SecurityEvent
Eventi di sicurezza raccolti dai computer Windows da Centro sicurezza di Azure o Azure Sentinel.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorie | Sicurezza |
| Soluzioni | Sicurezza, SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Accessmask | string | Maschera esadecimale per l'operazione richiesta o eseguita. |
| Account | string | Contesto di sicurezza per servizi o utenti. |
| AccountDomain | string | Dominio o nome computer dell'oggetto. |
| AccountExpires | string | Data di scadenza dell'account. |
| AccountName | string | Nome dell'account che ha richiesto l'operazione di rimozione dell'attendibilità del dominio. |
| AccountSessionIdentifier | string | Identificatore univoco generato dal computer al momento della creazione della sessione. |
| AccountType | string | Identifica se l'account è un account computer (computer) o un utente. |
| Attività | string | Titolo descrittivo dell'evento. |
| AdditionalInfo | string | Informazioni aggiuntive fornite dall'origine, che non sono mappate ad altri campi, rappresentate dall'elenco. |
| AdditionalInfo2 | string | Informazioni aggiuntive fornite dall'origine, che non sono mappate ad altri campi, rappresentate dall'elenco. |
| AllowedToDelegateTo | string | Elenco di nomi SPN a cui questo account può presentare credenziali delegate. |
| Attributi | string | Informazioni aggiuntive sull'evento. |
| AuditPolicyChanges | string | Eventi generati quando vengono apportate modifiche ai criteri di controllo del sistema o alle impostazioni di controllo in un file o in una chiave del Registro di sistema. |
| AuditsDiscarded | INT | Numero di messaggi di controllo eliminati. |
| AuthenticationLevel | INT | Numero di messaggi di controllo eliminati. |
| AuthenticationPackageName | string | nome del pacchetto di autenticazione caricato. Il formato è: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | Identità del provider responsabile del processo di autenticazione (può includere un'autorità di certificazione, un nome utente, un sistema di autenticazione della password e così via). |
| AuthenticationServer | string | Server in cui si trova il provider di autenticazione. |
| Authenticationservice | INT | Servizio in cui si trova il provider di autenticazione. |
| AuthenticationType | string | tipo di autenticazione usato per l'evento (autenticazione a due fattori, autenticazione biometrica e così via). |
| AzureDeploymentID | string | ID distribuzione di Azure del servizio cloud a cui appartiene il log |
| _BilledSize | real | Dimensioni del record in byte |
| CACertificateHash | string | Valore hash del certificato dell'autorità di certificazione (CA) usato per autenticare l'utente che ha eseguito l'evento. |
| CalledStationID | string | Informazioni sull'ID della stazione che ha avviato l'azione che ha portato all'evento di sicurezza. |
| CallerProcessId | string | ID processo esadecimale del processo che ha tentato l'accesso. ID processo (PID) è un numero usato dal sistema operativo per identificare in modo univoco un processo attivo. |
| CallerProcessName | string | Percorso completo e nome dell'eseguibile per il processo. |
| CallingStationID | string | Informazioni sull'ID della stazione che ha avviato l'azione che ha portato all'evento di sicurezza. |
| CAPublicKeyHash | string | Valore hash che identifica la chiave pubblica di un'autorità di certificazione (CA) che ha rilasciato un certificato. |
| CategoryId | string | Categoria dell'evento di sicurezza che si è verificato (tentativo di accesso, violazione dei dati e così via). |
| CertificateDatabaseHash | string | Valore hash che identifica il database che ha rilasciato un certificato. |
| Canale | string | Canale a cui è stato registrato l'evento. |
| Classid | string | Attributo 'Class Guid' del dispositivo. |
| ClassName | string | Attributo 'Class' del dispositivo. |
| ClientAddress | string | Indirizzo IP del computer da cui è stata ricevuta la richiesta TGT. |
| ClientIPAddress | string | Indirizzo IP del computer che ha avviato l'azione che ha portato all'evento. |
| ClientName | string | nome computer da cui l'utente è stato riconnesso. Valore "Sconosciuto" per la sessione della console. |
| CommandLine | string | Gli argomenti della riga di comando passati a un'applicazione o a un processo coinvolti nell'evento. |
| CompatibleIds | string | Attributo "Ids compatibile" del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli": |
| Computer | string | nome del computer in cui si è verificato l'evento. |
| DCDNSName | string | Nome DNS del controller di dominio coinvolto nell'evento. |
