SecurityEvent
Azure Security Centerまたは Azure Sentinel によって Windows マシンから収集されたセキュリティ イベント。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | Security、SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | はい |
列
| Column | Type | 説明 |
|---|---|---|
| AccessMask | string | 要求または実行された操作の 16 進マスク。 |
| Account | string | サービスまたはユーザーのセキュリティ コンテキスト。 |
| AccountDomain | string | サブジェクトのドメインまたはコンピューター名。 |
| AccountExpires | string | アカウントの有効期限が切れる日付。 |
| AccountName | string | "ドメイン信頼の削除" 操作を要求したアカウントの名前。 |
| AccountSessionIdentifier | string | セッションの作成時にマシンによって生成される一意識別子。 |
| AccountType | string | アカウントがコンピューター アカウント (コンピューター) かユーザーのアカウントかを識別します。 |
| アクティビティ | string | イベントのわかりやすいタイトルが発生しました。 |
| AdditionalInfo: | string | リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。 |
| AdditionalInfo2 | string | リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。 |
| AllowedToDelegateTo | string | このアカウントが委任された資格情報を提示できる SPN の一覧。 |
| 属性 | string | イベントに関する追加情報。 |
| AuditPolicyChanges | string | ファイルまたはレジストリ キーのシステム監査ポリシーまたは監査設定に変更が加えられたときに生成されるイベント。 |
| AuditsDiscarded | INT | 破棄された監査メッセージの数。 |
| AuthenticationLevel | INT | 破棄された監査メッセージの数。 |
| AuthenticationPackageName | string | 読み込まれた認証パッケージの名前。 形式は次のとおりです。DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME。 |
| AuthenticationProvider | string | 認証プロセスを担当するプロバイダーの ID (証明機関、ユーザー名、パスワード認証システムなどを含めることができます)。 |
| AuthenticationServer | string | 認証プロバイダーを配置したサーバー。 |
| AuthenticationService | INT | 認証プロバイダーを配置したサービス。 |
| AuthenticationType | string | イベントに使用された認証の種類 (2 要素認証、生体認証など)。 |
| AzureDeploymentID | string | ログが属しているクラウド サービスの Azure デプロイ ID。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| CACertificateHash | string | イベントを実行したユーザーの認証に使用された証明機関 (CA) 証明書のハッシュ値。 |
| CalledStationID | string | セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。 |
| CallerProcessId | string | ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、オペレーティング システムがアクティブなプロセスを一意に識別するために使用される数値です。 |
| CallerProcessName | string | プロセスの完全パスと実行可能ファイルの名前。 |
| CallingStationID | string | セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。 |
| CAPublicKeyHash | string | 証明書を発行した証明機関 (CA) の公開キーを識別するハッシュ値。 |
| CategoryId | string | 発生したセキュリティ イベントのカテゴリ (ログイン試行、データ侵害など)。 |
| CertificateDatabaseHash | string | 証明書を発行したデータベースを識別するハッシュ値。 |
| チャネル | string | イベントがログに記録されたチャネル。 |
| ClassId | string | デバイスの 'Class Guid' 属性。 |
| ClassName | string | デバイスの 'Class' 属性。 |
| ClientAddress | string | TGT 要求の受信元のコンピューターの IP アドレス。 |
| ClientIPAddress | string | イベントの原因となったアクションを開始したコンピューターの IP アドレス。 |
| Clientname | string | ユーザーが再接続されたコンピューター名。 コンソール セッションの値が "不明" です。 |
| CommandLine | string | イベントに関係したアプリケーションまたはプロセスに渡されたコマンド ライン引数。 |
