SecurityEvent
Beveiligingsevenementen die zijn verzameld van Windows-machines door Azure Security Center of Azure Sentinel.
Tabelkenmerken
| Kenmerk | Weergegeven als |
|---|---|
| Resourcetypen | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorieën | Beveiliging |
| Oplossingen | Beveiliging, SecurityInsights |
| Basislogboek | Nee |
| Opnametijdtransformatie | Ja |
| Voorbeeldquery's | Ja |
Kolommen
| Column | Type | Description |
|---|---|---|
| AccessMask | tekenreeks | Hexadecimaal masker voor de aangevraagde of uitgevoerde bewerking. |
| Rekening | tekenreeks | De beveiligingscontext voor services of gebruikers. |
| AccountDomain | tekenreeks | De domein- of computernaam van het onderwerp. |
| AccountExpires | tekenreeks | De datum waarop het account verloopt. |
| AccountName | tekenreeks | De naam van het account dat de bewerking Domeinvertrouwen verwijderen heeft aangevraagd. |
| AccountSessionIdentifier | tekenreeks | Een unieke id die door de machine wordt gegenereerd wanneer de sessie wordt gemaakt. |
| AccountType | tekenreeks | Hiermee wordt aangegeven of het account een computeraccount (computer) of een gebruiker is. |
| Activiteit | tekenreeks | De beschrijvende titel van de gebeurtenis is opgetreden. |
| AdditionalInfo | tekenreeks | Aanvullende informatie die wordt verstrekt door de bron, die niet is toegewezen aan andere velden, vertegenwoordigd door een lijst. |
| AdditionalInfo2 | tekenreeks | Aanvullende informatie die wordt verstrekt door de bron, die niet is toegewezen aan andere velden, vertegenwoordigd door een lijst. |
| AllowedToDelegateTo | tekenreeks | De lijst met SPN's waaraan dit account gedelegeerde referenties kan presenteren. |
| Kenmerken | tekenreeks | Aanvullende informatie over de gebeurtenis. |
| AuditPolicyChanges | tekenreeks | Gebeurtenissen die worden gegenereerd wanneer wijzigingen worden aangebracht in het systeemcontrolebeleid of controle-instellingen op een bestand of registersleutel. |
| AuditsDiscarded | int | Aantal controleberichten dat is verwijderd. |
| AuthenticationLevel | int | Aantal controleberichten dat is verwijderd. |
| AuthenticationPackageName | tekenreeks | de naam van het geladen verificatiepakket. De indeling is: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | tekenreeks | De identiteit van de provider die verantwoordelijk is voor het verificatieproces (kan een certificeringsinstantie, een gebruikersnaam, een wachtwoordverificatiesysteem, enzovoort) omvatten. |
| AuthenticationServer | tekenreeks | De server waarin de verificatieprovider zich bevindt. |
| AuthenticationService | int | De service waarin de verificatieprovider zich bevindt. |
| AuthenticationType | tekenreeks | het type verificatie dat is gebruikt voor de gebeurtenis (tweeledige verificatie, biometrische verificatie, enzovoort). |
| AzureDeploymentID | tekenreeks | De Azure-implementatie-id van de cloudservice waartoe het logboek behoort. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| CACertificateHash | tekenreeks | De hashwaarde van het ca-certificaat (certificeringsinstantie) dat is gebruikt voor het verifiëren van de gebruiker die de gebeurtenis heeft uitgevoerd. |
| CalledStationID | tekenreeks | Informatie over de id van het station dat de actie heeft gestart die heeft geleid tot de beveiligingsevenementen. |
| CallerProcessId | tekenreeks | Hexadecimale proces-id van het proces dat de aanmelding heeft geprobeerd. Proces-id (PID) is een getal dat door het besturingssysteem wordt gebruikt om een actief proces uniek te identificeren. |
| CallerProcessName | tekenreeks | Volledig pad en de naam van het uitvoerbare bestand voor het proces. |
| CallingStationID | tekenreeks | Informatie over de id van het station dat de actie heeft gestart die heeft geleid tot de beveiligingsevenementen. |
| CAPublicKeyHash | tekenreeks | Hashwaarde die de openbare sleutel van een certificeringsinstantie (CA) identificeert die een certificaat heeft uitgegeven. |