| DeviceDescription | string | descrizione del dispositivo coinvolto nell'evento. |
| DeviceId | string | Identificatore univoco del dispositivo coinvolto nell'evento. |
| DisplayName | string | Si tratta di un nome, visualizzato nella rubrica per un determinato account. Questa è in genere la combinazione del nome, dell'inizialità centrale e del cognome dell'utente. |
| Disposition | string | Il risultato dell'evento o la risoluzione, ad esempio se l'evento è stato risolto o se è stata eseguita un'azione in risposta all'evento. |
| DomainBehaviorVersion | string | l'attributo di dominio msDS-Behavior-Version è stato modificato. Valore numerico. |
| DomainName | string | Nome del dominio attendibile rimosso. |
| DomainPolicyChanged | string | Indica se tutti i criteri di dominio sono stati modificati come parte dell'evento (criteri di password, criteri di sicurezza e così via). |
| DomainSid | string | SID del partner attendibile. Questo parametro potrebbe non essere acquisito nell'evento e in questo caso viene visualizzato come "SID NULL". |
| EAPType | string | Tipo di Extensible Authentication Protocol (EAP) usato per il processo di autenticazione degli eventi. |
| ElevatedToken | string | Flag "Sì" o "No". Se "Sì", la sessione rappresentata dall'evento è elevata e dispone dei privilegi di amministratore. |
| ErrorCode | INT | Contiene il codice di errore per gli eventi di errore. Per gli eventi Success questo parametro ha valore '0x0'. |
| EventData | string | Dati specifici dell'evento associati all'evento. |
| EventID | INT | Identificatore utilizzato dal provider per identificare l'evento. |
| EventSourceName | string | Nome del software che registra l'evento (applicazionere un succomponent). |
| ExtendedQuarantineState | string | Stato del processo di quarantena di rete, se applicabile. La quarantena di rete è un processo in base al quale ai dispositivi non autorizzati viene impedito l'accesso a una rete fino a quando non soddisfano determinati requisiti di sicurezza o non sono stati verificati malware. |
| FailureReason | string | spiegazione testuale del valore del campo Stato. Per questo evento, in genere ha il valore "Account bloccato". |
| FileHash | string | Valore hash per tutti i file a cui è stato eseguito l'accesso o la modifica come parte dell'evento o qualsiasi file usato nel processo di autenticazione o autorizzazione. |
| FilePath | string | Percorso completo e nome file del file di chiave in cui è stata eseguita l'operazione. |
| FilePathNoUser | string | Percorso di tutti i file correlati all'evento, escluso il nome utente o altre informazioni specifiche dell'utente. |
| Filtra | string | Filtri utilizzati nell'evento eseguito. |
| ForceLogoff | string | '\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza di rete: forzare la disconnessione alla scadenza dell'orario di accesso' criteri di gruppo. |
| Fqbn | string | Nome binario completo (FQBN) per tutti i file correlati all'evento. |
| FullyQualifiedSubjectMachineName | string | Nome di dominio completo (FQDN) del computer che ha avviato l'evento. |
| FullyQualifiedSubjectUserName | string | Nome utente dell'utente o del servizio che ha avviato l'evento in formato FQDN. |
| GroupMembership | string | Elenco di SID di gruppo a cui appartiene l'account registrato (membro di). Visualizzatore eventi tenta automaticamente di risolvere i SID e visualizzare il nome dell'account. Se il SID non può essere risolto, i dati di origine verranno visualizzati nell'evento . |
| HandleId | string | Valore esadecimale di un handle in Nome oggetto. Questo campo può essere usato per la correlazione con altri eventi. |
| HardwareIds | string | Attributo "Ids hardware" del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli": |
| HomeDirectory | string | Home directory dell'utente. Se l'attributo homeDrive è impostato e specifica una lettera di unità, homeDirectory deve essere un percorso UNC. Il percorso deve essere un UNC di rete nel formato \Server\Share\Directory. |
| Homepath | string | Percorso home dell'utente. Il percorso deve essere un UNC di rete nel formato \Server\Share\Directory. |
| InterfaceUuid | string | Identificatore univoco (UUID) per l'interfaccia di rete usata per l'evento. |
| IpAddress | string | l'indirizzo di rete (in genere IPv4 o IPv6) associato all'evento. |
| IpPort | string | Numero di porta di rete associato all'evento. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| KeyLength | INT | Lunghezza della chiave di sicurezza della sessione NTLM. In genere ha una lunghezza di 128 bit o 56 bit. |