| CompatibleIds | string | device の 'Compatible Ids' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| Computer | string | イベントが発生したコンピューターの名前。 |
| DCDNSName | string | イベントに関係したドメイン コントローラーの DNS 名。 |
| DeviceDescription | string | イベントに関連したデバイスの説明。 |
| deviceId | string | イベントに関係したデバイスの一意識別子。 |
| DisplayName | string | これは、特定のアカウントのアドレス帳に表示される名前です。 これは通常、ユーザーの名、ミドル ネーム、姓の組み合わせです。 |
| Disposition | string | イベントが解決されたかどうか、またはイベントに応答してアクションが実行されたかどうかなど、イベントの結果/解決。 |
| DomainBehaviorVersion | string | msDS-Behavior-Version ドメイン属性が変更されました。 数値。 |
| DomainName | string | 削除された信頼されたドメインの名前。 |
| DomainPolicyChanged | string | イベントの一部としてドメイン ポリシー (パスワード ポリシー、セキュリティ ポリシーなど) が変更されたかどうかを示します。 |
| DomainSid | string | 信頼パートナーの SID。 このパラメーターはイベントでキャプチャされない可能性があり、その場合は "NULL SID" として表示されます。 |
| EAPType | string | イベント認証プロセスに使用された拡張認証プロトコル (EAP) の種類。 |
| ElevatedToken | string | 'Yes' または 'No' フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者特権が付与されます。 |
| ErrorCode | INT | エラー イベントのエラー コードが含まれています。 Success イベントの場合、このパラメーターには '0x0' 値があります。 |
| EventData | string | イベントに関連付けられているイベント固有のデータ。 |
| EventID | INT | プロバイダーがイベントの識別に使用した識別子。 |
| EventSourceName | string | イベントをログに記録するソフトウェアの名前 (アプリケーションまたは succomponent)。 |
| ExtendedQuarantineState | string | ネットワーク検疫プロセスの状態 (該当する場合)。 ネットワーク検疫は、承認されていないデバイスが特定のセキュリティ要件を満たすか、マルウェアがチェックされるまでネットワークにアクセスできないようにするプロセスです。 |
| FailureReason | string | Status フィールド値のテキスト説明。 このイベントの場合、通常は "Account locked out" 値が設定されます。 |
| FileHash | string | イベントの一部としてアクセスまたは変更されたファイル、または認証または承認プロセスで使用されたファイルのハッシュ値。 |
| FilePath | string | 操作が実行されたキー ファイルの完全パスとファイル名。 |
| FilePathNoUser | string | ユーザー名やその他のユーザー固有の情報を除く、イベントに関連するすべてのファイルのパス。 |
| フィルター | string | 実行されたイベントで使用されるフィルター。 |
| ForceLogoff | string | '\Security Settings\Local Policies\Security Options\Network security: ログオン時間の有効期限が切れたときに強制的にログオフする' グループ ポリシー。 |
| Fqbn | string | イベントに関連するすべてのファイルの完全修飾バイナリ名 (FQBN)。 |
| FullyQualifiedSubjectMachineName | string | イベントを開始したマシンの完全修飾ドメイン名 (FQDN)。 |
| FullyQualifiedSubjectUserName | string | FQDN 形式でイベントを開始したユーザーまたはサービスのユーザー名。 |
| GroupMembership | string | ログに記録されたアカウントが属しているグループ SID の一覧 (のメンバー)。 イベント ビューアーは SID の解決を自動的に試行し、アカウント名を表示します。 SID を解決できない場合は、イベントにソース データが表示されます。 |
| HandleId | string | オブジェクト名へのハンドルの 16 進数の値。 このフィールドは、他のイベントとの関連付けに使用できます。 |
| HardwareIds | string | デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| HomeDirectory | string | ユーザーのホーム ディレクトリ。 homeDrive 属性が設定され、ドライブ文字が指定されている場合、homeDirectory は UNC パスである必要があります。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。 |
| HomePath | string | ユーザーのホーム パス。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。 |
| InterfaceUuid | string | イベントに使用されたネットワーク インターフェイスの一意識別子 (UUID)。 |
| IpAddress | string | イベントに関連付けられているネットワーク アドレス (通常は IPv4 または IPv6)。 |
