Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Peristiwa keamanan yang dikumpulkan dari komputer windows oleh Azure Security Center atau Azure Sentinel.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Kategori | Keamanan |
| Solusi | Keamanan, Wawasan Keamanan |
| Log dasar | Ya |
| Dukungan DCR waktu penyerapan | Ya |
| Penyerapan khusus lake | Ya |
| Kueri Sampel | Ya |
Kolom
| Kolom | Tipe | Deskripsi |
|---|---|---|
| AccessMask | string | Masker heksadesimal untuk operasi yang diminta atau dilakukan. |
| Akun | string | Konteks Keamanan untuk layanan atau pengguna. |
| DomainAkun | string | Domain subjek atau nama komputer. |
| AkunKedaluwarsa | string | Tanggal ketika akun kedaluwarsa. |
| NamaAkun | string | Nama akun yang meminta operasi "hapus kepercayaan domain". |
| PengidentifikasiSesiAkun | string | Pengidentifikasi unik yang dihasilkan oleh komputer saat sesi dibuat. |
| TipeAkun | string | Mengidentifikasi apakah akun tersebut adalah akun komputer (mesin) atau pengguna. |
| Aktivitas | string | Judul deskriptif peristiwa terjadi. |
| Informasi Tambahan | string | Informasi tambahan yang diberikan oleh sumber, yang tidak dipetakan ke bidang lain, ditampilkan dalam bentuk daftar. |
| InformasiTambahan2 | string | Informasi tambahan yang diberikan oleh sumber, yang tidak dipetakan ke bidang lain, ditampilkan dalam bentuk daftar. |
| Diizinkan untuk Mendelegasikan Kepada | string | Daftar SPN tempat akun ini dapat menyajikan kredensial yang didelegasikan. |
| Atribut | string | Informasi tambahan tentang peristiwa tersebut. |
| PerubahanKebijakanAudit | string | Peristiwa yang dihasilkan ketika perubahan dilakukan pada kebijakan audit sistem atau pengaturan audit pada file atau kunci registri. |
| AuditorDibuang | int (integer) | Jumlah pesan audit yang dibuang. |
| Tingkat Autentikasi | int (integer) | Jumlah pesan audit yang dibuang. |
| NamaPaketOtentikasi | string | nama Paket Autentikasi yang dimuat. Formatnya adalah: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| Penyedia Autentikasi | string | Identitas penyedia yang bertanggung jawab atas proses autentikasi (dapat mencakup otoritas sertifikat, nama pengguna, sistem autentikasi kata sandi, dll). |
| AuthenticationServer | string | Server tempat penyedia autentikasi berada. |
| AuthenticationService | int (integer) | Layanan di mana penyedia autentikasi berada. |
| Tipe Otentikasi | string | jenis autentikasi yang digunakan untuk peristiwa (autentikasi dua faktor, autentikasi biometrik, dll). |
| AzureDeploymentID | string | ID penyebaran Azure dari layanan cloud tempat log berada. |
| _ UkuranTagihan | nyata | Ukuran rekaman dalam byte |
| CACertificateHash | string | Nilai hash sertifikat dari otoritas sertifikat (CA) yang digunakan untuk mengautentikasi pengguna yang melakukan aktivitas. |
| CalledStationID | string | Informasi tentang ID stasiun yang memulai tindakan yang mengarah ke peristiwa keamanan. |
| CallerProcessId | string | ID Proses Heksadesimal dari proses yang mencoba masuk. ID Proses (PID) adalah angka yang digunakan oleh sistem operasi untuk mengidentifikasi proses aktif secara unik. |
| CallerProcessName | string | Jalur lengkap dan nama file eksekusi untuk proses tersebut. |
| CallingStationID | string | Informasi tentang ID stasiun yang memulai tindakan yang mengarah ke peristiwa keamanan. |
| CAPublicKeyHash | string | Nilai hash yang mengidentifikasi kunci publik otoritas sertifikasi (CA) yang menerbitkan sertifikat. |
