SecurityEvent
Zdarzenia zabezpieczeń zebrane z maszyn z systemem Windows przez usługę Azure Security Center lub Azure Sentinel.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zabezpieczenia, ZabezpieczeniaInsights |
| Dziennik podstawowy | Nie. |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Type | Opis |
|---|---|---|
| Maska dostępu | string | Maska szesnastkowa dla żądanej lub wykonanej operacji. |
| Klient | string | Kontekst zabezpieczeń dla usług lub użytkowników. |
| AccountDomain | string | Nazwa domeny lub komputera podmiotu. |
| AccountExpires | string | Data wygaśnięcia konta. |
| AccountName | string | Nazwa konta, które zażądało operacji "usuń zaufanie domeny". |
| AccountSessionIdentifier | string | Unikatowy identyfikator generowany przez maszynę podczas tworzenia sesji. |
| Typ konta | string | Określa, czy konto jest kontem komputera (maszyną) czy użytkownikiem. |
| Działanie | string | Wystąpił opisowy tytuł zdarzenia. |
| AdditionalInfo | string | Dodatkowe informacje dostarczane przez źródło, które nie są mapowane na inne pola, reprezentowane przez listę. |
| AdditionalInfo2 | string | Dodatkowe informacje dostarczane przez źródło, które nie są mapowane na inne pola, reprezentowane przez listę. |
| AllowedToDelegateTo | string | Lista nazw SPN, do których to konto może przedstawiać delegowane poświadczenia. |
| Atrybuty | string | Dodatkowe informacje o zdarzeniu. |
| AuditPolicyChanges | string | Zdarzenia generowane po wprowadzeniu zmian w zasadach inspekcji systemu lub ustawieniach inspekcji w pliku lub kluczu rejestru. |
| AuditDiscarded | int | Liczba odrzuconych komunikatów inspekcji. |
| AuthenticationLevel | int | Liczba odrzuconych komunikatów inspekcji. |
| AuthenticationPackageName | string | nazwa załadowanego pakietu uwierzytelniania. Format to: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| Dostawca uwierzytelniania | string | Tożsamość dostawcy odpowiedzialnego za proces uwierzytelniania (może obejmować urząd certyfikacji, nazwę użytkownika, system uwierzytelniania haseł itp.). |
| AuthenticationServer | string | Serwer, na którym znajduje się dostawca uwierzytelniania. |
| AuthenticationService | int | Usługa, w której znajduje się dostawca uwierzytelniania. |
| Typ uwierzytelniania | string | typ uwierzytelniania używanego na potrzeby zdarzenia (uwierzytelnianie dwuskładnikowe, uwierzytelnianie biometryczne itp.). |
| AzureDeploymentID | string | Identyfikator wdrożenia platformy Azure usługi w chmurze, do którego należy dziennik. |
| _BilledSize | rzeczywiste | Rozmiar rekordu w bajtach |
| CACertificateHash | string | Wartość skrótu certyfikatu urzędu certyfikacji, który został użyty do uwierzytelnienia użytkownika, który wykonał zdarzenie. |
| Identyfikator o nazwieStationID | string | Informacje o identyfikatorze stacji, która zainicjowała akcję, która doprowadziła do zdarzenia zabezpieczeń. |
| CallerProcessId | string | Szesnastkowy identyfikator procesu, który próbował zalogować się. Identyfikator procesu (PID) to liczba używana przez system operacyjny do unikatowego identyfikowania aktywnego procesu. |
| CallerProcessName | string | Pełna ścieżka i nazwa pliku wykonywalnego dla procesu. |
| Identyfikator callingStationID | string | Informacje o identyfikatorze stacji, która zainicjowała akcję, która doprowadziła do zdarzenia zabezpieczeń. |
| CAPublicKeyHash | string | Wartość skrótu identyfikującą klucz publiczny urzędu certyfikacji wystawionego certyfikatu. |
| CategoryId | string | Kategoria zdarzenia zabezpieczeń, które wystąpiło (próba logowania, naruszenie danych itp.). |
| CertificateDatabaseHash | string | Wartość skrótu identyfikującą bazę danych, która wystawiła certyfikat. |
| Kanał | string | Kanał, do którego zarejestrowano zdarzenie. |
| Identyfikator klasy | string | Atrybut "Class Guid" urządzenia. |
