SecurityEvent
Peristiwa keamanan yang dikumpulkan dari komputer windows oleh Azure Security Center atau Azure Sentinel.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategori | Keamanan |
| Solusi | Keamanan, SecurityInsights |
| Log dasar | No |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | Ya |
Kolom
| Column | Tipe | Deskripsi |
|---|---|---|
| AccessMask | string | Masker heksadesimal untuk operasi yang diminta atau dilakukan. |
| Akun | string | Konteks Keamanan untuk layanan atau pengguna. |
| AccountDomain | string | Domain subjek atau nama komputer. |
| AccountExpires | string | Tanggal ketika akun kedaluwarsa. |
| AccountName | string | Nama akun yang meminta operasi "hapus kepercayaan domain". |
| AccountSessionIdentifier | string | Pengidentifikasi unik yang dihasilkan oleh komputer saat sesi dibuat. |
| AccountType | string | Mengidentifikasi apakah akun tersebut adalah akun komputer (mesin) atau pengguna. |
| Tinggi | string | Judul deskriptif peristiwa terjadi. |
| AdditionalInfo | string | Informasi tambahan yang disediakan oleh sumber, yang tidak dipetakan ke bidang lain, diwakili oleh daftar. |
| AdditionalInfo2 | string | Informasi tambahan yang disediakan oleh sumber, yang tidak dipetakan ke bidang lain, diwakili oleh daftar. |
| AllowedToDelegateTo | string | Daftar SPN tempat akun ini dapat menyajikan kredensial yang didelegasikan. |
| Atribut | string | Informasi tambahan tentang peristiwa tersebut. |
| AuditPolicyChanges | string | Peristiwa yang dihasilkan ketika perubahan dilakukan pada kebijakan audit sistem atau pengaturan audit pada file atau kunci registri. |
| AuditDiscarded | int | Jumlah pesan audit yang dibuang. |
| AuthenticationLevel | int | Jumlah pesan audit yang dibuang. |
| AuthenticationPackageName | string | nama Paket Autentikasi yang dimuat. Formatnya adalah: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | Identitas penyedia yang bertanggung jawab atas proses autentikasi (dapat mencakup otoritas sertifikat, nama pengguna, sistem autentikasi kata sandi, dll). |
| AuthenticationServer | string | Server tempat penyedia autentikasi berada. |
| AuthenticationService | int | Layanan tempat penyedia autentikasi berada. |
| AuthenticationType | string | jenis autentikasi yang digunakan untuk peristiwa (autentikasi dua faktor, autentikasi biometrik, dll). |
| AzureDeploymentID | string | ID penyebaran Azure dari layanan cloud tempat log berada. |
| _BilledSize | real | Ukuran rekaman dalam byte |
| CACertificateHash | string | Nilai hash sertifikat otoritas sertifikat (CA) yang digunakan untuk mengautentikasi pengguna yang melakukan peristiwa. |
| CalledStationID | string | Informasi tentang ID stasiun yang memulai tindakan yang mengarah ke peristiwa keamanan. |
| CallerProcessId | string | ID Proses Heksadesimal dari proses yang mencoba masuk. ID Proses (PID) adalah angka yang digunakan oleh sistem operasi untuk mengidentifikasi proses aktif secara unik. |
| CallerProcessName | string | Jalur lengkap dan nama yang dapat dieksekusi untuk proses tersebut. |
| CallingStationID | string | Informasi tentang ID stasiun yang memulai tindakan yang mengarah ke peristiwa keamanan. |
| CAPublicKeyHash | string | Nilai hash yang mengidentifikasi kunci publik otoritas sertifikasi (CA) yang menerbitkan sertifikat. |
| CategoryId | string | Kategori peristiwa keamanan yang terjadi (upaya masuk, pelanggaran data, dll). |
| CertificateDatabaseHash | string | Nilai hash yang mengidentifikasi database yang mengeluarkan sertifikat. |
| Saluran | string | Saluran tempat peristiwa dicatat. |
| ClassId | string | Atribut 'Class Guid' perangkat. |
| ClassName | string | Atribut 'Kelas' perangkat. |
| ClientAddress | string | Alamat IP komputer tempat permintaan TGT diterima. |
| ClientIPAddress | string | Alamat IP komputer yang memulai tindakan yang mengarah ke peristiwa. |
