l’événement (nom d’utilisateur, nom d’ordinateur, etc.). |
| NomDeDomaineCible | chaîne | Nom du domaine auquel appartient le compte cible. |
| TargetInfo | chaîne | Informations supplémentaires sur la cible d’événement (par exemple : le chemin d’accès à un fichier ou un dossier, le nom d’une clé de Registre, etc.). |
| TargetLinkedLogonId | chaîne | Informations permettant de lier des événements connexes par leurs ID de tentative de connexion. Il peut être utile de garder tous les événements pertinents organisés, de suivre l’activité sur plusieurs sessions et d’identifier la source d’attaque. |
| TargetLogonGuid | chaîne | Identificateur global unique (GUID) associé à la session de connexion liée à l’événement. |
| TargetLogonId | chaîne | Identificateur unique associé à la session de connexion liée à l’événement. |
| TargetOutboundDomainName | chaîne | Domaine sur lequel le compte spécifié dans le champ TargetAccount a été authentifié lors d’une tentative d’authentification sortante. |
| TargetOutboundUserName | chaîne | Nom du compte d’utilisateur authentifié lors d’une tentative d’authentification sortante. |
| NomDuServeurCible | chaîne | Nom du serveur sur lequel le nouveau processus a été exécuté. A la valeur « localhost » si le processus a été exécuté localement. |
| TargetSid | chaîne | Identificateur de sécurité (SID) du serveur sur lequel le nouveau processus a été exécuté. |
| UtilisateurCible | chaîne | Identificateur de compte d’utilisateur qui a généré le nouveau processus. |
| Nom d'utilisateur ciblé | chaîne | Nom du compte d’utilisateur qui a généré le nouveau processus. |
| TargetUserSid | chaîne | Identificateur de sécurité associé à l’utilisateur ou à la ressource impliquée dans l’événement. |
| Tâche | entier | Tâche définie dans l’événement. |
| ContenuDuModèle | chaîne | Contenu du message ou de la notification d’événement dans un formulaire structuré. |
| TemplateDSObjectFQDN | chaîne | Nom de domaine complet de l’objet DS qui représente le modèle GPO. |
| TemplateInternalName | chaîne | Le nom interne du modèle GPO. |
| TemplateOID | chaîne | identificateur unique du modèle utilisé pour créer l’événement. |
| TemplateSchemaVersion | chaîne | Version du schéma de modèle qui définit les données à inclure avec un événement. |
| TemplateVersion | chaîne | Version du modèle qui définit les données à inclure avec un événement. |
| Identifiant du locataire | chaîne | ID de l’espace de travail Log Analytics |
| TimeGenerated | date/heure | Le moment où l'événement a été horodaté sur l'ordinateur. |
| TokenElevationType | chaîne | Type de jeton affecté à un nouveau processus conformément à la stratégie de contrôle de compte d’utilisateur. |
| TransmittedServices | chaîne | Liste des services transmis. Les services transmis sont renseignés si l’ouverture de session a été le résultat d’un processus d’ouverture de session S4U (Service for User). S4U est une extension Microsoft au protocole Kerberos pour permettre à un service d’application d’obtenir un ticket de service Kerberos pour le compte d’un utilisateur, le plus souvent effectué par un site web frontal pour accéder à une ressource interne pour le compte d’un utilisateur. Pour plus d’informations sur S4U, consultez https://msdn.microsoft.com/library/cc246072.aspx. |
| Catégorie | chaîne | Le nom de la table |
| Contrôle du compte utilisateur | chaîne | Affiche la liste des modifications apportées à l’attribut userAccountControl. Vous verrez une ligne de texte pour chaque modification. |
| UserParameters | chaîne | Si vous modifiez un paramètre en utilisant la console de gestion Utilisateurs et ordinateurs Active Directory dans l'onglet Accès à distance des propriétés du compte d'utilisateur, vous verrez <la valeur modifiée, mais pas affichée> dans ce champ. Pour les comptes locaux, ce champ n’est pas applicable et a <toujours une valeur non définie> . |
| Nom Principal de l'Utilisateur | chaîne | Nom de connexion de style Internet pour le compte, basé sur la norme Internet RFC 822. Par convention, cela doit être mappé au nom de messagerie du compte. |
| Postes de travail utilisateurs | chaîne | Contient la liste des noms NetBIOS ou DNS des ordinateurs à partir desquels l’utilisateur peut se connecter. Chaque nom d’ordinateur est séparé par une virgule. Le nom d’un ordinateur est la propriété sAMAccountName d’un objet ordinateur. |
| VendorIds | chaîne | Attribut « Identifiants matériels » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails ». |
| Version | entier | Contient le numéro de version de la définition de l’événement. |
| VirtualAccount | chaîne | Indicateur « Oui » ou « Non », qui indique si le compte est un compte virtuel (par exemple, « Compte de service géré »), qui a été introduit dans Windows 7 et Windows Server 2008 R2 pour fournir la possibilité d’identifier le compte utilisé par un service donné, au lieu d’utiliser simplement « NetworkService ». |
| Station de travail | chaîne | Nom de l’ordinateur utilisé pour effectuer l’événement. |
| Nom du Poste de Travail | chaîne | Nom de l’ordinateur à partir duquel une tentative d’ouverture de session a été effectuée. |