| IDKategori | string | Kategori peristiwa keamanan yang terjadi (upaya masuk, pelanggaran data, dll). |
| CertificateDatabaseHash | string | Nilai hash yang mengidentifikasi database yang mengeluarkan sertifikat. |
| Saluran | string | Saluran tempat peristiwa dicatat. |
| ClassId | string | Atribut 'Class Guid' perangkat. |
| ClassName | string | Atribut 'Kelas' perangkat. |
| Alamat Klien | string | Alamat IP komputer tempat permintaan TGT diterima. |
| ClientIPAddress | string | Alamat IP komputer yang memulai tindakan yang mengarah ke peristiwa. |
| NamaKlien | string | nama komputer tempat pengguna disambungkan kembali. Memiliki nilai 'Tidak Diketahui' untuk sesi konsol. |
| Command Line | string | Argumen baris perintah yang diteruskan ke aplikasi atau proses yang terlibat dalam peristiwa tersebut. |
| CompatibleIds | string | Atribut 'ID yang kompatibel' dari perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail': |
| Komputer | string | Nama komputer tempat peristiwa terjadi. |
| Korelasi | string | Pengidentifikasi aktivitas yang dapat digunakan konsumen untuk mengelompokkan peristiwa terkait bersama-sama. |
| DCDNSName | string | Nama DNS pengendali domain yang terlibat dalam peristiwa tersebut. |
| Deskripsi Perangkat | string | deskripsi perangkat yang terlibat dalam peristiwa tersebut. |
| DeviceId | string | Pengidentifikasi unik perangkat yang terlibat dalam peristiwa tersebut. |
| Nama Tampilan | string | Ini adalah nama, ditampilkan dalam buku alamat untuk akun tertentu. Ini biasanya merupakan kombinasi dari nama depan pengguna, inisial tengah, dan nama belakang. |
| Penataan | string | Hasil/resolusi peristiwa, seperti apakah peristiwa diselesaikan atau apakah ada tindakan yang diambil sebagai respons terhadap peristiwa tersebut. |
| DomainBehaviorVersion | string | Atribut domain msDS-Behavior-Version dimodifikasi. Nilai numerik. |
| DomainName | string | Nama domain tepercaya yang dihapus. |
| Kebijakan Domain Diubah | string | Menunjukkan apakah ada kebijakan domain yang telah diubah sebagai bagian dari peristiwa (kebijakan kata sandi, kebijakan keamanan, dll). |
| DomainSid | string | SID mitra kepercayaan. Parameter ini mungkin tidak diambil dalam peristiwa, dan dalam hal ini muncul sebagai 'NULL SID'. |
| Tipe EAP | string | Jenis Extensible Authentication Protocol (EAP) yang dipakai untuk proses autentikasi kegiatan. |
| Token Tingkat Tinggi | string | Bendera 'Ya' atau 'Tidak'. Jika 'Ya', maka sesi yang diwakili acara ini ditinggikan dan memiliki hak istimewa administrator. |
| Kode Kesalahan | int (integer) | Berisi kode kesalahan untuk kejadian kegagalan. Untuk peristiwa Keberhasilan, parameter ini memiliki nilai '0x0'. |
| EventData | string | Data khusus peristiwa yang terkait dengan peristiwa. |
| ID Peristiwa | int (integer) | Pengidentifikasi yang digunakan penyedia untuk mengidentifikasi peristiwa. |
| NamaTingkatAcara | string | String pesan yang dirender dari tingkat yang ditentukan dalam peristiwa. |
| EventRecordId | string | Nomor rekaman yang ditetapkan ke peristiwa saat dicatat. |
| NamaSumberAcara | string | Nama perangkat lunak yang mencatat peristiwa (aplikasi atau subkomponen). |
| StatusKarantinaDiperpanjang | string | Status proses karantina jaringan, jika berlaku. Karantina jaringan adalah proses di mana perangkat yang tidak sah dicegah mengakses jaringan hingga memenuhi persyaratan keamanan tertentu atau telah diperiksa malwarenya. |