| ClassName | string | Atrybut "Class" urządzenia. |
| ClientAddress | string | Adres IP komputera, z którego odebrano żądanie TGT. |
| ClientIPAddress | string | Adres IP komputera, który zainicjował akcję, która doprowadziła do zdarzenia. |
| Nazwa klienta | string | nazwa komputera, z którego użytkownik został ponownie połączony. Ma wartość "Unknown" dla sesji konsoli. |
| CommandLine | string | Argumenty wiersza polecenia, które zostały przekazane do aplikacji lub procesu, który był zaangażowany w zdarzenie. |
| Identyfikatory zgodne | string | Atrybut "Zgodne identyfikatory" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły": |
| Komputer | string | Nazwa komputera, na którym wystąpiło zdarzenie. |
| Korelacja | string | Identyfikatory działań, których użytkownicy mogą używać do grupowania powiązanych zdarzeń. |
| DCDNSName | string | Nazwa DNS kontrolera domeny, który był zaangażowany w zdarzenie. |
| DeviceDescription | string | opis urządzenia, które brało udział w zdarzeniu. |
| DeviceId | string | Unikatowy identyfikator urządzenia, który był zaangażowany w zdarzenie. |
| DisplayName | string | Jest to nazwa wyświetlana w książce adresowej dla określonego konta. Zazwyczaj jest to kombinacja imienia i nazwiska użytkownika, drugiego imienia i nazwiska użytkownika. |
| Disposition | string | Wynik zdarzenia/rozwiązanie, na przykład to, czy zdarzenie zostało rozwiązane, czy jakiekolwiek działanie zostało podjęte w odpowiedzi na zdarzenie. |
| DomainBehaviorVersion | string | atrybut domeny msDS-Behavior-Version został zmodyfikowany. Wartość liczbowa. |
| DomainName | string | Nazwa usuniętej zaufanej domeny. |
| DomainPolicyChanged | string | Wskazuje, czy jakiekolwiek zasady domeny zostały zmienione w ramach zdarzenia (zasady haseł, zasady zabezpieczeń itp.). |
| DomainSid | string | Identyfikator SID partnera zaufania. Ten parametr może nie zostać przechwycony w zdarzeniu, a w takim przypadku jest wyświetlany jako identyfikator SID o wartości NULL. |
| Typ protokołu EAP | string | Typ protokołu EAP (Extensible Authentication Protocol), który był używany do procesu uwierzytelniania zdarzeń. |
| ElevatedToken | string | Flaga "Tak" lub "Nie". Jeśli wartość "Tak", sesja, która reprezentuje to zdarzenie, jest podwyższona i ma uprawnienia administratora. |
| ErrorCode | int | Zawiera kod błędu dla zdarzeń niepowodzenia. W przypadku zdarzeń powodzenia ten parametr ma wartość "0x0". |
| EventData | string | Dane specyficzne dla zdarzenia. |
| EventID | int | Identyfikator używany przez dostawcę do identyfikowania zdarzenia. |
| EventLevelName | string | Renderowany ciąg komunikatu na poziomie określonym w zdarzeniu. |
| EventRecordId | string | Numer rekordu przypisany do zdarzenia, gdy został zarejestrowany. |
| Nazwa_źródła_zdarzenia | string | Nazwa oprogramowania, które rejestruje zdarzenie (applicationor sukcomponent). |
| ExtendedQuarantineState | string | Stan procesu kwarantanny sieci, jeśli ma to zastosowanie. Kwarantanna sieci to proces, przez który nieautoryzowane urządzenia nie mogą uzyskiwać dostępu do sieci, dopóki nie spełniają określonych wymagań dotyczących zabezpieczeń lub zostały sprawdzone pod kątem złośliwego oprogramowania. |
| FailureReason | string | tekstowe wyjaśnienie wartości pola Stan. W przypadku tego zdarzenia zazwyczaj ma wartość "Konto zablokowane". |
| Skrót pliku | string | Wartość skrótu dla wszystkich plików, do których uzyskiwano dostęp lub które zostały zmodyfikowane w ramach zdarzenia, lub wszystkich plików, które były używane w procesie uwierzytelniania lub autoryzacji. |
| FilePath | string | Pełna ścieżka i nazwa pliku klucza, na którym wykonano operację. |
| FilePathNoUser | string | Ścieżka wszystkich plików powiązanych ze zdarzeniem, z wyłączeniem nazwy użytkownika lub innych informacji specyficznych dla użytkownika. |