| Level | string | Windows classifica ogni evento con un livello di gravità. I livelli in ordine di gravità sono informazioni, verbose, avviso, errore e critico espressi in numeri. |
| LmPackageName | string | Nome del pacchetto o del componente software attualmente utilizzato dall'Autorità di sicurezza locale (LSA) nel computer in cui viene generato l'evento. |
| LocationInformation | string | Attributo 'Informazioni sulla posizione' del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli": |
| LockoutDuration | string | Criteri di gruppo "\Impostazioni di sicurezza\Criteri account\Criteri di blocco account\Durata blocco account". Valore numerico. |
| LockoutObservationWindow | string | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' group policy.\Security Settings\Account Lockout Policy\Reset account lockout counter after' group policy.\Security Settings\Account Lockout Policy\Reset account lockout counter after' group policy. Valore numerico. |
| LockoutThreshold | string | Criteri di gruppo '\Impostazioni di sicurezza\Criteri account\Criteri di blocco account\Soglia blocco account'. Valore numerico. |
| LoggingResult | string | Risultato del processo di accesso. |
| LogonGuid | string | GUID che consente di correlare questo evento con un altro evento che può contenere lo stesso GUID di accesso. |
| LogonHours | string | Ore consentite per l'accesso al dominio da parte dell'account. |
| LOGONID | string | Valore esadecimale che consente di correlare questo evento con gli eventi recenti che potrebbero contenere lo stesso ID di accesso. |
| LogonProcessName | string | Nome del processo di accesso registrato. |
| LogonType | INT | Tipo di accesso eseguito. |
| LogonTypeName | string | Tipo di evento di accesso o di autenticazione acquisito dal registro eventi (valori comuni: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | Attributo di dominio ms-DS-MachineAccountQuota modificato. Valore numerico. |
| MachineInventory | string | Informazioni sulla configurazione hardware e sull'ambiente software del computer in cui viene generato l'evento. Può includere punti dati diversi, ad esempio il make e il modello del computer, la quantità di RAM o spazio di archiviazione disponibile, i numeri di versione di varie applicazioni software e così via. |
| MachineLogon | string | Informazioni su un evento di accesso riuscito nel computer. |
| ManagementGroupName | string | Informazioni aggiuntive basate sul tipo di risorsa. |
| MandatoryLabel | string | ID dell'etichetta di integrità assegnata al nuovo processo. |
| MaxPasswordAge | string | Periodo di tempo (in giorni) che è possibile usare una password prima che il sistema richieda all'utente di modificarla. |
| MemberName | string | Account utente coinvolto nell'evento. |
| MemberSid | string | Identificatore di sicurezza (SID) associato all'account utente coinvolto nell'evento. |
| MinPasswordAge | string | Periodo di tempo (in giorni) che deve essere usata una password prima che il sistema richieda all'utente di modificarla. |
| MinPasswordLength | string | Numero minimo di caratteri che possono creare una password per un account utente. |
| MixedDomainMode | string | Modalità di dominio di un controller di sistema o di dominio. |
| NASIdentifier | string | Identificatore del server di accesso alla rete (NAS) coinvolto nell'evento. |
| NASIPv4Address | string | Indirizzo IPv4Ad del server di accesso alla rete (NAS) coinvolto nell'evento, se applicabile. |
| NASIPv6Address | string | Indirizzo IPv6Address del server di accesso alla rete (NAS) coinvolto nell'evento, se applicabile. |
| NASPort | string | porta nel server di accesso alla rete utilizzato nell'evento . |
| NASPortType | string | il tipo di server di accesso alla rete (NAS) usato nell'evento. |
| NetworkPolicyName | string | Nome dei criteri di rete associati all'evento. |
| NewDate | string | Nuova data nel fuso orario UTC. Il formato è AAAA-MM-GG. |
| NewMaxUsers | string | Nuovo numero massimo di utenti consentiti per una risorsa nell'evento. |
| NewProcessId | string | ID processo esadecimale del nuovo processo. L'ID processo (PID) è un numero usato dal sistema operativo per identificare in modo univoco un processo attivo. |
| NewProcessName | string | Percorso completo e nome dell'eseguibile per il nuovo processo. |
| NewRemark | string | Nuovo valore del campo "Comments:" della condivisione di rete. Ha il valore 'N/A' se non è impostato. |
| NewShareFlags | string | Flag di condivisione associati a una risorsa nell'evento, ad esempio: informazioni su se la risorsa è di sola lettura o di sola lettura/scrittura, se nascosta e altri parametri che possono influire sull'accesso e sulle autorizzazioni. |