| Alasan Kegagalan | string | penjelasan tekstual tentang nilai bidang Status. Untuk kejadian ini, biasanya memiliki nilai 'Akun dikunci'. |
| FileHash | string | Nilai hash untuk file apa pun yang diakses atau dimodifikasi sebagai bagian dari peristiwa, atau file apa pun yang digunakan dalam proses autentikasi atau otorisasi. |
| FilePath | string | Jalur lengkap dan nama file file kunci tempat operasi dilakukan. |
| JalurFileTanpaPengguna | string | Jalur dari file apa pun yang terkait dengan kejadian, tanpa menyertakan nama pengguna atau informasi spesifik pengguna lainnya. |
| Saringan | string | Filter yang digunakan dalam peristiwa yang sedang berlangsung. |
| ForceLogoff | string | '\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan\Keamanan jaringan: Paksa log keluar saat jam masuk penggunaan berakhir' Kebijakan Grup. |
| Fqbn | string | Nama biner berkualifikasi penuh (FQBN) untuk file apa pun yang terkait dengan peristiwa tersebut. |
| Nama Mesin Subjek Berkualifikasi Penuh | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) komputer yang memulai peristiwa. |
| NamaPenggunaSubjekSepenuhnyaKualifikasi | string | Nama pengguna atau layanan yang memulai peristiwa dalam format FQDN. |
| Keanggotaan Grup | string | Daftar SID grup yang masuk akun milik (anggota). Pemantau Peristiwa secara otomatis mencoba mengatasi SID dan menampilkan nama akun. Jika SID tidak dapat diselesaikan, Anda akan melihat data sumber dalam peristiwa tersebut. |
| HandleId | string | Nilai heksadesimal dari pegangan ke sebuah Nama Objek. Bidang ini dapat digunakan untuk korelasi dengan peristiwa lain. |
| HardwareIds | string | Atribut ID Perangkat Keras dari perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail': |
| Direktori Rumah | string | Direktori beranda pengguna. Jika atribut homeDrive diatur dan menentukan huruf drive, homeDirectory harus berupa jalur UNC. Jalur harus berupa UNC jaringan dalam bentuk \Server\Share\Directory. |
| HomePath | string | Jalur beranda pengguna. Jalur harus berupa UNC jaringan dalam bentuk \Server\Share\Directory. |
| InterfaceUuid | string | Pengidentifikasi unik (UUID) untuk antarmuka jaringan yang digunakan untuk peristiwa tersebut. |
| Alamat IP | string | alamat jaringan (biasanya IPv4 atau IPv6) yang terkait dengan peristiwa. |
| IpPort | string | Nomor port jaringan yang terkait dengan peristiwa. |
| _DapatDibayar | string | Menentukan apakah menyerap data dapat ditagih. Ketika _IsBillable adalah false, penyerapan tidak ditagihkan ke akun Azure Anda |
| Panjang Kunci | int (integer) | Panjangnya kunci Keamanan Sesi NTLM. Biasanya memiliki panjang 128 bit atau 56 bit. |
| Kata Kunci | string | Bitmask kata kunci yang sudah ditentukan dalam acara. |
| Tingkat | string | Windows mengategorikan setiap peristiwa dengan tingkat keparahan. Tingkat keparahannya adalah informasi, verbose, peringatan, kesalahan, dan kritis yang dinyatakan dalam angka. |
| LmPackageName | string | Nama paket atau komponen perangkat lunak yang saat ini menggunakan Otoritas Keamanan Lokal (LSA) pada komputer tempat peristiwa dihasilkan. |
| Informasi Lokasi | string | Atribut 'Informasi lokasi' perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail': |
| LockoutDuration | string | Kebijakan grup '\Pengaturan Keamanan\Kebijakan Akun\Kebijakan Penguncian Akun\Durasi Penguncian Akun'. Nilai numerik. |
| JendelaPengamatanPenguncian | string | '\Pengaturan Keamanan\Kebijakan Akun\Kebijakan Penguncian Akun\Reset penghitung penguncian akun setelah kebijakan grup. Nilai numerik. |