| Filtr | string | Filtry używane w wykonanym zdarzeniu. |
| ForceLogoff | string | "\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: Wymuś wylogowanie po wygaśnięciu godzin logowania" zasad grupy. |
| Fqbn | string | W pełni kwalifikowana nazwa binarna (FQBN) dla wszystkich plików powiązanych ze zdarzeniem. |
| FullyQualifiedSubjectMachineName | string | W pełni kwalifikowana nazwa domeny (FQDN) maszyny, która zainicjowała zdarzenie. |
| FullyQualifiedSubjectUserName | string | Nazwa użytkownika lub usługi, która zainicjowała zdarzenie w formacie FQDN. |
| GroupMembership | string | Lista identyfikatorów SID grup, do których należy zarejestrowane konto (członek). Podgląd zdarzeń automatycznie próbuje rozpoznać identyfikatory SID i wyświetlić nazwę konta. Jeśli nie można rozpoznać identyfikatora SID, w zdarzeniu będą widoczne dane źródłowe. |
| HandleId | string | Wartość szesnastkowa uchwytu do nazwy obiektu. To pole może służyć do korelacji z innymi zdarzeniami. |
| Identyfikatory sprzętu | string | Atrybut "Identyfikatory sprzętu" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły": |
| HomeDirectory | string | Katalog główny użytkownika. Jeśli atrybut homeDrive jest ustawiony i określa literę dysku, homeDirectory powinien być ścieżką UNC. Ścieżka musi być siecią UNC formularza \Server\Share\Directory. |
| HomePath | string | Ścieżka główna użytkownika. Ścieżka musi być siecią UNC formularza \Server\Share\Directory. |
| InterfaceUuid | string | Unikatowy identyfikator (UUID) dla interfejsu sieciowego, który był używany dla zdarzenia. |
| Adresy IP | string | adres sieciowy (zazwyczaj IPv4 lub IPv6) skojarzony ze zdarzeniem. |
| IpPort | string | Numer portu sieciowego skojarzony ze zdarzeniem. |
| _IsBillable | string | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| Długość klucza | int | Długość klucza zabezpieczeń sesji NTLM. Zazwyczaj ma długość 128 bitów lub 56 bitów. |
| Słowa kluczowe | string | Maska bitowa słów kluczowych zdefiniowanych w zdarzeniu. |
| Poziom | string | System Windows kategoryzuje każde zdarzenie z poziomem ważności. Poziomy w kolejności ważności to informacje, pełne, ostrzeżenie, błąd i krytyczne w liczbach. |
| LmPackageName | string | Nazwa pakietu lub składnika oprogramowania, który obecnie używa lokalnego urzędu zabezpieczeń (LSA) na maszynie, na której jest generowane zdarzenie. |
| LocationInformation | string | Atrybut "Informacje o lokalizacji" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły": |
| BlokadaDuration | string | Zasady grupy "\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Czas trwania blokady konta". Wartość liczbowa. |
| LockoutObservationWindow | string | "\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Resetuj licznik blokady konta po" zasady grupy. Wartość liczbowa. |
| LockoutThreshold | string | Zasady grupy "\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Próg blokady konta". Wartość liczbowa. |
| RejestrowanieWybieranie | string | Wynik procesu logowania. |
| LogonGuid | string | Identyfikator GUID, który może pomóc skorelować to zdarzenie z innym zdarzeniem, które może zawierać ten sam identyfikator GUID logowania. |
| LogowaniaHours | string | Godziny, przez które konto może zalogować się do domeny. |
| Identyfikator logowania | string | Wartość szesnastkowa, która może pomóc skorelować to zdarzenie z ostatnimi zdarzeniami, które mogą zawierać ten sam identyfikator logowania. |
| LogonProcessName | string | Nazwa zarejestrowanego procesu logowania. |
| Typ logowania | int | Typ logowania, który został wykonany. |
| LogonTypeName | string | Typ zdarzenia logowania lub uwierzytelniania przechwytywane przez dziennik zdarzeń (typowe wartości: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | ms-DS-MachineAccountQuota atrybut domeny został zmodyfikowany. Wartość liczbowa. |