| IpPort | string | イベントに関連付けられているネットワーク ポート番号。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| Keylength | INT | NTLM セッション セキュリティ キーの長さ。 通常、128 ビットまたは 56 ビットの長さがあります。 |
| レベル | string | Windows では、すべてのイベントが重大度レベルで分類されます。 重大度の順のレベルは、情報、詳細、警告、エラー、および重要な数値で表されます。 |
| LmPackageName | string | イベントが生成されているコンピューターで現在ローカル セキュリティ機関 (LSA) を使用しているパッケージまたはソフトウェア コンポーネントの名前。 |
| LocationInformation | string | デバイスの '位置情報' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| LockoutDuration | string | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration' グループ ポリシー。 数値。 |
| LockoutObservationWindow | string | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' グループ ポリシー。 数値。 |
| LockoutThreshold | string | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold' グループ ポリシー。 数値。 |
| LoggingResult | string | ログオン プロセスの結果。 |
| LogonGuid | string | このイベントを、同じログオン GUID を含むことができる別のイベントと関連付けるのに役立つ GUID。 |
| LogonHours | string | アカウントがドメインへのログオンを許可されている時間。 |
| LogonID | string | このイベントを、同じログオン ID を含む最近のイベントと関連付けるのに役立つ 16 進値。 |
| LogonProcessName | string | 登録済みログオン プロセスの名前。 |
| LogonType | INT | 実行されたログオンの種類。 |
| LogonTypeName | string | イベント ログによってキャプチャされるログオンまたは認証イベントの種類 (共通値: Interactive、Network、RemoteInteractive、Unlock)。 |
| MachineAccountQuota | string | ms-DS-MachineAccountQuota ドメイン属性が変更されました。 数値。 |
| MachineInventory | string | イベントが生成されているコンピューターのハードウェア構成とソフトウェア環境に関する情報。 たとえば、コンピューターの作成とモデル、使用可能な RAM または記憶域の容量、さまざまなソフトウェア アプリケーションのバージョン番号など)、さまざまなデータ ポイントを含めることができます。 |
| MachineLogon | string | マシンでのログオン イベントの成功に関する情報。 |
| ManagementGroupName | string | リソースの種類に基づく追加情報。 |
| MandatoryLabel | string | 新しいプロセスに割り当てられた整合性ラベルの ID。 |
| MaxPasswordAge | string | システムがパスワードを変更する必要がある前にパスワードを使用できる期間 (日数)。 |
| メンバー名 | string | イベントに関係したユーザー アカウント。 |
| MemberSid | string | イベントに関係したユーザー アカウントに関連付けられているセキュリティ識別子 (SID)。 |
| MinPasswordAge | string | システムがユーザーにパスワードの変更を要求する前にパスワードを使用する必要がある期間 (日数)。 |
| MinPasswordLength | string | ユーザー アカウントのパスワードを構成できる最小文字数。 |
| MixedDomainMode | string | システムまたはドメイン コントローラーのドメイン モード。 |
| NASIdentifier | string | イベントに関係したネットワーク アクセス サーバー (NAS) の識別子。 |
| NASIPv4Address | string | イベントに関係したネットワーク アクセス サーバー (NAS) の IPv4Address (該当する場合)。 |
| NASIPv6Address | string | イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv6Address (該当する場合)。 |
| NASPort | string | イベントで使用されたネットワーク アクセス サーバー上のポート。 |
| NASPortType | string | イベントで使用されるネットワーク アクセス サーバー (NAS) の種類。 |
| NetworkPolicyName | string | イベントに関連付けられているネットワーク ポリシーの名前。 |
| NewDate | string | UTC タイム ゾーンの新しい日付。 YYYY-MM-DD という形式です。 |
| NewMaxUsers | string | イベントでリソースに対して許可されるユーザーの新しい最大数。 |
| NewProcessId | string | 新しいプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。 |
| NewProcessName | string | 新しいプロセスの完全パスと実行可能ファイルの名前。 |
| NewRemark | string | ネットワーク共有 'Comments:' フィールドの新しい値。 設定されていない場合は、'N/A' 値を持っています。 |