| Ambang Keamanan | string | Kebijakan grup '\Pengaturan Keamanan\Kebijakan Akun\Kebijakan Pemblokiran Akun\Ambang Batas Pemblokiran Akun'. Nilai numerik. |
| Hasil Logging | string | Hasil dari proses masuk. |
| Panduan Masuk | string | GUID yang dapat membantu Anda menghubungkan peristiwa ini dengan peristiwa lain yang dapat berisi GUID Masuk yang sama. |
| JamMasuk | string | Jam yang diizinkan akun untuk masuk ke domain. |
| LogonID | string | Nilai heksadesimal yang dapat membantu Anda menghubungkan peristiwa ini dengan peristiwa terbaru yang mungkin berisi ID Masuk yang sama. |
| LogonProcessName | string | Nama proses masuk terdaftar. |
| Jenis Logon | int (integer) | Jenis log masuk yang dilakukan. |
| LogonTypeName | string | Jenis peristiwa masuk atau autentikasi yang ditangkap oleh log peristiwa (nilai umum:Interaktif, Jaringan, RemoteInteractive, Buka Kunci). |
| MachineAccountQuota | string | Atribut domain ms-DS-MachineAccountQuota dimodifikasi. Nilai numerik. |
| Inventaris Mesin | string | Informasi tentang konfigurasi perangkat keras dan lingkungan perangkat lunak komputer tempat peristiwa dibuat. Ini dapat mencakup titik data yang berbeda, misalnya: pembuatan dan model komputer, jumlah RAM atau ruang penyimpanan yang tersedia, nomor versi berbagai aplikasi perangkat lunak, dll). |
| MachineLogon | string | Informasi tentang peristiwa masuk yang berhasil di komputer. |
| NamaKelompokManajemen | string | Informasi tambahan berdasarkan jenis sumber daya. |
| Label Wajib | string | ID identifikasi dari label integritas yang diberikan kepada proses baru. |
| MaxPasswordAge | string | Periode waktu (dalam hari) kata sandi dapat digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya. |
| Nama Anggota | string | Akun pengguna yang terlibat dalam peristiwa tersebut. |
| MemberSid | string | Pengidentifikasi keamanan (SID) yang terkait dengan akun pengguna yang terlibat dalam peristiwa tersebut. |
| MinPasswordAge | string | Periode waktu (dalam hari) kata sandi harus digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya. |
| MinPasswordLength | string | Jumlah karakter paling sedikit yang dapat membentuk kata sandi untuk akun pengguna. |
| ModeDomainCampuran | string | Mode domain dari sistem atau pengontrol domain. |
| NASIdentifier | string | Pengidentifikasi server akses jaringan (NAS) yang terlibat dalam peristiwa tersebut. |
| Alamat NASIPv4 | string | IPv4Address dari server akses jaringan (NAS) yang terlibat dalam peristiwa tersebut, jika berlaku. |
| NASIPv6Address | string | IPv6Address dari server akses jaringan (NAS) yang terlibat dalam peristiwa tersebut, jika berlaku. |
| NASPort | string | port pada server akses jaringan yang digunakan dalam peristiwa tersebut. |
| NASPortType | string | jenis server akses jaringan (NAS) yang digunakan dalam peristiwa tersebut. |
| NamaKebijakanJaringan | string | Nama kebijakan jaringan yang terkait dengan peristiwa tersebut. |
| TanggalBaru | string | Tanggal baru di zona waktu UTC. Formatnya adalah YYYY-MM-DD. |
| NewMaxUsers | string | Jumlah maksimum pengguna baru yang diizinkan untuk sumber daya dalam peristiwa tersebut. |
| NewProcessId | string | ID Heksadesimal dari Proses Baru. ID Proses (PID) adalah angka yang digunakan oleh sistem operasi untuk mengidentifikasi proses aktif secara unik. |
| NewProcessName | string | Jalur lengkap dan nama file yang dapat dijalankan untuk proses baru. |