| MachineInventory | string | Informacje o konfiguracji sprzętu i środowisku oprogramowania komputera, na którym jest generowane zdarzenie. Może zawierać różne punkty danych, na przykład: make i model komputera, ilość dostępnej pamięci RAM lub miejsca do magazynowania, numery wersji różnych aplikacji oprogramowania itp. |
| MachineLogon | string | Informacje o pomyślnym zdarzeniu logowania na maszynie. |
| ManagementGroupName | string | Dodatkowe informacje na podstawie typu zasobu. |
| Obowiązkowy etykieta | string | Identyfikator etykiety integralności, która została przypisana do nowego procesu. |
| MaxPasswordAge | string | Okres (w dniach), przez który można użyć hasła, zanim system będzie musiał go zmienić. |
| Nazwa elementu członkowskiego | string | Konto użytkownika, które brało udział w zdarzeniu. |
| Identyfikator elementu członkowskiego | string | Identyfikator zabezpieczeń (SID) skojarzony z kontem użytkownika, które brało udział w zdarzeniu. |
| MinPasswordAge | string | Okres (w dniach), który należy użyć hasła, zanim system wymaga, aby użytkownik go zmienił. |
| MinPasswordLength | string | Najmniejsza liczba znaków, które mogą składać się na hasło dla konta użytkownika. |
| MixedDomainMode | string | Tryb domeny systemu lub kontrolera domeny. |
| NASIdentifier | string | Identyfikator serwera dostępu do sieci (NAS), który był zaangażowany w zdarzenie. |
| NASIPv4Address | string | Adres IPv4 serwera dostępu do sieci (NAS), który był zaangażowany w zdarzenie, jeśli ma to zastosowanie. |
| NASIPv6Address | string | Adres IPv6 serwera dostępu do sieci (NAS), który był zaangażowany w zdarzenie, jeśli ma to zastosowanie. |
| NASPort | string | port na serwerze dostępu do sieci, który został użyty w zdarzeniu. |
| TYP NASPortType | string | typ serwera dostępu do sieci (NAS) używany w zdarzeniu. |
| NetworkPolicyName | string | Nazwa zasad sieci skojarzonych ze zdarzeniem. |
| Nowadada | string | Nowa data w strefie czasowej UTC. Format to RRRR-MM-DD. |
| NewMaxUsers | string | Nowa maksymalna liczba użytkowników dozwolona dla zasobu w przypadku. |
| NewProcessId | string | Szesnastkowy identyfikator procesu nowego procesu. Identyfikator procesu (PID) to liczba używana przez system operacyjny do unikatowego identyfikowania aktywnego procesu. |
| NewProcessName | string | Pełna ścieżka i nazwa pliku wykonywalnego dla nowego procesu. |
| NewRemark | string | Nowa wartość pola "Komentarze:" udziału sieciowego. Ma wartość "N/A", jeśli nie jest ustawiona. |
| NewShareFlags | string | Flagi udziału skojarzone z zasobem w zdarzeniu, na przykład: informacje o tym, czy zasób jest tylko do odczytu, czy do odczytu/zapisu, czy jest ukryty, oraz inne parametry, które mogą mieć wpływ na dostęp i uprawnienia. |
| NewTime | string | Nowa godzina ustawiona w strefie czasowej UTC. Format to RRRR-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Określa flagi, które kontrolują hasło, blokadę, wyłączanie/włączanie, skrypt i inne zachowanie dla konta użytkownika. |
| NewValue | string | Nowa wartość zmienionej wartości klucza rejestru. |
| NewValueType | string | Nowy typ zmienionej wartości klucza rejestru. |
| Nazwa obiektu | string | Nazwa i inne informacje identyfikujące obiekt, dla którego zażądano dostępu. Na przykład w przypadku pliku ścieżka zostanie dołączona. |
| ObjectServer | string | Zawiera nazwę podsystemu Windows wywołującego procedurę. |
| ObjectType | string | Typ obiektu, do którego uzyskiwano dostęp podczas operacji. |
| ObjectValueName | string | Nazwa zmodyfikowanego klucza rejestru. |
| OemInformation | string | Producent oryginalnego sprzętu (OEM) skojarzony z urządzeniem lub systemem w przypadku. |
| OldMaxUsers | string | Poprzednia maksymalna liczba użytkowników dozwolona dla zasobu w zdarzeniu. |