| CategoryId | tekenreeks | De categorie van de beveiligingsgebeurtenis die is opgetreden (aanmeldingspoging, gegevenslek, enzovoort). |
| CertificateDatabaseHash | tekenreeks | Hash-waarde die de database identificeert die een certificaat heeft uitgegeven. |
| Channel | tekenreeks | Het kanaal waarnaar de gebeurtenis is geregistreerd. |
| ClassId | tekenreeks | Het kenmerk Klasse-GUID van het apparaat. |
| ClassName | tekenreeks | Het kenmerk Klasse van het apparaat. |
| ClientAddress | tekenreeks | IP-adres van de computer van waaruit de TGT-aanvraag is ontvangen. |
| ClientIPAddress | tekenreeks | IP-adres van de computer die de actie heeft gestart die tot de gebeurtenis heeft geleid. |
| ClientName | tekenreeks | computernaam van waaruit de gebruiker opnieuw verbinding heeft gemaakt. Heeft de waarde Onbekend voor consolesessie. |
| CommandLine | tekenreeks | De opdrachtregelargumenten die zijn doorgegeven aan een toepassing of proces dat betrokken was bij de gebeurtenis. |
| CompatibleIds | tekenreeks | Het kenmerk Compatibele id's van het apparaat. Als u apparaateigenschappen wilt bekijken, start u Apparaatbeheer, opent u specifieke apparaateigenschappen en klikt u op Details: |
| Computer | tekenreeks | De naam van de computer waarop de gebeurtenis heeft plaatsgevonden. |
| Correlatie | tekenreeks | De activiteit-id's die consumenten kunnen gebruiken om gerelateerde gebeurtenissen te groeperen. |
| DCDNSName | tekenreeks | De DNS-naam van de domeincontroller die betrokken was bij de gebeurtenis. |
| DeviceDescription | tekenreeks | de beschrijving van het apparaat dat betrokken was bij de gebeurtenis. |
| DeviceId | tekenreeks | De unieke id van het apparaat dat betrokken was bij de gebeurtenis. |
| DisplayName | tekenreeks | Het is een naam die wordt weergegeven in het adresboek voor een bepaald account. Dit is meestal de combinatie van de voornaam, de eerste en achternaam van de gebruiker. |
| Disposition | tekenreeks | Het resultaat/de oplossing van de gebeurtenis, bijvoorbeeld of de gebeurtenis is opgelost of of er actie is ondernomen als reactie op de gebeurtenis. |
| DomainBehaviorVersion | tekenreeks | het domeinkenmerk msDS-Behavior-Version is gewijzigd. Numerieke waarde. |
| DomainName | tekenreeks | De naam van het verwijderde vertrouwde domein. |
| DomainPolicyChanged | tekenreeks | Hiermee wordt aangegeven of domeinbeleidsregels zijn gewijzigd als onderdeel van de gebeurtenis (wachtwoordbeleid, beveiligingsbeleid, enzovoort). |
| DomainSid | tekenreeks | SID van de vertrouwenspartner. Deze parameter wordt mogelijk niet vastgelegd in de gebeurtenis en wordt in dat geval weergegeven als 'NULL SID'. |
| EAPType | tekenreeks | Het type Extensible Authentication Protocol (EAP) dat is gebruikt voor het gebeurtenisverificatieproces. |
| ElevatedToken | tekenreeks | Een vlag 'Ja' of 'Nee'. Als Ja, dan is de sessie die deze gebeurtenis vertegenwoordigt verhoogde bevoegdheden en heeft beheerdersbevoegdheden. |
| ErrorCode | int | Bevat foutcode voor foutevenementen. Voor geslaagde gebeurtenissen heeft deze parameter de waarde '0x0'. |
| EventData | tekenreeks | Gebeurtenisspecifieke gegevens die aan de gebeurtenis zijn gekoppeld. |
| EventID | int | De id die de provider heeft gebruikt om de gebeurtenis te identificeren. |
| EventLevelName | tekenreeks | De weergegeven berichttekenreeks van het niveau dat is opgegeven in de gebeurtenis. |
| EventRecordId | tekenreeks | Het recordnummer dat is toegewezen aan de gebeurtenis toen het werd geregistreerd. |
| EventSourceName | tekenreeks | De naam van de software die de gebeurtenis registreert (applicationor een succomponent). |
| ExtendedQuarantineState | tekenreeks | De status van het netwerkquarantaineproces, indien van toepassing. Netwerkquarantaine is een proces waarbij niet-geautoriseerde apparaten geen toegang hebben tot een netwerk totdat ze voldoen aan bepaalde beveiligingsvereisten of zijn gecontroleerd op malware. |