| Tandai Baru | string | Nilai baru bidang 'Komentar:' berbagi jaringan. Memiliki nilai 'N/A' jika tidak diatur. |
| NewShareFlags | string | Bendera berbagi yang terkait dengan sumber daya dalam peristiwa tersebut, misalnya: informasi tentang apakah sumber daya bersifat baca-saja atau baca/tulis, apakah itu tersembunyi, dan parameter lain yang dapat memengaruhi akses dan izin. |
| NewTime | string | Waktu baru yang diatur dalam zona waktu UTC. Formatnya adalah YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Menentukan bendera yang mengontrol kata sandi, penguncian, nonaktifkan/aktifkan, skrip, dan perilaku lain untuk akun pengguna. |
| NilaiBaru | string | Nilai baru untuk nilai kunci registri yang diubah. |
| NewValueType | string | Jenis baru nilai kunci registri yang diubah. |
| NamaObjek | string | Nama dan informasi identifikasi lainnya untuk objek tempat akses diminta. Misalnya, untuk file, jalurnya akan disertakan. |
| ObjectServer | string | Berisi nama subsistem Windows yang memanggil rutinitas. |
| JenisObjek | string | Jenis objek yang diakses selama operasi. |
| ObjectValueName | string | Nama nilai kunci registri yang dimodifikasi. |
| OemInformation | string | Produsen peralatan asli (OEM) yang terkait dengan perangkat atau sistem dalam peristiwa tersebut. |
| OldMaxUsers | string | Jumlah maksimum pengguna sebelumnya yang diizinkan untuk sumber daya dalam peristiwa tersebut. |
| Catatan Lama | string | nilai lama bidang 'Komentar:' berbagi jaringan. Memiliki nilai 'N/A' jika tidak diatur. |
| OldShareFlags | string | Pengaturan berbagi sebelumnya yang terkait dengan sumber daya dalam kejadian, misalnya: informasi tentang apakah sumber daya bersifat baca-saja atau baca/tulis, apakah itu tersembunyi, dan parameter lain yang dapat memengaruhi akses dan izin. |
| OldUacValue | string | Menentukan bendera yang mengontrol kata sandi, penguncian, nonaktifkan/aktifkan, skrip, dan perilaku lain untuk akun pengguna. Parameter ini berisi nilai sebelumnya dari atribut userAccountControl objek pengguna. |
| NilaiLama | string | Nilai lama untuk nilai kunci registri yang diubah. |
| JenisNilaiLama | string | Jenis lama dari nilai kunci registri yang diubah. |
| Opcode | string | Elemen opcode didefinisikan oleh tipe kompleks SystemPropertiesType. |
| Tipe Operasi | string | Jenis operasi yang dilakukan pada objek |
| Nama Paket | string | Nama sub-paket Lan Manager (nama protokol NTLM-family) yang digunakan selama masuk. |
| NamaProsesInduk | string | Nama proses induk yang terkait dengan peristiwa. |
| PanjangRiwayatKataSandi | string | \Pengaturan Keamanan\Kebijakan Akun\Kebijakan Kata Sandi\Menerapkan riwayat kata sandi" kebijakan grup. Nilai numerik. |
| Kata Sandi Terakhir Disetel | string | Terakhir kali kata sandi akun diubah. |
| PasswordProperties | string | Kebijakan kata sandi atau properti yang terkait dengan peristiwa, misalnya: panjang kata sandi, kompleksitas, dan tanggal kedaluwarsa. |
| TanggalSebelumnya | string | Tanggal sebelumnya yang terkait dengan peristiwa. |
| Waktu Sebelumnya | string | Waktu sebelumnya di zona waktu UTC. Formatnya adalah YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| GrupUtamaID | string | Pengidentifikasi Relatif (RID) grup utama objek pengguna. |
| JumlahPenggunaanKunciPribadi | string | Berapa kali kunci privat telah digunakan. |
| Daftar Hak Istimewa | string | Hak istimewa, termasuk hak istimewa pengguna, grup, atau sistem yang terkait dengan peristiwa tersebut. |