| OldRemark | string | stara wartość pola "Komentarze:" udziału sieciowego. Ma wartość "N/A", jeśli nie jest ustawiona. |
| OldShareFlags | string | Poprzednie flagi udziału skojarzone z zasobem w zdarzeniu, na przykład: informacje o tym, czy zasób jest tylko do odczytu, czy do odczytu/zapisu, czy jest ukryty, oraz inne parametry, które mogą mieć wpływ na dostęp i uprawnienia. |
| OldUacValue | string | Określa flagi, które kontrolują hasło, blokadę, wyłączanie/włączanie, skrypt i inne zachowanie dla konta użytkownika. Ten parametr zawiera poprzednią wartość atrybutu userAccountControl obiektu użytkownika. |
| OldValue | string | Stara wartość zmienionego klucza rejestru. |
| OldValueType | string | Stary typ zmienionej wartości klucza rejestru. |
| Opcode | string | Element opcode jest definiowany przez typ złożony SystemPropertiesType. |
| OperationType | string | Typ operacji, która została wykonana na obiekcie |
| Nazwa_pakietu | string | Nazwa podpakiet programu LAN Manager (nazwa protokołu NTLM rodziny), który był używany podczas logowania. |
| ParentProcessName | string | Nazwa procesu nadrzędnego skojarzonego ze zdarzeniem. |
| PasswordHistoryLength | string | \Security Settings\Account Policies\Password Policy\Enforce password history" zasad grupy. Wartość liczbowa. |
| PasswordLastSet | string | Ostatni raz hasło konta zostało zmodyfikowane. |
| PasswordProperties | string | Zasady haseł lub właściwości skojarzone ze zdarzeniem, na przykład: długość hasła, złożoność i data wygaśnięcia. |
| PoprzedniaDate | string | Poprzednia data skojarzona ze zdarzeniem. |
| Poprzedni czas | string | Poprzedni czas w strefie czasowej UTC. Format to RRRR-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | Identyfikator względny (RID) grupy podstawowej obiektu użytkownika. |
| PrivateKeyUsageCount | string | Liczba przypadków użycia klucza prywatnego. |
| Lista uprawnień | string | Uprawnienia, w tym użytkownik, grupa lub uprawnienia systemowe skojarzone ze zdarzeniem. |
| Przetwarzaj | string | Nazwa procesu, który generuje zdarzenie. |
| ProcessId | string | Identyfikuje proces, który wygenerował zdarzenie. |
| ProcessName | string | Pełna ścieżka i nazwa pliku wykonywalnego dla procesu. |
| ProfilePath | string | Określa ścieżkę do profilu konta. Ta wartość może być ciągiem o wartości null, lokalną ścieżką bezwzględną lub ścieżką UNC. |
| Właściwości | string | Zależy od typu obiektu. To pole może być puste lub zawierać listę właściwości obiektu, do których uzyskiwano dostęp. |
| ProtocolSequence | string | Informacje o protokole używanym do próby uwierzytelnienia. |
| ProxyPolicyName | string | Nazwa zasad, które zostały użyte do skonfigurowania serwera proxy na potrzeby nawiązywania połączenia z siecią. |
| QuarantineHelpURL | string | Adres URL, który zapewnia pomoc dotyczącą rozwiązywania problemu z kwarantanną sieci. |
| QuarantineSessionID | string | Identyfikator sesji, w której plik został oceniony pod kątem kwarantanny. |
| KwarantannaSessionIdentifier | string | Identyfikator sesji, w której plik został oceniony pod kątem kwarantanny. |
| Stan kwarantanny | string | Pokazuje, czy plik jest poddawany kwarantannie. |
| QuarantineSystemHealthResult | string | Raport przedstawiający stan plików, które zostały poddane kwarantannie. |
| RelativeTargetName | string | Względna nazwa dostępnego pliku docelowego lub folderu. Ta ścieżka pliku jest względna względem udziału sieciowego. Jeśli zażądano dostępu do samego udziału, to to pole jest wyświetlane jako "". |
| RemoteIpAddress | string | Adres IP komputera, który zainicjował połączenie zdalne. |
| RemotePort | string | Numer portu komputera zdalnego, który zainicjował połączenie. |
| Strona żądająca | string | Identyfikator modułu żądającego zdarzeń. |
| RequestId | string | Unikatowy identyfikator skojarzony z określonymi żądaniami, na przykład wykonany za pośrednictwem protokołu HTTP. |