| ClientName | string | nama komputer tempat pengguna disambungkan kembali. Memiliki nilai 'Tidak Diketahui' untuk sesi konsol. |
| CommandLine | string | Argumen baris perintah yang diteruskan ke aplikasi atau proses yang terlibat dalam peristiwa tersebut. |
| CompatibleIds | string | Atribut 'Id yang kompatibel' perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail': |
| Komputer | string | Nama komputer tempat peristiwa terjadi. |
| Korelasi | string | Pengidentifikasi aktivitas yang dapat digunakan konsumen untuk mengelompokkan peristiwa terkait bersama-sama. |
| DCDNSName | string | Nama DNS pengendali domain yang terlibat dalam peristiwa tersebut. |
| DeviceDescription | string | deskripsi perangkat yang terlibat dalam peristiwa tersebut. |
| DeviceId | string | Pengidentifikasi unik perangkat yang terlibat dalam peristiwa tersebut. |
| DisplayName | string | Ini adalah nama, ditampilkan dalam buku alamat untuk akun tertentu. Ini biasanya merupakan kombinasi dari nama depan pengguna, inisial tengah, dan nama belakang. |
| Disposition | string | Hasil/resolusi peristiwa, seperti apakah peristiwa diselesaikan atau apakah ada tindakan yang diambil sebagai respons terhadap peristiwa tersebut. |
| DomainBehaviorVersion | string | Atribut domain msDS-Behavior-Version dimodifikasi. Nilai numerik. |
| DomainName | string | Nama domain tepercaya yang dihapus. |
| DomainPolicyChanged | string | Menunjukkan apakah ada kebijakan domain yang telah diubah sebagai bagian dari peristiwa (kebijakan kata sandi, kebijakan keamanan, dll). |
| DomainSid | string | SID mitra kepercayaan. Parameter ini mungkin tidak diambil dalam peristiwa, dan dalam hal ini muncul sebagai 'NULL SID'. |
| EAPType | string | Jenis Extensible Authentication Protocol (EAP) yang digunakan untuk proses autentikasi peristiwa. |
| ElevatedToken | string | Bendera 'Ya' atau 'Tidak'. Jika 'Ya', maka sesi yang diwakili acara ini ditinggikan dan memiliki hak istimewa administrator. |
| ErrorCode | int | Berisi kode kesalahan untuk peristiwa Kegagalan. Untuk peristiwa Keberhasilan, parameter ini memiliki nilai '0x0'. |
| EventData | string | Data khusus peristiwa yang terkait dengan peristiwa. |
| ID Peristiwa | int | Pengidentifikasi yang digunakan penyedia untuk mengidentifikasi peristiwa. |
| EventLevelName | string | String pesan yang dirender dari tingkat yang ditentukan dalam peristiwa. |
| EventRecordId | string | Nomor rekaman yang ditetapkan ke peristiwa saat dicatat. |
| EventSourceName | string | Nama perangkat lunak yang mencatat peristiwa (aplikasior succomponent). |
| ExtendedQuarantineState | string | Status proses karantina jaringan, jika berlaku. Karantina jaringan adalah proses di mana perangkat yang tidak sah dicegah mengakses jaringan hingga memenuhi persyaratan keamanan tertentu atau telah diperiksa malwarenya. |
| FailureReason | string | penjelasan tekstual tentang nilai bidang Status. Untuk kejadian ini, biasanya memiliki nilai 'Akun dikunci'. |
| FileHash | string | Nilai hash untuk file apa pun yang diakses atau dimodifikasi sebagai bagian dari peristiwa, atau file apa pun yang digunakan dalam proses autentikasi atau otorisasi. |
| FilePath | string | Jalur lengkap dan nama file file kunci tempat operasi dilakukan. |
| FilePathNoUser | string | Jalur file apa pun yang terkait dengan peristiwa, tidak termasuk nama pengguna atau informasi spesifik pengguna lainnya. |
| Filter | string | Filter yang digunakan dalam peristiwa yang dilakukan. |
| ForceLogoff | string | '\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan\Keamanan jaringan: Paksa keluar saat jam masuk kedaluwarsa' kebijakan grup. |
| Fqbn | string | Nama biner yang sepenuhnya memenuhi syarat (FQBN) untuk file apa pun yang terkait dengan peristiwa tersebut. |
| FullyQualifiedSubjectMachineName | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) komputer yang memulai peristiwa. |