| Proses | string | Nama proses yang menghasilkan peristiwa. |
| ProcessId | string | Mengidentifikasi proses yang menghasilkan peristiwa. |
| ProcessName | string | Jalur lengkap dan nama file eksekusi untuk proses tersebut. |
| ProfilePath | string | Menentukan jalur ke profil akun. Nilai ini dapat berupa string null, jalur absolut lokal, atau jalur UNC. |
| Properti | string | Tergantung pada Jenis Objek. Bidang ini bisa kosong atau berisi daftar properti objek yang diakses. |
| ProtocolSequence | string | Informasi tentang protokol yang digunakan untuk upaya autentikasi. |
| ProxyPolicyName | string | Nama kebijakan yang digunakan untuk mengonfigurasi server proksi untuk menyambungkan ke jaringan. |
| KarantinaHelpURL | string | URL yang menyediakan bantuan untuk memecahkan masalah karantina jaringan. |
| QuarantineSessionID | string | Pengidentifikasi sesi di mana file dievaluasi untuk karantina. |
| QuarantineSessionIdentifier | string | Pengidentifikasi sesi di mana file dievaluasi untuk karantina. |
| StatusKarantina | string | Ini menunjukkan apakah file dikarantina. |
| HasilKesehatanSistemKarantina | string | Laporan yang menunjukkan status file yang telah dikarantina. |
| RelativeTargetName | string | Nama relatif file atau folder target yang diakses. Jalur file ini relatif terhadap berbagi jaringan. Jika akses diminta untuk berbagi itu sendiri, maka bidang ini muncul sebagai "". |
| Alamat IP Jarak Jauh | string | Alamat IP komputer yang memulai koneksi jarak jauh. |
| Port Jauh | string | Nomor port komputer jarak jauh yang memulai sambungan. |
| Pemohon | string | Identifikasi pemohon acara. |
| RequestId | string | Pengidentifikasi unik yang terkait dengan permintaan tertentu, seperti yang dibuat melalui HTTP. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| ModeAdminTerbatas | string | Hanya diisi untuk sesi jenis masuk RemoteInteractive. Ini adalah bendera Ya/Tidak yang menunjukkan apakah kredensial yang disediakan diteruskan menggunakan mode Admin Terbatas. Mode Admin Terbatas ditambahkan di Win8.1/2012R2 tetapi bendera ini ditambahkan ke acara di Win10. |
| Baris Dihapus | string | Jumlah baris yang dihapus sebagai bagian dari operasi tertentu. |
| SamAccountName | string | nama masuk untuk akun yang digunakan untuk mendukung klien dan server dari versi Windows sebelumnya (nama masuk pra-Windows 2000). |
| ScriptPath | string | Menentukan jalur skrip masuk akun. |
| Deskriptor Keamanan | string | Informasi tentang pengaturan keamanan dan izin objek atau sumber daya tertentu. |
| ServiceAccount | string | Konteks keamanan yang akan dijalankan layanan seperti saat dimulai. |
| ServiceFileName | string | Menunjukkan jenis layanan yang terdaftar di Service Control Manager. |
| Nama Layanan | string | Nama layanan yang diinstal. |
| JenisMulaiLayanan | int (integer) | Berisi informasi tentang bagaimana layanan tertentu harus dimulai, apakah layanan tersebut harus dimulai secara otomatis atau manual. |
| JenisLayanan | string | Menunjukkan jenis layanan yang terdaftar di Service Control Manager. |
| SessionName | string | Nama sesi tempat pengguna disambungkan kembali. |
| BagikanJalurLokal | string | Lokasi lokal dari bagian jaringan yang diakses. |
| ShareName | string | Nama share jaringan yang diakses. Formatnya adalah: \*\SHARE_NAME. |
| SidHistory | string | Berisi SID sebelumnya yang digunakan untuk objek jika objek dipindahkan dari domain lain. |