| FailureReason | tekenreeks | tekstuele uitleg van de waarde van het veld Status. Voor deze gebeurtenis heeft het meestal de waarde 'Account vergrendeld'. |
| FileHash | tekenreeks | De hashwaarde voor bestanden die zijn geopend of gewijzigd als onderdeel van de gebeurtenis, of bestanden die zijn gebruikt in het verificatie- of autorisatieproces. |
| FilePath | tekenreeks | Volledig pad en bestandsnaam van het sleutelbestand waarop de bewerking is uitgevoerd. |
| FilePathNoUser | tekenreeks | Het pad naar bestanden die betrekking hebben op de gebeurtenis, met uitzondering van de gebruikersnaam of andere gebruikersspecifieke informatie. |
| Filter | tekenreeks | Filters die worden gebruikt in de uitgevoerde gebeurtenis. |
| ForceLogoff | tekenreeks | '\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties\Netwerkbeveiliging: afmelden afdwingen wanneer aanmeldingsuren verlopen' groepsbeleid. |
| Fqbn | tekenreeks | De volledig gekwalificeerde binaire naam (FQBN) voor bestanden die zijn gerelateerd aan de gebeurtenis. |
| FullyQualifiedSubjectMachineName | tekenreeks | De FQDN (Fully Qualified Domain Name) van de computer die de gebeurtenis heeft gestart. |
| FullyQualifiedSubjectUserName | tekenreeks | De gebruikersnaam van de gebruiker of service die de gebeurtenis heeft gestart in FQDN-indeling. |
| GroupMembership | tekenreeks | De lijst met groeps-SID's waartoe het geregistreerde account behoort (lid van). Logboeken probeert automatisch SID's op te lossen en de accountnaam weer te geven. Als de SID niet kan worden opgelost, ziet u de brongegevens in de gebeurtenis. |
| HandleId | tekenreeks | Hexadecimale waarde van een ingang naar objectnaam. Dit veld kan worden gebruikt voor correlatie met andere gebeurtenissen. |
| HardwareIds | tekenreeks | Het kenmerk Hardware-id's van het apparaat. Als u apparaateigenschappen wilt bekijken, start u Apparaatbeheer, opent u specifieke apparaateigenschappen en klikt u op Details: |
| HomeDirectory | tekenreeks | De basismap van de gebruiker. Als het kenmerk homeDrive is ingesteld en een stationsletter opgeeft, moet homeDirectory een UNC-pad zijn. Het pad moet een netwerk-UNC van het formulier \Server\Share\Directory zijn. |
| HomePath | tekenreeks | Het beginpad van de gebruiker. Het pad moet een netwerk-UNC van het formulier \Server\Share\Directory zijn. |
| InterfaceUuid | tekenreeks | De unieke id (UUID) voor de netwerkinterface die voor de gebeurtenis is gebruikt. |
| IpAddress | tekenreeks | het netwerkadres (meestal IPv4 of IPv6) dat aan de gebeurtenis is gekoppeld. |
| IpPort | tekenreeks | Het netwerkpoortnummer dat is gekoppeld aan de gebeurtenis. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable wordt false opgenomen, worden er geen kosten in rekening gebracht voor uw Azure-account |
| Sleutellengte | int | De lengte van de NTLM-sessiebeveiligingssleutel. Normaal gesproken heeft het 128-bits of 56-bits lengte. |
| Trefwoorden | tekenreeks | Een bitmasker van de trefwoorden die in de gebeurtenis zijn gedefinieerd. |
| Niveau | tekenreeks | Windows categoriseert elke gebeurtenis met een ernstniveau. De niveaus in volgorde van ernst zijn informatie, uitgebreid, waarschuwing, fout en kritiek uitgedrukt in getallen. |
| LmPackageName | tekenreeks | De naam van het pakket of softwareonderdeel dat momenteel de LSA (Local Security Authority) gebruikt op de computer waarop de gebeurtenis wordt gegenereerd. |
| LocationInformation | tekenreeks | Het kenmerk Locatiegegevens van het apparaat. Als u apparaateigenschappen wilt bekijken, start u Apparaatbeheer, opent u specifieke apparaateigenschappen en klikt u op Details: |
| LockoutDuration | tekenreeks | '\Beveiligingsinstellingen\Accountbeleid\Accountvergrendelingsbeleid\Duur accountvergrendeling' groepsbeleid. Numerieke waarde. |