| FullyQualifiedSubjectUserName | string | Nama pengguna atau layanan yang memulai peristiwa dalam format FQDN. |
| GroupMembership | string | Daftar SID grup yang masuk akun milik (anggota). Pemantau Peristiwa secara otomatis mencoba mengatasi SID dan menampilkan nama akun. Jika SID tidak dapat diselesaikan, Anda akan melihat data sumber dalam peristiwa tersebut. |
| HandleId | string | Nilai heksadesimal handel ke Nama Objek. Bidang ini dapat digunakan untuk korelasi dengan peristiwa lain. |
| HardwareIds | string | Atribut 'Id Perangkat Keras' perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail': |
| HomeDirectory | string | Direktori beranda pengguna. Jika atribut homeDrive diatur dan menentukan huruf kandar, homeDirectory harus menjadi jalur UNC. Jalur harus berupa UNC jaringan dari formulir \Server\Share\Directory. |
| HomePath | string | Jalur beranda pengguna. Jalur harus berupa UNC jaringan dari formulir \Server\Share\Directory. |
| InterfaceUuid | string | Pengidentifikasi unik (UUID) untuk antarmuka jaringan yang digunakan untuk peristiwa tersebut. |
| IpAddress | string | alamat jaringan (biasanya IPv4 atau IPv6) yang terkait dengan peristiwa. |
| IpPort | string | Nomor port jaringan yang terkait dengan peristiwa. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable false penyerapan tidak ditagih ke akun Azure Anda |
| KeyLength | int | Panjang kunci Keamanan Sesi NTLM. Biasanya memiliki panjang 128 bit atau 56 bit. |
| Kata Kunci | string | Bitmask kata kunci yang ditentukan dalam peristiwa. |
| Tingkat | string | Windows mengategorikan setiap peristiwa dengan tingkat keparahan. Tingkat keparahannya adalah informasi, verbose, peringatan, kesalahan, dan kritis yang dinyatakan dalam angka. |
| LmPackageName | string | Nama paket atau komponen perangkat lunak yang saat ini menggunakan Otoritas Keamanan Lokal (LSA) pada komputer tempat peristiwa dibuat. |
| LocationInformation | string | Atribut 'Informasi lokasi' perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail': |
| LockoutDuration | string | Kebijakan '\Pengaturan Keamanan\Kebijakan Akun\Kebijakan Penguncian Akun\Durasi penguncian akun'. Nilai numerik. |
| LockoutObservationWindow | string | '\Pengaturan Keamanan\Kebijakan Akun\Kebijakan Penguncian Akun\Reset penghitung penguncian akun setelah kebijakan grup. Nilai numerik. |
| LockoutThreshold | string | Kebijakan '\Pengaturan Keamanan\Kebijakan Akun\Kebijakan Penguncian Akun\Ambang batas penguncian akun'. Nilai numerik. |
| LoggingResult | string | Hasil dari proses masuk. |
| LogonGuid | string | GUID yang dapat membantu Anda menghubungkan peristiwa ini dengan peristiwa lain yang dapat berisi GUID Masuk yang sama. |
| LogonHours | string | Jam yang diizinkan akun untuk masuk ke domain. |
| LogonID | string | Nilai heksadesimal yang dapat membantu Anda menghubungkan peristiwa ini dengan peristiwa terbaru yang mungkin berisi ID Masuk yang sama. |
| LogonProcessName | string | Nama proses masuk terdaftar. |
| LogonType | int | Jenis log masuk yang dilakukan. |
| LogonTypeName | string | Jenis peristiwa masuk atau autentikasi yang ditangkap oleh log peristiwa (nilai umum:Interaktif, Jaringan, RemoteInteractive, Buka Kunci). |
| MachineAccountQuota | string | Atribut domain ms-DS-MachineAccountQuota dimodifikasi. Nilai numerik. |
| MachineInventory | string | Informasi tentang konfigurasi perangkat keras dan lingkungan perangkat lunak komputer tempat peristiwa dibuat. Ini dapat mencakup titik data yang berbeda, misalnya: pembuatan dan model komputer, jumlah RAM atau ruang penyimpanan yang tersedia, nomor versi berbagai aplikasi perangkat lunak, dll). |
| MachineLogon | string | Informasi tentang peristiwa masuk yang berhasil di komputer. |
| ManagementGroupName | string | Informasi tambahan berdasarkan jenis sumber daya. |