| NewTime | string | Nuova ora impostata nel fuso orario UTC. Il formato è AAAA-MM-GGThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Specifica i flag che controllano password, blocco, disabilitazione/abilitazione, script e altro comportamento per l'account utente. |
| Newvalue | string | Nuovo valore per il valore della chiave del Registro di sistema modificato. |
| NewValueType | string | Nuovo tipo di valore della chiave del Registro di sistema modificato. |
| ObjectName | string | Nome e altre informazioni di identificazione per l'oggetto per cui è stato richiesto l'accesso. Ad esempio, per un file, il percorso verrebbe incluso. |
| ObjectServer | string | Contiene il nome del sottosistema Windows che chiama la routine. |
| ObjectType | string | Tipo di oggetto a cui è stato eseguito l'accesso durante l'operazione. |
| ObjectValueName | string | Nome del valore della chiave del Registro di sistema modificato. |
| OemInformation | string | L'OEM (Original Equipment Manufacturer) associato a un dispositivo o a un sistema nell'evento. |
| OldMaxUsers | string | Numero massimo di utenti precedente consentito per una risorsa nell'evento. |
| OldRemark | string | il valore precedente del campo "Comments:" della condivisione di rete. Ha il valore 'N/A' se non è impostato. |
| OldShareFlags | string | I flag di condivisione precedenti associati a una risorsa nell'evento, ad esempio: informazioni su se la risorsa è di sola lettura o di sola lettura/scrittura, se nascosta e altri parametri che possono influire sull'accesso e sulle autorizzazioni. |
| OldUacValue | string | Specifica i flag che controllano password, blocco, disabilitazione/abilitazione, script e altro comportamento per l'account utente. Questo parametro contiene il valore precedente dell'attributo userAccountControl dell'oggetto utente. |
| Oldvalue | string | Valore precedente per il valore della chiave del Registro di sistema modificato. |
| OldValueType | string | Tipo precedente del valore della chiave del Registro di sistema modificato. |
| Tipo operazione | string | Tipo di operazione eseguita su un oggetto |
| PackageName | string | Nome del sotto-pacchetto di LAN Manager (nome del protocollo della famiglia NTLM) utilizzato durante l'accesso. |
| ParentProcessName | string | Nome del processo padre associato all'evento. |
| PasswordHistoryLength | string | \Impostazioni di sicurezza\Criteri account\Criteri password\Applica cronologia password" Criteri di gruppo. Valore numerico. |
| PasswordLastSet | string | Ora dell'ultima modifica della password dell'account. |
| Proprietà password | string | Criteri password o proprietà associati all'evento, ad esempio lunghezza password, complessità e data di scadenza. |
| PreviousDate | string | Data precedente associata all'evento. |
| PreviousTime | string | Ora precedente nel fuso orario UTC. Il formato è AAAA-MM-GGThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | Identificatore relativo (RID) del gruppo primario dell'oggetto dell'utente. |
| PrivateKeyUsageCount | string | Numero di volte in cui è stata usata una chiave privata. |
| PrivilegeList | string | Privilegi, inclusi i privilegi utente, gruppo o di sistema associati all'evento. |
| Processo | string | Nome del processo che genera l'evento. |
| ProcessId | string | Identifica il processo che ha generato l'evento. |
| ProcessName | string | Percorso completo e nome dell'eseguibile per il processo. |
| ProfilePath | string | Specifica un percorso del profilo dell'account. Questo valore può essere una stringa Null, un percorso assoluto locale o un percorso UNC. |
| Proprietà | string | Dipende dal tipo di oggetto. Questo campo può essere vuoto o contenere l'elenco delle proprietà dell'oggetto a cui è stato eseguito l'accesso. |
| ProtocolSequence | string | Informazioni sul protocollo utilizzato per un tentativo di autenticazione. |
| ProxyPolicyName | string | Nome dei criteri usati per configurare il server proxy per la connessione alla rete. |
| QuarantineHelpURL | string | URL che fornisce assistenza per la risoluzione di un problema di quarantena di rete. |
| QuarantineSessionID | string | Identificatore della sessione in cui è stato valutato il file per la quarantena. |
| QuarantineSessionIdentifier | string | Identificatore della sessione in cui è stato valutato il file per la quarantena. |
| QuarantenaState | string | Mostra se il file è in quarantena. |
| QuarantineSystemHealthResult | string | Report che mostra lo stato dei file in quarantena. |