| LockoutObservationWindow | tekenreeks | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' groepsbeleid. Numerieke waarde. |
| LockoutThreshold | tekenreeks | '\Beveiligingsinstellingen\Accountbeleid\Accountvergrendelingsbeleid\Drempelwaarde accountvergrendeling' groepsbeleid. Numerieke waarde. |
| LoggingResult | tekenreeks | Het resultaat van het aanmeldingsproces. |
| LogonGuid | tekenreeks | Een GUID waarmee u deze gebeurtenis kunt correleren met een andere gebeurtenis die dezelfde aanmeldings-GUID kan bevatten. |
| Aanmeldingstijd | tekenreeks | Uren dat het account zich mag aanmelden bij het domein. |
| Aanmeldings-id | tekenreeks | Hexadecimale waarde die u kan helpen deze gebeurtenis te correleren met recente gebeurtenissen die mogelijk dezelfde aanmeldings-id bevatten. |
| LogonProcessName | tekenreeks | De naam van het geregistreerde aanmeldingsproces. |
| LogonType | int | Het type aanmelding dat is uitgevoerd. |
| LogonTypeName | tekenreeks | Het type aanmeldings- of verificatiegebeurtenis dat wordt vastgelegd door het gebeurtenislogboek (algemene waarden: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | tekenreeks | het domeinkenmerk ms-DS-MachineAccountQuota is gewijzigd. Numerieke waarde. |
| MachineInventory | tekenreeks | Informatie over de hardwareconfiguratie en softwareomgeving van de computer waarop de gebeurtenis wordt gegenereerd. Het kan verschillende gegevenspunten bevatten, bijvoorbeeld: het merk en model van de computer, de hoeveelheid RAM- of opslagruimte die beschikbaar is, de versienummers van verschillende softwaretoepassingen, enzovoort). |
| MachineLogon | tekenreeks | Informatie over een geslaagde aanmeldingsbeurtenis op de computer. |
| ManagementGroupName | tekenreeks | Aanvullende informatie op basis van het resourcetype. |
| MandatoryLabel | tekenreeks | Id van integriteitslabel dat is toegewezen aan het nieuwe proces. |
| MaxPasswordAge | tekenreeks | De periode (in dagen) dat een wachtwoord kan worden gebruikt voordat het systeem vereist dat de gebruiker dit wijzigt. |
| MemberName | tekenreeks | Het gebruikersaccount dat betrokken was bij de gebeurtenis. |
| MemberSid | tekenreeks | De beveiligings-id (SID) die is gekoppeld aan het gebruikersaccount dat betrokken was bij de gebeurtenis. |
| MinPasswordAge | tekenreeks | De periode (in dagen) dat een wachtwoord moet worden gebruikt voordat de gebruiker het wachtwoord moet wijzigen. |
| MinPasswordLength | tekenreeks | Het minste aantal tekens waaruit een wachtwoord voor een gebruikersaccount kan bestaan. |
| MixedDomainMode | tekenreeks | De domeinmodus van een systeem of domeincontroller. |
| NASIdentifier | tekenreeks | De id van de netwerktoegangsserver (NAS) die betrokken was bij de gebeurtenis. |
| NASIPv4Address | tekenreeks | Het IPv4Address van de netwerktoegangsserver (NAS) die betrokken was bij de gebeurtenis, indien van toepassing. |
| NASIPv6Address | tekenreeks | Het IPv6Address van de netwerktoegangsserver (NAS) die betrokken was bij de gebeurtenis, indien van toepassing. |
| NASPort | tekenreeks | de poort op de netwerktoegangsserver die in de gebeurtenis is gebruikt. |
| NASPortType | tekenreeks | het type netwerktoegangsserver (NAS) dat in de gebeurtenis wordt gebruikt. |
| NetworkPolicyName | tekenreeks | De naam van het netwerkbeleid dat is gekoppeld aan de gebeurtenis. |
| NewDate | tekenreeks | Nieuwe datum in UTC-tijdzone. De notatie is JJJJ-MM-DD. |
| NewMaxUsers | tekenreeks | Het nieuwe maximum aantal gebruikers dat is toegestaan voor een resource in de gebeurtenis. |
| NewProcessId | tekenreeks | Hexadecimale proces-id van het nieuwe proces. Proces-id (PID) is een getal dat door het besturingssysteem wordt gebruikt om een actief proces uniek te identificeren. |
| NewProcessName | tekenreeks | Volledig pad en de naam van het uitvoerbare bestand voor het nieuwe proces. |