| MandatoryLabel | string | ID label integritas yang ditetapkan ke proses baru. |
| MaxPasswordAge | string | Periode waktu (dalam hari) kata sandi dapat digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya. |
| Nama Anggota | string | Akun pengguna yang terlibat dalam peristiwa tersebut. |
| MemberSid | string | Pengidentifikasi keamanan (SID) yang terkait dengan akun pengguna yang terlibat dalam peristiwa tersebut. |
| MinPasswordAge | string | Periode waktu (dalam hari) kata sandi harus digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya. |
| MinPasswordLength | string | Jumlah karakter paling sedikit yang dapat membentuk kata sandi untuk akun pengguna. |
| MixedDomainMode | string | Mode domain sistem atau pengontrol domain. |
| NASIdentifier | string | Pengidentifikasi server akses jaringan (NAS) yang terlibat dalam peristiwa tersebut. |
| NASIPv4Address | string | IPv4Address dari server akses jaringan (NAS) yang terlibat dalam peristiwa tersebut, jika berlaku. |
| NASIPv6Address | string | IPv6Address dari server akses jaringan (NAS) yang terlibat dalam peristiwa tersebut, jika berlaku. |
| NASPort | string | port pada server akses jaringan yang digunakan dalam peristiwa tersebut. |
| NASPortType | string | jenis server akses jaringan (NAS) yang digunakan dalam peristiwa tersebut. |
| NetworkPolicyName | string | Nama kebijakan jaringan yang terkait dengan peristiwa tersebut. |
| NewDate | string | Tanggal baru di zona waktu UTC. Formatnya adalah YYYY-MM-DD. |
| NewMaxUsers | string | Jumlah maksimum pengguna baru yang diizinkan untuk sumber daya dalam peristiwa tersebut. |
| NewProcessId | string | ID Proses Heksadesimal dari proses baru. ID Proses (PID) adalah angka yang digunakan oleh sistem operasi untuk mengidentifikasi proses aktif secara unik. |
| NewProcessName | string | Jalur lengkap dan nama yang dapat dieksekusi untuk proses baru. |
| Tandai Baru | string | Nilai baru bidang 'Komentar:' berbagi jaringan. Memiliki nilai 'N/A' jika tidak diatur. |
| NewShareFlags | string | Bendera berbagi yang terkait dengan sumber daya dalam peristiwa tersebut, misalnya: informasi tentang apakah sumber daya bersifat baca-saja atau baca/tulis, apakah itu tersembunyi, dan parameter lain yang dapat memengaruhi akses dan izin. |
| NewTime | string | Waktu baru yang diatur dalam zona waktu UTC. Formatnya adalah YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Menentukan bendera yang mengontrol kata sandi, penguncian, nonaktifkan/aktifkan, skrip, dan perilaku lain untuk akun pengguna. |
| NewValue | string | Nilai baru untuk nilai kunci registri yang diubah. |
| NewValueType | string | Jenis baru nilai kunci registri yang diubah. |
| ObjectName | string | Nama dan informasi identifikasi lainnya untuk objek tempat akses diminta. Misalnya, untuk file, jalur akan disertakan. |
| ObjectServer | string | Berisi nama subsistem Windows yang memanggil rutinitas. |
| ObjectType | string | Jenis objek yang diakses selama operasi. |
| ObjectValueName | string | Nama nilai kunci registri yang dimodifikasi. |
| OemInformation | string | Produsen peralatan asli (OEM) yang terkait dengan perangkat atau sistem dalam peristiwa tersebut. |
| OldMaxUsers | string | Jumlah maksimum pengguna sebelumnya yang diizinkan untuk sumber daya dalam peristiwa tersebut. |
| OldRemark | string | nilai lama bidang 'Komentar:' berbagi jaringan. Memiliki nilai 'N/A' jika tidak diatur. |
| OldShareFlags | string | Bendera berbagi sebelumnya yang terkait dengan sumber daya dalam peristiwa, misalnya: informasi tentang apakah sumber daya bersifat baca-saja atau baca/tulis, apakah itu tersembunyi, dan parameter lain yang dapat memengaruhi akses dan izin. |
| OldUacValue | string | Menentukan bendera yang mengontrol kata sandi, penguncian, nonaktifkan/aktifkan, skrip, dan perilaku lain untuk akun pengguna. Parameter ini berisi nilai sebelumnya dari atribut userAccountControl objek pengguna. |