| NewShareFlags | string | イベント内のリソースに関連付けられている共有フラグ。たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているかに関する情報、およびアクセスとアクセス許可に影響を与える可能性があるその他のパラメーター。 |
| NewTime | string | UTC タイム ゾーンで設定された新しい時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です |
| NewUacValue | string | ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 |
| NewValue | string | 変更されたレジストリ キー値の新しい値。 |
| NewValueType | string | 変更されたレジストリ キー値の新しい種類。 |
| ObjectName | string | アクセスが要求されたオブジェクトの名前とその他の識別情報。 たとえば、ファイルの場合、パスが含まれます。 |
| ObjectServer | string | ルーチンを呼び出す Windows サブシステムの名前を格納します。 |
| ObjectType | string | 操作中にアクセスされたオブジェクトの型。 |
| ObjectValueName | string | 変更されたレジストリ キー値の名前。 |
| OemInformation | string | イベントのデバイスまたはシステムに関連付けられている元の機器メーカー (OEM)。 |
| OldMaxUsers | string | イベントでリソースに対して許可された以前のユーザーの最大数。 |
| OldRemark | string | ネットワーク共有 'Comments:' フィールドの古い値。 設定されていない場合は、'N/A' 値を持っています。 |
| OldShareFlags | string | たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報など、イベント内のリソースに関連付けられている以前の共有フラグ。 |
| OldUacValue | string | ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 このパラメーターには、user オブジェクトの userAccountControl 属性の以前の値が含まれています。 |
| OldValue | string | 変更されたレジストリ キー値の古い値。 |
| OldValueType | string | 変更されたレジストリ キー値の古い型。 |
| OperationType | string | オブジェクトに対して実行された操作の種類 |
| PackageName | string | ログオン中に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名前。 |
| ParentProcessName | string | イベントに関連付けられている親プロセスの名前。 |
| PasswordHistoryLength | string | \Security Settings\Account Policies\Password Policy\Enforce password history" グループ ポリシー。 数値。 |
| PasswordLastSet | string | アカウントのパスワードが最後に変更された時刻。 |
| PasswordProperties | string | イベントに関連付けられているパスワード ポリシーまたはプロパティ (パスワードの長さ、複雑さ、有効期限など)。 |
| PreviousDate | string | イベントに関連付けられた前の日付。 |
| PreviousTime | string | UTC タイム ゾーンの以前の時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です。 |
| PrimaryGroupId | string | ユーザーのオブジェクトプライマリ グループの相対識別子 (RID)。 |
| PrivateKeyUsageCount | string | 秘密キーが使用された回数。 |
| PrivilegeList | string | イベントに関連付けられているユーザー、グループ、またはシステム特権を含む特権。 |
| Process | string | イベントを生成するプロセスの名前。 |
| ProcessId | string | イベントを生成したプロセスを識別します。 |
| ProcessName | string | プロセスの完全パスと実行可能ファイルの名前。 |
| ProfilePath | string | アカウントのプロファイルへのパスを指定します。 この値には、null 文字列、ローカル絶対パス、または UNC パスを指定できます。 |
| プロパティ | string | オブジェクトの種類によって異なります。 このフィールドは空にすることも、アクセスされたオブジェクト プロパティの一覧を含めることもできます。 |
| ProtocolSequence | string | 認証試行に使用されるプロトコルに関する情報。 |
| ProxyPolicyName | string | ネットワークに接続するためのプロキシ サーバーの構成に使用されたポリシーの名前。 |
| QuarantineHelpURL | string | ネットワーク検疫の問題のトラブルシューティングに役立つ URL。 |
| QuarantineSessionID | string | ファイルが検疫のために評価されたセッションの識別子。 |
| QuarantineSessionIdentifier | string | ファイルが検疫のために評価されたセッションの識別子。 |
| QuarantineState | string | ファイルが検疫されているかどうかを示します。 |