| NewRemark | tekenreeks | De nieuwe waarde van het veld Opmerkingen van de netwerkshare. Heeft de waarde N/B als deze niet is ingesteld. |
| NewShareFlags | tekenreeks | De sharevlagken die zijn gekoppeld aan een resource in de gebeurtenis, bijvoorbeeld: informatie over of de resource alleen-lezen of lezen/schrijven is, of deze verborgen is en andere parameters die van invloed kunnen zijn op de toegang en machtigingen. |
| NewTime | tekenreeks | Nieuwe tijd die is ingesteld in de UTC-tijdzone. De notatie is JJJJ-MM-DDThh:mm:ss.nnnnnnnNZ |
| NewUacValue | tekenreeks | Hiermee geeft u vlaggen op waarmee het wachtwoord, de vergrendeling, het uitschakelen/inschakelen, het script en ander gedrag voor het gebruikersaccount worden bepaald. |
| NewValue | tekenreeks | Nieuwe waarde voor gewijzigde registersleutelwaarde. |
| NewValueType | tekenreeks | Nieuw type gewijzigde registersleutelwaarde. |
| ObjectName | tekenreeks | Naam en andere identificatiegegevens voor het object waarvoor toegang is aangevraagd. Voor een bestand wordt het pad bijvoorbeeld opgenomen. |
| ObjectServer | tekenreeks | Bevat de naam van het Windows-subsysteem dat de routine aanroept. |
| ObjectType | tekenreeks | Het type object dat tijdens de bewerking is geopend. |
| ObjectValueName | tekenreeks | De naam van de gewijzigde registersleutelwaarde. |
| OemInformation | tekenreeks | De oorspronkelijke apparatuurfabrikant (OEM) die is gekoppeld aan een apparaat of systeem in het geval. |
| OldMaxUsers | tekenreeks | Het vorige maximum aantal gebruikers dat is toegestaan voor een resource in de gebeurtenis. |
| OldRemark | tekenreeks | de oude waarde van netwerkshare 'Opmerkingen:'. Heeft de waarde N/B als deze niet is ingesteld. |
| OldShareFlags | tekenreeks | De vorige sharevlagken die zijn gekoppeld aan een resource in de gebeurtenis, bijvoorbeeld: informatie over of de resource alleen-lezen of lezen/schrijven is, of deze verborgen is en andere parameters die van invloed kunnen zijn op toegang en machtigingen. |
| OldUacValue | tekenreeks | Hiermee geeft u vlaggen op waarmee het wachtwoord, de vergrendeling, het uitschakelen/inschakelen, het script en ander gedrag voor het gebruikersaccount worden bepaald. Deze parameter bevat de vorige waarde van het kenmerk userAccountControl van het gebruikersobject. |
| OldValue | tekenreeks | Oude waarde voor gewijzigde registersleutelwaarde. |
| OldValueType | tekenreeks | Oud type gewijzigde registersleutelwaarde. |
| Opcode | tekenreeks | Het element opcode wordt gedefinieerd door het complexe type SystemPropertiesType. |
| OperationType | tekenreeks | Het type bewerking dat is uitgevoerd op een object |
| Pakketnaam | tekenreeks | De naam van het LAN Manager-subpakket (NTLM-family protocolnaam) dat is gebruikt tijdens het aanmelden. |
| ParentProcessName | tekenreeks | De naam van het bovenliggende proces dat is gekoppeld aan de gebeurtenis. |
| PasswordHistoryLength | tekenreeks | \Beveiligingsinstellingen\Accountbeleid\Wachtwoordbeleid\Wachtwoordgeschiedenis afdwingen" groepsbeleid. Numerieke waarde. |
| PasswordLastSet | tekenreeks | De laatste keer dat het wachtwoord van het account is gewijzigd. |
| PasswordProperties | tekenreeks | Het wachtwoordbeleid of de eigenschappen die aan de gebeurtenis zijn gekoppeld, bijvoorbeeld: wachtwoordlengte, complexiteit en vervaldatum. |
| PreviousDate | tekenreeks | De vorige datum die aan de gebeurtenis is gekoppeld. |
| PreviousTime | tekenreeks | Vorige tijd in UTC-tijdzone. De notatie is JJJJ-MM-DDThh:mm:ss.nnnnnnNZ. |
| PrimaryGroupId | tekenreeks | Relatieve id (RID) van de primaire groep van het object van de gebruiker. |
| PrivateKeyUsageCount | tekenreeks | Het aantal keren dat een persoonlijke sleutel is gebruikt. |
| PrivilegeList | tekenreeks | De bevoegdheden, inclusief gebruikers-, groeps- of systeembevoegdheden die aan de gebeurtenis zijn gekoppeld. |