| OldValue | string | Nilai lama untuk nilai kunci registri yang diubah. |
| OldValueType | string | Jenis lama dari nilai kunci registri yang diubah. |
| Opcode | string | Elemen opcode didefinisikan oleh jenis kompleks SystemPropertiesType. |
| OperationType | string | Jenis operasi yang dilakukan pada objek |
| PackageName | string | Nama sub-paket Lan Manager (nama protokol NTLM-family) yang digunakan selama masuk. |
| ParentProcessName | string | Nama proses induk yang terkait dengan peristiwa. |
| PasswordHistoryLength | string | \Pengaturan Keamanan\Kebijakan Akun\Kebijakan Kata Sandi\Menerapkan riwayat kata sandi" kebijakan grup. Nilai numerik. |
| PasswordLastSet | string | Terakhir kali kata sandi akun diubah. |
| PasswordProperties | string | Kebijakan kata sandi atau properti yang terkait dengan peristiwa, misalnya: panjang kata sandi, kompleksitas, dan tanggal kedaluwarsa. |
| PreviousDate | string | Tanggal sebelumnya yang terkait dengan peristiwa. |
| PreviousTime | string | Waktu sebelumnya di zona waktu UTC. Formatnya adalah YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | Pengidentifikasi Relatif (RID) grup utama objek pengguna. |
| PrivateKeyUsageCount | string | Berapa kali kunci privat telah digunakan. |
| PrivilegeList | string | Hak istimewa, termasuk hak istimewa pengguna, grup, atau sistem yang terkait dengan peristiwa tersebut. |
| Proses | string | Nama proses yang menghasilkan peristiwa. |
| ProcessId | string | Mengidentifikasi proses yang menghasilkan peristiwa. |
| ProcessName | string | Jalur lengkap dan nama yang dapat dieksekusi untuk proses tersebut. |
| ProfilePath | string | Menentukan jalur ke profil akun. Nilai ini dapat berupa string null, jalur absolut lokal, atau jalur UNC. |
| Properti | string | Tergantung pada Jenis Objek. Bidang ini bisa kosong atau berisi daftar properti objek yang diakses. |
| ProtocolSequence | string | Informasi tentang protokol yang digunakan untuk upaya autentikasi. |
| ProxyPolicyName | string | Nama kebijakan yang digunakan untuk mengonfigurasi server proksi untuk menyambungkan ke jaringan. |
| KarantinaHelpURL | string | URL yang menyediakan bantuan untuk memecahkan masalah karantina jaringan. |
| QuarantineSessionID | string | Pengidentifikasi sesi tempat file dinilai untuk karantina. |
| QuarantineSessionIdentifier | string | Pengidentifikasi sesi tempat file dinilai untuk karantina. |
| KarantinaState | string | Ini menunjukkan apakah file dikarantina. |
| KarantinaSystemHealthResult | string | Laporan yang menunjukkan status file yang telah dikarantina. |
| RelativeTargetName | string | Nama relatif file atau folder target yang diakses. Jalur file ini relatif terhadap berbagi jaringan. Jika akses diminta untuk berbagi itu sendiri, maka bidang ini muncul sebagai "". |
| RemoteIpAddress | string | Alamat IP komputer yang memulai koneksi jarak jauh. |
| Port Jarak Jauh | string | Nomor port komputer jarak jauh yang memulai sambungan. |
| Pemohon | string | Pengidentifikasi pemohon peristiwa. |
| RequestId | string | Pengidentifikasi unik yang terkait dengan permintaan tertentu, seperti yang dibuat melalui HTTP. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| RestrictedAdminMode | string | Hanya diisi untuk sesi jenis masuk RemoteInteractive. Ini adalah bendera Ya/Tidak yang menunjukkan apakah kredensial yang disediakan diteruskan menggunakan mode Admin Terbatas. Mode Admin Terbatas ditambahkan di Win8.1/2012R2 tetapi bendera ini ditambahkan ke acara di Win10. |
| RowsDeleted | string | Jumlah baris yang dihapus sebagai bagian dari operasi tertentu. |
| SamAccountName | string | nama masuk untuk akun yang digunakan untuk mendukung klien dan server dari versi Windows sebelumnya (nama masuk pra-Windows 2000). |
| ScriptPath | string | Menentukan jalur skrip masuk akun. |