| _ResourceId | string | Unikatowy identyfikator zasobu skojarzonego z rekordem |
| RestrictedAdminMode | string | Wypełnione tylko dla sesji typu logowania RemoteInteractive. Jest to flaga Tak/Nie wskazująca, czy podane poświadczenia zostały przekazane przy użyciu trybu administratora z ograniczeniami. Tryb administratora z ograniczeniami został dodany w systemie Win8.1/2012R2, ale ta flaga została dodana do zdarzenia w systemie Win10. |
| WierszeDeletowane | string | Liczba wierszy, które zostały usunięte w ramach określonej operacji. |
| SamAccountName | string | nazwa logowania konta używanego do obsługi klientów i serwerów z poprzednich wersji systemu Windows (nazwa logowania przed systemem Windows 2000). |
| ScriptPath | string | Określa ścieżkę skryptu logowania konta. |
| SecurityDescriptor | string | Informacje o ustawieniach zabezpieczeń i uprawnieniach określonego obiektu lub zasobu. |
| ServiceAccount | string | Kontekst zabezpieczeń, który usługa będzie uruchamiana w momencie uruchomienia. |
| ServiceFileName | string | Wskazuje typ usługi, która została zarejestrowana w Programie Service Control Manager. |
| ServiceName | string | Nazwa zainstalowanej usługi. |
| ServiceStartType | int | Zawiera informacje o tym, jak należy uruchomić określoną usługę, niezależnie od tego, czy powinna być uruchamiana automatycznie, czy ręcznie. |
| ServiceType | string | Wskazuje typ usługi, która została zarejestrowana w Programie Service Control Manager. |
| Nazwa sesji | string | Nazwa sesji, z którą użytkownik został ponownie połączony. |
| ShareLocalPath | string | Ścieżka lokalna dostępu do udziału sieciowego. |
| ShareName | string | Nazwa dostępnego udziału sieciowego. Format: \*\SHARE_NAME. |
| SidHistory | string | Zawiera poprzednie identyfikatory SI używane dla obiektu, jeśli obiekt został przeniesiony z innej domeny. |
| SourceComputerId | string | Unikatowy identyfikator przypisany do każdego komputera w domenie systemu Windows. |
| SourceSystem | string | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Stan | string | Przyczyna niepowodzenia logowania. W przypadku tego zdarzenia zazwyczaj ma wartość "0xC0000234". Najbardziej typowe kody stanu są wymienione w tabeli 12. Kody stanu logowania systemu Windows. |
| StorageAccount | string | Ustawia klucz dostępu do konta magazynu. |
| PodkategoriaGuid | string | Unikatowy identyfikator GUID zmienionej podkategorii. |
| PodkategoriaId | string | Unikatowy identyfikator określonego typu zdarzenia. |
| Temat | string | Informacje o podmiotu zabezpieczeń (na przykład: konto użytkownika), które zainicjowało zdarzenie. |
| TematKonto | string | Informacje o koncie inicjującym zdarzenie. |
| SubjectDomainName | string | Informacje o domenie lub grupie roboczej, do której należy konto podmiotu. |
| SubjectKeyIdentifier | string | Unikatowy identyfikator określonego podmiotu certyfikatu. |
| SubjectLogonId | string | Unikatowy identyfikator sesji logowania skojarzonej z kontem podmiotu. |
| SubjectMachineName | string | Informacje o maszynie lub systemie, z którego utworzono zdarzenie. |
| SubjectMachineSID | string | Identyfikator zabezpieczeń (SID) dla maszyny, która wygenerowała zdarzenie. |
| SubjectUserName | string | Nazwa konta użytkownika, które wygenerowało zdarzenie. |
| SubjectUserSid | string | Identyfikator zabezpieczeń (SID) dla konta użytkownika, które wygenerowało zdarzenie. |
| _SubscriptionId | string | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| Status podrzędny | string | Dodatkowe informacje o niepowodzeniu logowania. Najbardziej typowe kody podstatu wymienione w tabeli "Tabela 12". Kody stanu logowania systemu Windows". |
| Identyfikator SystemProcessId | int | Identyfikuje proces, który wygenerował zdarzenie. |