| Proces | tekenreeks | De naam van het proces waarmee de gebeurtenis wordt gegenereerd. |
| ProcessId | tekenreeks | Identificeert het proces dat de gebeurtenis heeft gegenereerd. |
| ProcessName | tekenreeks | Volledig pad en de naam van het uitvoerbare bestand voor het proces. |
| ProfilePath | tekenreeks | Hiermee geeft u een pad naar het profiel van het account. Deze waarde kan een null-tekenreeks, een lokaal absoluut pad of een UNC-pad zijn. |
| Eigenschappen | tekenreeks | Afhankelijk van objecttype. Dit veld kan leeg zijn of de lijst met de objecteigenschappen bevatten die zijn geopend. |
| ProtocolSequence | tekenreeks | Informatie over het protocol dat wordt gebruikt voor een verificatiepoging. |
| ProxyPolicyName | tekenreeks | Naam van het beleid dat is gebruikt voor het configureren van de proxyserver voor het maken van verbinding met het netwerk. |
| QuarantineHelpURL | tekenreeks | URL die hulp biedt bij het oplossen van een probleem met netwerkquarantaine. |
| QuarantineSessionID | tekenreeks | Id van de sessie waarin het bestand is beoordeeld op quarantaine. |
| QuarantineSessionIdentifier | tekenreeks | Id van de sessie waarin het bestand is beoordeeld op quarantaine. |
| QuarantineState | tekenreeks | Er wordt aangegeven of het bestand in quarantaine is geplaatst. |
| QuarantineSystemHealthResult | tekenreeks | Rapport met de status van de bestanden die in quarantaine zijn geplaatst. |
| RelativeTargetName | tekenreeks | Relatieve naam van het geopende doelbestand of de map. Dit bestandspad is relatief ten opzichte van de netwerkshare. Als er toegang is aangevraagd voor de share zelf, wordt dit veld weergegeven als ''. |
| RemoteIpAddress | tekenreeks | Het IP-adres van de computer die een externe verbinding heeft gestart. |
| RemotePort | tekenreeks | Het poortnummer van de externe computer waarmee een verbinding is gestart. |
| Aanvrager | tekenreeks | De id van de gebeurtenisaanvraag. |
| RequestId | tekenreeks | Een unieke id die is gekoppeld aan bepaalde aanvragen, zoals de aanvragen die via HTTP zijn gemaakt. |
| _ResourceId | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
| RestrictedAdminMode | tekenreeks | Alleen ingevuld voor remoteInteractive-aanmeldingssessies. Dit is een Ja/Nee-vlag die aangeeft of de opgegeven referenties zijn doorgegeven met de modus Beperkte beheerder. De modus Beperkte beheerder is toegevoegd in Win8.1/2012R2, maar deze vlag is toegevoegd aan de gebeurtenis in Win10. |
| RowsDeleted | tekenreeks | Het aantal rijen dat is verwijderd als onderdeel van een bepaalde bewerking. |
| SamAccountName | tekenreeks | aanmeldingsnaam voor account dat wordt gebruikt ter ondersteuning van clients en servers uit eerdere versies van Windows (pre-Windows 2000-aanmeldingsnaam). |
| ScriptPath | tekenreeks | Hiermee geeft u het pad van het aanmeldingsscript van het account. |
| SecurityDescriptor | tekenreeks | Informatie over de beveiligingsinstellingen en machtigingen van een bepaald object of een bepaalde resource. |
| ServiceAccount | tekenreeks | De beveiligingscontext die door de service wordt uitgevoerd als wanneer deze wordt gestart. |
| ServiceFileName | tekenreeks | Geeft het type service aan dat is geregistreerd bij Service Control Manager. |
| ServiceName | tekenreeks | De naam van de geïnstalleerde service. |
| ServiceStartType | int | Bevat informatie over hoe een bepaalde service moet worden gestart, of deze automatisch of handmatig moet worden gestart. |
| ServiceType | tekenreeks | Geeft het type service aan dat is geregistreerd bij Service Control Manager. |
| SessionName | tekenreeks | De naam van de sessie waarmee de gebruiker opnieuw verbinding heeft gemaakt. |
| ShareLocalPath | tekenreeks | Het lokale pad van de geopende netwerkshare. |
| ShareName | tekenreeks | De naam van de geopende netwerkshare. De notatie is: \*\SHARE_NAME. |
| SidHistory | tekenreeks | Bevat eerdere SID's die voor het object worden gebruikt als het object is verplaatst van een ander domein. |