| ID Komputer Sumber | string | Pengidentifikasi unik yang ditetapkan ke setiap komputer dalam domain Windows. |
| SourceSystem | string | Jenis agen yang mengumpulkan peristiwa tersebut. Misalnya, OpsManager untuk agen Windows, baik direct connect atau Operations Manager, Linux untuk semua agen Linux, atau Azure untuk Azure Diagnostics |
| Kedudukan | string | Alasan mengapa log masuk gagal. Untuk peristiwa ini, biasanya memiliki nilai '0xC0000234'. Kode status yang paling umum tercantum dalam Tabel 12. Kode status masuk Windows. |
| Akun Penyimpanan | string | Mengatur kunci akses akun penyimpanan. |
| SubkategoriGuid | string | GUID unik subkategori yang diubah. |
| SubkataanId | string | Pengidentifikasi unik untuk jenis peristiwa tertentu. |
| Subjek | string | Informasi tentang prinsip keamanan (misalnya: akun pengguna) yang memulai peristiwa. |
| Akun Subjek | string | Informasi tentang akun yang memulai peristiwa. |
| NamaDomainSubjek | string | Informasi tentang domain atau grup kerja tempat akun subjek berada. |
| Pengidentifikasi Kunci Subjek | string | Pengidentifikasi unik untuk subjek sertifikat tertentu. |
| SubjectLogonId | string | Pengidentifikasi unik untuk sesi masuk yang terkait dengan akun subjek. |
| SubjectMachineName | string | Informasi tentang mesin atau sistem tempat peristiwa dibuat. |
| MesinSubjekSID | string | Pengidentifikasi keamanan (SID) untuk komputer yang menghasilkan peristiwa. |
| NamaPenggunaSubjek | string | Nama akun pengguna yang menghasilkan peristiwa. |
| SubjectUserSid | string | Pengidentifikasi keamanan (SID) untuk akun pengguna yang menghasilkan peristiwa. |
| _LanggananID | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| SubStatus | string | Informasi tambahan tentang kegagalan masuk. Kode substatus yang paling umum tercantum dalam 'Tabel 12. Kode status log masuk Windows. |
| SystemProcessId | int (integer) | Mengidentifikasi proses yang menghasilkan peristiwa. |
| SystemThreadId | int (integer) | Mengidentifikasi utas yang menghasilkan peristiwa. |
| SystemUserId | string | ID pengguna yang bertanggung jawab atas peristiwa tersebut. |
| ID Tabel | string | Pengidentifikasi tabel data spesifik tempat data peristiwa disimpan. |
| TargetAccount | string | Akun yang ditargetkan oleh peristiwa (nama pengguna, nama komputer, dll). |
| TargetDomainName | string | Nama domain tempat akun target berada. |
| TargetInfo | string | Informasi tambahan tentang target peristiwa (misalnya: jalur ke file atau folder, nama kunci registri, dll). |
| TargetLinkedLogonId | string | Informasi yang membantu menautkan peristiwa terkait berdasarkan ID upaya masuk mereka. Ini dapat berguna dalam menjaga semua peristiwa yang relevan terorganisir, melacak aktivitas di beberapa sesi, dan mengidentifikasi sumber serangan. |
| TargetLogonGuid | string | Pengidentifikasi unik global (GUID) yang terkait dengan sesi masuk yang terkait dengan peristiwa tersebut. |
| TargetLogonId | string | Pengidentifikasi unik yang terkait dengan sesi masuk dan peristiwa tersebut. |
| TargetOutboundDomainName | string | Domain yang ditentukan akun di bidang TargetAccount diautentikasi selama upaya autentikasi keluar. |
| NamaPenggunaTargetOutbound | string | Nama akun pengguna yang diautentikasi selama upaya autentikasi keluar. |
| Nama Server Sasaran | string | Nama server tempat proses baru dijalankan. Memiliki nilai "localhost" jika proses dijalankan secara lokal. |
| TargetSid | string | Pengidentifikasi keamanan (SID) server tempat proses baru dijalankan. |