| QuarantineSystemHealthResult | string | 検疫されたファイルの状態を示すレポート。 |
| RelativeTargetName | string | アクセスされたターゲット ファイルまたはフォルダーの相対名。 このファイル パスは、ネットワーク共有に対する相対パスです。 共有自体に対してアクセスが要求された場合、このフィールドは "\" と表示されます。 |
| RemoteIpAddress | string | リモート接続を開始したコンピューターの IP アドレス。 |
| リモート ポート | string | 接続を開始したリモート コンピューターのポート番号。 |
| [要求元] | string | イベントリクエスター識別子。 |
| RequestId | string | HTTP 経由で行われた要求など、特定の要求に関連付けられている一意の識別子。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| RestrictedAdminMode | string | RemoteInteractive ログオンの種類のセッションに対してのみ設定されます。 これは、指定された資格情報が制限付き管理 モードを使用して渡されたかどうかを示す Yes/No フラグです。 制限付き管理 モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。 |
| RowsDeleted | string | 特定の操作の一部として削除された行の数。 |
| SamAccountName | string | 以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるアカウントのログオン名 (Windows 2000 より前のログオン名)。 |
| ScriptPath | string | アカウントのログオン スクリプトのパスを指定します。 |
| SecurityDescriptor | string | 特定のオブジェクトまたはリソースのセキュリティ設定とアクセス許可に関する情報。 |
| ServiceAccount | string | 起動時にサービスが実行されるセキュリティ コンテキスト。 |
| ServiceFileName | string | サービス コントロール マネージャーに登録されたサービスの種類を示します。 |
| ServiceName | string | インストールされているサービスの名前。 |
| ServiceStartType | INT | 特定のサービスを自動的に開始するか手動で開始するかに関する情報が含まれます。 |
| ServiceType | string | サービス コントロール マネージャーに登録されたサービスの種類を示します。 |
| Sessionname | string | ユーザーが再接続されたセッションの名前。 |
| ShareLocalPath | string | アクセスされたネットワーク共有のローカル パス。 |
| ShareName | string | アクセスされたネットワーク共有の名前。 形式は \*\SHARE_NAME です。 |
| Sidhistory | string | オブジェクトが別のドメインから移動された場合にオブジェクトに使用された以前の SID が含まれます。 |
| SourceComputerId | string | Windows ドメイン内の各コンピューターに割り当てられた一意の識別子。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| Status | string | ログオンに失敗した理由。 このイベントの場合、通常は "0xC0000234" 値があります。 最も一般的な状態コードを表 12 に示します。 Windows ログオン状態コード。 |
| StorageAccount | string | ストレージ アカウントのアクセス キーを設定します。 |
| SubcategoryGuid | string | 変更されたサブカテゴリの一意の GUID。 |
| SubcategoryId | string | イベントの特定の種類の一意識別子。 |
| サブジェクト | string | イベントを開始したセキュリティ プリンシパル (ユーザー アカウントなど) に関する情報。 |
| SubjectAccount | string | イベントを開始しているアカウントに関する情報。 |
| SubjectDomainName | string | サブジェクト アカウントが属するドメインまたはワークグループに関する情報。 |
| SubjectKeyIdentifier | string | 特定の証明書サブジェクトの一意識別子。 |
| SubjectLogonId | string | サブジェクト アカウントに関連付けられているログオン セッションの一意識別子。 |
| SubjectMachineName | string | イベントの作成元のマシンまたはシステムに関する情報。 |
| SubjectMachineSID | string | イベントを生成したマシンのセキュリティ識別子 (SID)。 |
| SubjectUserName | string | イベントを生成したユーザー アカウントの名前。 |
| SubjectUserSid | string | イベントを生成したユーザー アカウントのセキュリティ識別子 (SID)。 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| SubStatus | string | ログオンエラーに関する追加情報。 「表 12」に記載されている最も一般的な副状態コード。 Windows ログオン状態コード'。 |
| TableId | string | イベント データが格納されている特定のデータ テーブル識別子。 |
| TargetAccount | string | イベントの対象となるアカウント (ユーザー名、コンピューター名など)。 |
| TargetDomainName | string | ターゲット アカウントが属しているドメインの名前。 |