| RelativeTargetName | string | Nome relativo del file o della cartella di destinazione a cui è stato eseguito l'accesso. Questo percorso file è relativo alla condivisione di rete. Se l'accesso è stato richiesto per la condivisione stessa, questo campo viene visualizzato come "\". |
| RemoteIpAddress | string | Indirizzo IP del computer che ha avviato una connessione remota. |
| Porta remota | string | Numero di porta del computer remoto che ha avviato una connessione. |
| Richiedente | string | Identificatore del richiedente evento. |
| RequestId | string | Identificatore univoco associato a richieste specifiche, ad esempio quelle effettuate tramite HTTP. |
| _ResourceId | string | Identificatore univoco per la risorsa associata al record |
| RestrictedAdminMode | string | Popolato solo per sessioni di tipo di accesso RemoteInteractive. Si tratta di un flag Sì/No che indica se le credenziali fornite sono state passate usando la modalità Amministrazione con restrizioni. La modalità Amministrazione con restrizioni è stata aggiunta in Win8.1/2012R2, ma questo flag è stato aggiunto all'evento in Win10. |
| RowsDeleted | string | Numero di righe eliminate come parte di un'operazione specifica. |
| SamAccountName | string | nome di accesso per l'account usato per supportare client e server dalle versioni precedenti di Windows (nome di accesso pre-Windows 2000). |
| ScriptPath | string | Specifica il percorso dello script di accesso dell'account. |
| SecurityDescriptor | string | Informazioni sulle impostazioni di sicurezza e sulle autorizzazioni di un determinato oggetto o risorsa. |
| ServiceAccount | string | Contesto di sicurezza che il servizio verrà eseguito come all'avvio. |
| ServiceFileName | string | Indica il tipo di servizio registrato con Service Control Manager. |
| ServiceName | string | Nome del servizio installato. |
| ServiceStartType | INT | Contiene informazioni sul modo in cui deve essere avviato un servizio specifico, se deve essere avviato automaticamente o manualmente. |
| ServiceType | string | Indica il tipo di servizio registrato con Service Control Manager. |
| SessionName | string | Nome della sessione a cui è stato riconnesso l'utente. |
| ShareLocalPath | string | Percorso locale della condivisione di rete accessibile. |
| ShareName | string | Nome della condivisione di rete accessibile. Il formato è: \*\SHARE_NAME. |
| Sidhistory | string | Contiene i SID precedenti usati per l'oggetto se l'oggetto è stato spostato da un altro dominio. |
| SourceComputerId | string | Identificatore univoco assegnato a ogni computer in un dominio Windows. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Stato | string | Motivo per cui l'accesso non è riuscito. Per questo evento, in genere ha valore "0xC0000234". I codici di stato più comuni sono elencati nella tabella 12. Codici di stato di accesso di Windows. |
| StorageAccount | string | Imposta la chiave di accesso dell'account di archiviazione. |
| SottocategoryGuid | string | GUID univoco della sottocategoria modificata. |
| SottocategoryId | string | Identificatore univoco per un tipo specifico dell'evento. |
| Oggetto | string | Informazioni sull'entità di sicurezza (ad esempio: account utente) che ha avviato l'evento. |
| SubjectAccount | string | Informazioni sull'account che avvia l'evento. |
| SubjectDomainName | string | Informazioni sul dominio o sul gruppo di lavoro a cui appartiene l'account soggetto. |
| SubjectKeyIdentifier | string | Identificatore univoco per un determinato soggetto del certificato. |
| SubjectLogonId | string | Identificatore univoco per la sessione di accesso associata all'account soggetto. |
| SubjectMachineName | string | Informazioni sul computer o sul sistema da cui è stato creato l'evento. |
| SubjectMachineSID | string | Identificatore di sicurezza (SID) per il computer che ha generato l'evento. |
| SubjectUserName | string | Nome dell'account utente che ha generato l'evento. |
| SubjectUserSid | string | Identificatore di sicurezza (SID) per l'account utente che ha generato l'evento. |
| _Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
| SubStatus | string | Informazioni aggiuntive sull'errore di accesso. I codici sottostatus più comuni elencati nella tabella 12. Codici di stato di accesso di Windows'. |
| TableId | string | L'identificatore specifico della tabella dati in cui vengono archiviati i dati dell'evento. |
| TargetAccount | string | L'account di destinazione dell'evento (nome utente, nome computer e così via). |
| Targetdomainname | string | Nome del dominio a cui appartiene l'account di destinazione. |
| TargetInfo | string | Informazioni aggiuntive sulla destinazione dell'evento, ad esempio il percorso di un file o una cartella, il nome di una chiave del Registro di sistema e così via. |