| TargetUser | string | Pengidentifikasi akun pengguna yang menghasilkan proses baru. |
| TargetUserName | string | Nama akun pengguna yang menghasilkan proses baru. |
| TargetUserSid | string | Pengidentifikasi keamanan (SID) yang terkait dengan pengguna atau sumber daya yang terlibat dalam peristiwa tersebut. |
| Tugas | int (integer) | Tugas yang ditentukan dalam acara. |
| TemplateContent | string | Konten pesan peristiwa atau pemberitahuan dalam formulir terstruktur. |
| TemplatedsObjectFQDN | string | FQDN objek DS yang mewakili templat GPO. |
| TemplateInternalName | string | Nama internal templat GPO. |
| TemplateOID | string | pengidentifikasi unik untuk templat yang digunakan untuk membuat peristiwa. |
| TemplateSchemaVersion | string | Versi skema templat yang menentukan data yang akan disertakan dengan peristiwa. |
| TemplateVersion | string | Versi templat yang menentukan data yang akan disertakan dengan peristiwa. |
| ID Penyewa | string | ID ruang kerja Log Analitik |
| TimeGenerated | tanggalwaktu | Penanda waktu ketika kejadian dihasilkan dalam komputer. |
| JenisElevasiToken | string | Jenis token yang diberikan kepada proses baru sesuai dengan Kebijakan Kontrol Akun Pengguna. |
| Layanan yang Ditransmisikan | string | Daftar layanan yang ditransmisikan. Layanan yang diteruskan diisi jika log masuk adalah hasil dari proses log masuk S4U (Layanan Untuk Pengguna). S4U adalah ekstensi Microsoft ke Protokol Kerberos untuk memungkinkan layanan aplikasi mendapatkan tiket layanan Kerberos atas nama pengguna - paling umum dilakukan oleh situs web front-end untuk mengakses sumber daya internal atas nama pengguna. Untuk informasi selengkapnya tentang S4U, lihat https://msdn.microsoft.com/library/cc246072.aspx. |
| Tipe | string | Nama tabel |
| KontrolAkunPengguna | string | Menampilkan daftar perubahan dalam atribut userAccountControl. Anda akan melihat baris teks untuk setiap perubahan. |
| ParameterPengguna | string | Jika Anda mengubah pengaturan apa pun menggunakan konsol manajemen Active Directory Users and Computers di tab Dial-in pada properti akun pengguna, maka Anda akan melihat <nilai berubah, tetapi tidak ditampilkan> di bidang ini. Untuk akun lokal, bidang ini tidak berlaku dan selalu memiliki <nilai yang tidak ditetapkan> nilainya. |
| NamaUtamaPengguna | string | Nama masuk bergaya internet untuk akun tersebut, berdasarkan standar Internet RFC 822. Sebagai aturan, seharusnya sesuai dengan nama email dari akun. |
| Stasiun Kerja Pengguna | string | Berisi daftar nama NetBIOS atau DNS komputer tempat pengguna dapat masuk. Setiap nama komputer dipisahkan oleh koma. Nama komputer adalah properti sAMAccountName dari objek komputer. |
| VendorIds | string | Atribut ID Perangkat Keras dari perangkat. Untuk melihat properti perangkat, mulai Manajer Perangkat, buka properti perangkat tertentu, dan klik 'Detail'. |
| Versi | int (integer) | Berisi nomor versi definisi peristiwa. |
| VirtualAccount | string | Bendera 'Ya' atau 'Tidak', yang menunjukkan apakah akun tersebut adalah akun virtual (misalnya, 'Akun Layanan Terkelola'), yang diperkenalkan di Windows 7 dan Windows Server 2008 R2 untuk memberikan kemampuan untuk mengidentifikasi akun yang digunakan Layanan tertentu, alih-alih hanya menggunakan 'NetworkService'. |
| Stasiun kerja | string | Nama komputer yang digunakan untuk melakukan peristiwa. |
| Nama Stasiun Kerja | string | Nama mesin tempat upaya masuk dilakukan. |