| SecurityDescriptor | string | Informasi tentang pengaturan keamanan dan izin objek atau sumber daya tertentu. |
| ServiceAccount | string | Konteks keamanan yang akan dijalankan layanan seperti saat dimulai. |
| ServiceFileName | string | Menunjukkan jenis layanan yang terdaftar di Service Control Manager. |
| ServiceName | string | Nama layanan yang diinstal. |
| ServiceStartType | int | Berisi informasi tentang bagaimana layanan tertentu harus dimulai, apakah layanan tersebut harus dimulai secara otomatis atau manual. |
| ServiceType | string | Menunjukkan jenis layanan yang terdaftar di Service Control Manager. |
| SessionName | string | Nama sesi tempat pengguna disambungkan kembali. |
| ShareLocalPath | string | Jalur lokal berbagi jaringan yang diakses. |
| ShareName | string | Nama berbagi jaringan yang diakses. Formatnya adalah: \*\SHARE_NAME. |
| SidHistory | string | Berisi SID sebelumnya yang digunakan untuk objek jika objek dipindahkan dari domain lain. |
| SourceComputerId | string | Pengidentifikasi unik yang ditetapkan ke setiap komputer dalam domain Windows. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik direct connect atau Operations Manager, Linux untuk semua agen Linux, atau Azure untuk Azure Diagnostics |
| Status | string | Alasan mengapa log masuk gagal. Untuk peristiwa ini, biasanya memiliki nilai '0xC0000234'. Kode status yang paling umum tercantum dalam Tabel 12. Kode status masuk Windows. |
| StorageAccount | string | Mengatur kunci akses akun penyimpanan. |
| SubkataanGuid | string | GUID unik subkatgori yang diubah. |
| SubkataanId | string | Pengidentifikasi unik untuk jenis peristiwa tertentu. |
| Subjek | string | Informasi tentang prinsip keamanan (misalnya: akun pengguna) yang memulai peristiwa. |
| SubjectAccount | string | Informasi tentang akun yang memulai peristiwa. |
| SubjectDomainName | string | Informasi tentang domain atau grup kerja tempat akun subjek berada. |
| SubjectKeyIdentifier | string | Pengidentifikasi unik untuk subjek sertifikat tertentu. |
| SubjectLogonId | string | Pengidentifikasi unik untuk sesi masuk yang terkait dengan akun subjek. |
| SubjectMachineName | string | Informasi tentang mesin atau sistem tempat peristiwa dibuat. |
| SubjectMachineSID | string | Pengidentifikasi keamanan (SID) untuk komputer yang menghasilkan peristiwa. |
| SubjectUserName | string | Nama akun pengguna yang menghasilkan peristiwa. |
| SubjectUserSid | string | Pengidentifikasi keamanan (SID) untuk akun pengguna yang menghasilkan peristiwa. |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| SubStatus | string | Informasi tambahan tentang kegagalan masuk. Kode substatus yang paling umum tercantum dalam 'Tabel 12. Kode status masuk Windows'. |
| SystemProcessId | int | Mengidentifikasi proses yang menghasilkan peristiwa. |
| SystemThreadId | int | Mengidentifikasi utas yang menghasilkan peristiwa. |
| SystemUserId | string | ID pengguna yang bertanggung jawab atas peristiwa tersebut. |
| TableId | string | Pengidentifikasi tabel data tertentu tempat data peristiwa disimpan. |
| TargetAccount | string | Akun yang ditargetkan oleh peristiwa (nama pengguna, nama komputer, dll). |
| TargetDomainName | string | Nama domain tempat akun target berada. |
| TargetInfo | string | Informasi tambahan tentang target peristiwa (misalnya: jalur ke file atau folder, nama kunci registri, dll). |
| TargetLinkedLogonId | string | Informasi yang membantu menautkan peristiwa terkait bersama-sama dengan ID upaya masuk mereka. Ini dapat berguna dalam menjaga semua peristiwa yang relevan terorganisir, melacak aktivitas di beberapa sesi, dan mengidentifikasi sumber serangan. |
| TargetLogonGuid | string | Pengidentifikasi unik global (GUID) yang terkait dengan sesi masuk yang terkait dengan peristiwa tersebut. |