| SourceComputerId | tekenreeks | Unieke id die is toegewezen aan elke computer in een Windows-domein. |
| SourceSystem | tekenreeks | Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinding maken of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| Status | tekenreeks | De reden waarom aanmelden is mislukt. Voor deze gebeurtenis heeft deze doorgaans de waarde '0xC0000234'. De meest voorkomende statuscodes worden vermeld in tabel 12. Windows-aanmeldingsstatuscodes. |
| StorageAccount | tekenreeks | Hiermee stelt u de toegangssleutel voor het opslagaccount in. |
| SubcategorieGuid | tekenreeks | De unieke GUID van gewijzigde subcategorie. |
| Subcategorie-id | tekenreeks | Een unieke id voor een specifiek type gebeurtenis. |
| Onderwerp | tekenreeks | Informatie over de beveiligingsprincipaal (bijvoorbeeld: gebruikersaccount) waarmee de gebeurtenis is gestart. |
| SubjectAccount | tekenreeks | Informatie over het account dat de gebeurtenis initieert. |
| SubjectDomainName | tekenreeks | Informatie over het domein of de werkgroep waartoe het onderwerpaccount behoort. |
| SubjectKeyIdentifier | tekenreeks | Een unieke id voor een bepaald certificaatonderwerp. |
| SubjectLogonId | tekenreeks | Een unieke id voor de aanmeldingssessie die is gekoppeld aan het onderwerpaccount. |
| SubjectMachineName | tekenreeks | Informatie over de computer of het systeem waarop de gebeurtenis is gemaakt. |
| SubjectMachineSID | tekenreeks | De beveiligings-id (SID) voor de computer die de gebeurtenis heeft gegenereerd. |
| SubjectUserName | tekenreeks | De naam van het gebruikersaccount dat de gebeurtenis heeft gegenereerd. |
| SubjectUserSid | tekenreeks | De beveiligings-id (SID) voor het gebruikersaccount dat de gebeurtenis heeft gegenereerd. |
| _SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
| SubStatus | tekenreeks | Aanvullende informatie over aanmeldingsfouten. De meest voorkomende substatuscodes die worden vermeld in de tabel 12. Windows-aanmeldingsstatuscodes'. |
| SystemProcessId | int | Identificeert het proces dat de gebeurtenis heeft gegenereerd. |
| SystemThreadId | int | Identificeert de thread die de gebeurtenis heeft gegenereerd. |
| SystemUserId | tekenreeks | De id van de gebruiker die verantwoordelijk is voor de gebeurtenis. |
| TableId | tekenreeks | De specifieke gegevenstabel-id waarin de gebeurtenisgegevens worden opgeslagen. |
| TargetAccount | tekenreeks | Het account waarop de gebeurtenis is gericht (gebruikersnaam, computernaam, enzovoort). |
| TargetDomainName | tekenreeks | De naam van het domein waartoe het doelaccount behoort. |
| TargetInfo | tekenreeks | Aanvullende informatie over het gebeurtenisdoel (bijvoorbeeld het pad naar een bestand of map, de naam van een registersleutel, enzovoort). |
| TargetLinkedLogonId | tekenreeks | Informatie die helpt bij het koppelen van gerelateerde gebeurtenissen aan elkaar door hun aanmeldingspoging-id's. Het kan handig zijn om alle relevante gebeurtenissen georganiseerd te houden, activiteiten bij te houden in meerdere sessies en de aanvalsbron te identificeren. |
| TargetLogonGuid | tekenreeks | Een GUID (Globally Unique Identifier) die is gekoppeld aan de aanmeldingssessie die is gerelateerd aan de gebeurtenis. |
| TargetLogonId | tekenreeks | Een unieke id die is gekoppeld aan de aanmeldingssessie die is gerelateerd aan de gebeurtenis. |
| TargetOutboundDomainName | tekenreeks | Het domein waarvoor het account dat is opgegeven in het veld TargetAccount, is geverifieerd tijdens een uitgaande verificatiepoging. |
| TargetOutboundUserName | tekenreeks | De naam van het gebruikersaccount dat is geverifieerd tijdens een uitgaande verificatiepoging. |
| TargetServerName | tekenreeks | De naam van de server waarop het nieuwe proces is uitgevoerd. Heeft 'localhost' waarde als het proces lokaal is uitgevoerd. |