| TargetInfo | string | イベント ターゲットに関する追加情報 (ファイルまたはフォルダーへのパス、レジストリ キーの名前など)。 |
| TargetLinkedLogonId | string | ログオン試行 ID によって関連イベントをリンクするのに役立つ情報。 関連するすべてのイベントを整理し、複数のセッションにわたるアクティビティを追跡し、攻撃ソースを特定する場合に役立ちます。 |
| TargetLogonGuid | string | イベントに関連するログオン セッションに関連付けられているグローバル一意識別子 (GUID)。 |
| TargetLogonId | string | イベントに関連するログオン セッションに関連付けられている一意識別子。 |
| TargetOutboundDomainName | string | TargetAccount フィールドで指定されたアカウントが送信認証の試行中に認証されたドメイン。 |
| TargetOutboundUserName | string | 送信認証試行中に認証されたユーザー アカウントの名前。 |
| TargetServerName | string | 新しいプロセスが実行されたサーバーの名前。 プロセスがローカルで実行された場合は、"localhost" 値を持ちます。 |
| TargetSid | string | 新しいプロセスが実行されたサーバーのセキュリティ識別子 (SID)。 |
| TargetUser | string | 新しいプロセスを生成したユーザー アカウント識別子。 |
| TargetUserName | string | 新しいプロセスを生成したユーザー アカウントの名前。 |
| TargetUserSid | string | イベントに関係するユーザーまたはリソースに関連付けられているセキュリティ識別子 (SID)。 |
| タスク | INT | イベントで定義されたタスク。 |
| TemplateContent | string | 構造化された形式のイベント メッセージまたは通知の内容。 |
| TemplateDSObjectFQDN | string | GPO テンプレートを表す DS オブジェクトの FQDN。 |
| TemplateInternalName | string | GPO テンプレートの内部名。 |
| TemplateOID | string | イベントの作成に使用されたテンプレートの一意識別子。 |
| TemplateSchemaVersion | string | イベントに含めるデータを定義するテンプレート スキーマのバージョン。 |
| TemplateVersion | string | イベントに含めるデータを定義するテンプレートのバージョン。 |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | コンピューターでイベントが生成されたときのタイム スタンプ。 |
| TokenElevationType | string | ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類。 |
| TransmittedServices | string | 送信されたサービスの一覧。 転送されたサービスは、ログオンが S4U (ユーザー向けサービス) ログオン プロセスの結果である場合に設定されます。 S4U は、アプリケーション サービスがユーザーに代わって Kerberos サービス チケットを取得できるようにする Kerberos プロトコルの Microsoft 拡張機能です。最も一般的なのは、フロントエンド Web サイトがユーザーに代わって内部リソースにアクセスすることです。 S4U の詳細については、「」を参照してください https://msdn.microsoft.com/library/cc246072.aspx。 |
| Type | string | テーブルの名前 |
| UserAccountControl | string | userAccountControl 属性の変更の一覧を表示します。 変更ごとに 1 行のテキストが表示されます。 |
| UserParameters | string | ユーザーのアカウント プロパティの [ダイヤルイン] タブでActive Directory ユーザーとコンピューター 管理コンソールを使用して設定を変更すると、値は<変更されますが、このフィールドには表示されません>。 ローカル アカウントの場合、このフィールドは適用されず、常に値が設定>されていない値を持っています<。 |
| UserPrincipalName | string | インターネット標準 RFC 822 に基づく、アカウントのインターネット スタイルのログイン名。 慣例により、これはアカウントの電子メール名にマップされます。 |
| UserWorkstations | string | ユーザーがログオンできるコンピューターの NetBIOS または DNS 名の一覧が含まれます。 各コンピューター名はコンマで区切られます。 コンピューターの名前は、コンピューター オブジェクトの sAMAccountName プロパティです。 |
| VendorIds | string | デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| VirtualAccount | string | "はい" または "いいえ" フラグ。これは、アカウントが仮想アカウント ("マネージド サービス アカウント" など) であるかどうかを示します。これは、単に 'NetworkService' を使用するのではなく、特定のサービスが使用するアカウントを識別する機能を提供するために Windows 7 および Windows Server 2008 R2 で導入されました。 |
| ワークステーション | string | イベントの実行に使用されたマシンの名前。 |
| WorkstationName | string | ログオン試行の実行元のコンピューター名。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示