| TargetLogonId | string | Pengidentifikasi unik yang terkait dengan sesi masuk yang terkait dengan peristiwa. |
| TargetOutboundDomainName | string | Domain yang ditentukan akun di bidang TargetAccount diautentikasi selama upaya autentikasi keluar. |
| TargetOutboundUserName | string | Nama akun pengguna yang diautentikasi selama upaya autentikasi keluar. |
| TargetServerName | string | Nama server tempat proses baru dijalankan. Memiliki nilai "localhost" jika proses dijalankan secara lokal. |
| TargetSid | string | Pengidentifikasi keamanan (SID) server tempat proses baru dijalankan. |
| TargetUser | string | Pengidentifikasi akun pengguna yang menghasilkan proses baru. |
| TargetUserName | string | Nama akun pengguna yang menghasilkan proses baru. |
| TargetUserSid | string | Pengidentifikasi keamanan (SID) yang terkait dengan pengguna atau sumber daya yang terlibat dalam peristiwa tersebut. |
| Tugas | int | Tugas yang ditentukan dalam peristiwa. |
| TemplateContent | string | Konten pesan peristiwa atau pemberitahuan dalam formulir terstruktur. |
| TemplatedsObjectFQDN | string | FQDN objek DS yang mewakili templat GPO. |
| TemplateInternalName | string | Nama internal templat GPO. |
| TemplateOID | string | pengidentifikasi unik untuk templat yang digunakan untuk membuat peristiwa. |
| TemplateSchemaVersion | string | Versi skema templat yang menentukan data yang akan disertakan dengan peristiwa. |
| TemplateVersion | string | Versi templat yang menentukan data yang akan disertakan dengan peristiwa. |
| TenantId | string | ID ruang kerja Analitik Log |
| TimeGenerated | datetime | Stempel waktu ketika peristiwa dihasilkan di komputer. |
| TokenElevationType | string | Jenis token yang ditetapkan ke proses baru sesuai dengan Kebijakan Kontrol Akun Pengguna. |
| TransmittedServices | string | Daftar layanan yang ditransmisikan. Layanan yang ditransmisikan diisi jika masuk adalah hasil dari proses masuk S4U (Layanan Untuk Pengguna). S4U adalah ekstensi Microsoft ke Protokol Kerberos untuk memungkinkan layanan aplikasi mendapatkan tiket layanan Kerberos atas nama pengguna - paling umum dilakukan oleh situs web front-end untuk mengakses sumber daya internal atas nama pengguna. Untuk informasi selengkapnya tentang S4U, lihat https://msdn.microsoft.com/library/cc246072.aspx. |
| Jenis | string | Nama tabel |
| UserAccountControl | string | Menampilkan daftar perubahan dalam atribut userAccountControl. Anda akan melihat baris teks untuk setiap perubahan. |
| UserParameters | string | Jika Anda mengubah pengaturan apa pun menggunakan konsol manajemen Pengguna dan Komputer Direktori Aktif di tab Dial-in properti akun pengguna, maka Anda akan melihat <nilai berubah, tetapi tidak ditampilkan> di bidang ini. Untuk akun lokal, bidang ini tidak berlaku dan selalu memiliki <nilai yang tidak ditetapkan> nilainya. |
| UserPrincipalName | string | Nama masuk bergaya internet untuk akun tersebut, berdasarkan standar Internet RFC 822. Menurut konvensi ini harus memetakan ke nama email akun. |
| UserWorkstations | string | Berisi daftar nama NetBIOS atau DNS komputer tempat pengguna dapat masuk. Setiap nama komputer dipisahkan oleh koma. Nama komputer adalah properti sAMAccountName dari objek komputer. |
| VendorIds | string | Atribut 'Id Perangkat Keras' perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail'. |
| Versi | int | Berisi nomor versi definisi peristiwa. |
| VirtualAccount | string | Bendera 'Ya' atau 'Tidak', yang menunjukkan apakah akun tersebut adalah akun virtual (misalnya, 'Akun Layanan Terkelola'), yang diperkenalkan di Windows 7 dan Windows Server 2008 R2 untuk memberikan kemampuan untuk mengidentifikasi akun yang digunakan Layanan tertentu, alih-alih hanya menggunakan 'NetworkService'. |
| Stasiun kerja | string | Nama komputer yang digunakan untuk melakukan peristiwa. |
| WorkstationName | string | Nama mesin tempat upaya masuk dilakukan. |