| TargetSid | tekenreeks | De beveiligings-id (SID) van de server waarop het nieuwe proces is uitgevoerd. |
| TargetUser | tekenreeks | De gebruikersaccount-id die het nieuwe proces heeft gegenereerd. |
| TargetUserName | tekenreeks | De naam van het gebruikersaccount dat het nieuwe proces heeft gegenereerd. |
| TargetUserSid | tekenreeks | De beveiligings-id (SID) die is gekoppeld aan de gebruiker of resource die betrokken is bij de gebeurtenis. |
| Opdracht | int | De taak die in de gebeurtenis is gedefinieerd. |
| TemplateContent | tekenreeks | De inhoud van het gebeurtenisbericht of de melding in een gestructureerd formulier. |
| TemplateDSObjectFQDN | tekenreeks | FQDN van het DS-object dat de GPO-sjabloon vertegenwoordigt. |
| TemplateInternalName | tekenreeks | De interne naam van de groepsbeleidsobjectsjabloon. |
| TemplateOID | tekenreeks | de unieke id voor de sjabloon die is gebruikt om de gebeurtenis te maken. |
| TemplateSchemaVersion | tekenreeks | Versie van het sjabloonschema waarmee de gegevens worden gedefinieerd die moeten worden opgenomen met een gebeurtenis. |
| TemplateVersion | tekenreeks | Versie van de sjabloon waarmee de gegevens worden gedefinieerd die moeten worden opgenomen met een gebeurtenis. |
| TenantId | tekenreeks | De Log Analytics-werkruimte-id |
| TimeGenerated | datetime | Het tijdstempel waarop de gebeurtenis is gegenereerd op de computer. |
| TokenElevationType | tekenreeks | Het type token dat is toegewezen aan een nieuw proces in overeenstemming met het gebruikersaccountbeheerbeleid. |
| TransmittedServices | tekenreeks | De lijst met verzonden services. Verzonden services worden ingevuld als de aanmelding het resultaat is van een aanmeldingsproces voor S4U (Service for User). S4U is een Microsoft-extensie voor het Kerberos-protocol, zodat een toepassingsservice namens een gebruiker een Kerberos-serviceticket kan verkrijgen. Dit wordt meestal gedaan door een front-endwebsite om namens een gebruiker toegang te krijgen tot een interne resource. Zie voor meer informatie over S4U https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | tekenreeks | De naam van de tabel |
| UserAccountControl | tekenreeks | Toont de lijst met wijzigingen in het kenmerk userAccountControl. U ziet een tekstregel voor elke wijziging. |
| UserParameters | tekenreeks | Als u een instelling wijzigt met behulp van Active Directory beheerconsole op het tabblad Inbellen van de accounteigenschappen van de gebruiker, ziet <u de waarde gewijzigd, maar niet weergegeven> in dit veld. Voor lokale accounts is dit veld niet van toepassing en heeft <altijd geen waarde ingesteld> . |
| UserPrincipalName | tekenreeks | Aanmeldingsnaam in internetstijl voor het account, op basis van de internetstandaard RFC 822. Dit moet standaard worden toegewezen aan de e-mailnaam van het account. |
| UserWorkstations | tekenreeks | Bevat de lijst met NetBIOS- of DNS-namen van de computers waaruit de gebruiker zich kan aanmelden. Elke computernaam wordt gescheiden door een komma. De naam van een computer is de eigenschap sAMAccountName van een computerobject. |
| VendorIds | tekenreeks | Het kenmerk Hardware-id's van het apparaat. Als u apparaateigenschappen wilt bekijken, start u Apparaatbeheer, opent u specifieke apparaateigenschappen en klikt u op Details. |
| Versie | int | Bevat het versienummer van de definitie van de gebeurtenis. |
| VirtualAccount | tekenreeks | Een vlag 'Ja' of 'Nee', die aangeeft of het account een virtueel account is (bijvoorbeeld Managed Service Account), dat is geïntroduceerd in Windows 7 en Windows Server 2008 R2 om het account te identificeren dat een bepaalde service gebruikt, in plaats van alleen netwerkservice te gebruiken. |
| Werkstation | tekenreeks | De naam van de computer die is gebruikt om de gebeurtenis uit te voeren. |
| WorkstationName | tekenreeks | Computernaam waaruit een aanmeldingspoging is uitgevoerd. |