| TargetLinkedLogonId | string | Informazioni che consentono di collegare gli eventi correlati insieme agli ID tentativi di accesso. Può essere utile per mantenere organizzati tutti gli eventi pertinenti, tenere traccia dell'attività tra più sessioni e identificare l'origine degli attacchi. |
| TargetLogonGuid | string | Identificatore univoco globale (GUID) associato alla sessione di accesso correlata all'evento. |
| TargetLogonId | string | Identificatore univoco associato alla sessione di accesso correlata all'evento. |
| TargetOutboundDomainName | string | Il dominio specificato nel campo TargetAccount è stato autenticato durante un tentativo di autenticazione in uscita. |
| TargetOutboundUserName | string | Nome dell'account utente autenticato durante un tentativo di autenticazione in uscita. |
| TargetServerName | string | Nome del server in cui è stato eseguito il nuovo processo. Ha valore "localhost" se il processo è stato eseguito in locale. |
| TargetSid | string | Identificatore di sicurezza (SID) del server in cui è stato eseguito il nuovo processo. |
| TargetUser | string | Identificatore dell'account utente che ha generato il nuovo processo. |
| TargetUserName | string | Nome dell'account utente che ha generato il nuovo processo. |
| TargetUserSid | string | Identificatore di sicurezza (SID) associato all'utente o alla risorsa coinvolta nell'evento. |
| Attività | INT | Attività definita nell'evento. |
| TemplateContent | string | Contenuto del messaggio di evento o notifica in un modulo strutturato. |
| TemplateDSObjectFQDN | string | FQDN dell'oggetto DS che rappresenta il modello Criteri di gruppo. |
| TemplateInternalName | string | Nome interno del modello Criteri di gruppo. |
| TemplateOID | string | identificatore univoco per il modello usato per creare l'evento. |
| TemplateSchemaVersion | string | Versione dello schema del modello che definisce i dati da includere con un evento. |
| TemplateVersion | string | Versione del modello che definisce i dati da includere con un evento. |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Timestamp del momento in cui l'evento è stato generato nel computer. |
| TokenElevationType | string | Tipo di token assegnato a un nuovo processo in base ai criteri di controllo dell'account utente. |
| TransmittedServices | string | Elenco dei servizi trasmessi. I servizi trasmessi vengono popolati se l'accesso è stato il risultato di un processo di accesso S4U (Servizio per utente). S4U è un'estensione Microsoft per il protocollo Kerberos per consentire a un servizio dell'applicazione di ottenere un ticket di servizio Kerberos per conto di un utente, in genere eseguito da un sito Web front-end per accedere a una risorsa interna per conto di un utente. Per altre informazioni su S4U, vedere https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | string | Nome della tabella |
| Useraccountcontrol | string | Mostra l'elenco delle modifiche apportate all'attributo userAccountControl. Verrà visualizzata una riga di testo per ogni modifica. |
| Userparameters | string | Se si modifica un'impostazione usando Utenti e computer di Active Directory console di gestione nella scheda Accesso esterno delle proprietà dell'account utente, verrà visualizzato <il valore modificato, ma non visualizzato> in questo campo. Per gli account locali, questo campo non è applicabile e ha <sempre valore non impostato> . |
| UserPrincipalName | string | Nome di accesso in stile Internet per l'account, basato sullo standard RFC 822 Internet. Per convenzione, è necessario eseguire il mapping al nome di posta elettronica dell'account. |
| UserWorkstations | string | Contiene l'elenco di nomi NetBIOS o DNS dei computer da cui l'utente può accedere. Ogni nome computer è separato da una virgola. Il nome di un computer è la proprietà sAMAccountName di un oggetto computer. |
| VendorIds | string | Attributo "Ids hardware" del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli". |
| VirtualAccount | string | Flag "Sì" o "No", che indica se l'account è un account virtuale (ad esempio, "Account del servizio gestito"), introdotto in Windows 7 e Windows Server 2008 R2 per fornire la possibilità di identificare l'account usato da un determinato servizio, invece di usare semplicemente "NetworkService". |
| Workstation | string | Nome del computer utilizzato per eseguire l'evento. |
| WorkstationName | string | Nome del computer da cui è stato eseguito un tentativo di accesso. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per