| Identyfikator elementu SystemThreadId | int | Identyfikuje wątek, który wygenerował zdarzenie. |
| SystemUserId | string | Identyfikator użytkownika odpowiedzialnego za zdarzenie. |
| TableId | string | Określony identyfikator tabeli danych, w których są przechowywane dane zdarzenia. |
| TargetAccount | string | Konto objęte zdarzeniem (nazwa użytkownika, nazwa komputera itp.). |
| TargetDomainName | string | Nazwa domeny, do którego należy konto docelowe. |
| TargetInfo | string | Dodatkowe informacje o obiekcie docelowym zdarzenia (na przykład ścieżka do pliku lub folderu, nazwa klucza rejestru itp.). |
| TargetLinkedLogonId | string | Informacje ułatwiające łączenie powiązanych zdarzeń za pomocą identyfikatorów prób logowania. Może to być przydatne podczas organizowania wszystkich odpowiednich zdarzeń, śledzenia aktywności w wielu sesjach i identyfikowania źródła ataku. |
| TargetLogonGuid | string | Unikatowy identyfikator globalny (GUID) skojarzony z sesją logowania związaną ze zdarzeniem. |
| Identyfikator dziennika docelowego | string | Unikatowy identyfikator skojarzony z sesją logowania związaną ze zdarzeniem. |
| TargetOutboundDomainName | string | Domena określona w polu TargetAccount została uwierzytelniona podczas próby uwierzytelniania wychodzącego. |
| TargetOutboundUserName | string | Nazwa konta użytkownika, które zostało uwierzytelnione podczas próby uwierzytelniania wychodzącego. |
| TargetServerName | string | Nazwa serwera, na którym został uruchomiony nowy proces. Ma wartość "localhost", jeśli proces został uruchomiony lokalnie. |
| TargetSid | string | Identyfikator zabezpieczeń (SID) serwera, na którym został uruchomiony nowy proces. |
| TargetUser | string | Identyfikator konta użytkownika, który wygenerował nowy proces. |
| TargetUserName | string | Nazwa konta użytkownika, które wygenerowało nowy proces. |
| TargetUserSid | string | Identyfikator zabezpieczeń (SID) skojarzony z użytkownikiem lub zasobem zaangażowanym w zdarzenie. |
| Zadanie | int | Zadanie zdefiniowane w zdarzeniu. |
| TemplateContent | string | Zawartość komunikatu zdarzenia lub powiadomienia w formie ustrukturyzowanej. |
| TemplateDSObjectFQDN | string | Nazwa FQDN obiektu DS reprezentującego szablon obiektu zasad grupy. |
| TemplateInternalName | string | Wewnętrzna nazwa szablonu obiektu zasad grupy. |
| Identyfikator TEMPLATEOID | string | unikatowy identyfikator szablonu, który został użyty do utworzenia zdarzenia. |
| TemplateSchemaVersion | string | Wersja schematu szablonu definiującego dane do uwzględnienia ze zdarzeniem. |
| TemplateVersion | string | Wersja szablonu definiującego dane do uwzględnienia ze zdarzeniem. |
| TenantId | string | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Sygnatura czasowa wygenerowania zdarzenia na komputerze. |
| TokenElevationType | string | Typ tokenu przypisanego do nowego procesu zgodnie z zasadami kontroli konta użytkownika. |
| Przesyłane usługi | string | Lista przesłanych usług. Przesyłane usługi są wypełniane, jeśli logowanie było wynikiem procesu logowania S4U (usługa dla użytkownika). S4U to rozszerzenie firmy Microsoft do protokołu Kerberos, które umożliwia usłudze aplikacji uzyskanie biletu usługi Kerberos w imieniu użytkownika — najczęściej wykonywane przez witrynę internetową frontonu w celu uzyskania dostępu do zasobu wewnętrznego w imieniu użytkownika. Aby uzyskać więcej informacji na temat S4U, zobacz https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | string | Nazwa tabeli |
| UserAccountControl | string | Przedstawia listę zmian w atrybucie userAccountControl. Zobaczysz wiersz tekstu dla każdej zmiany. |
| Parametry użytkownika | string | Jeśli zmienisz jakiekolwiek ustawienie przy użyciu konsoli zarządzania Użytkownicy i komputery usługi Active Directory na karcie Dial-in właściwości konta użytkownika, zostanie wyświetlona <wartość zmieniona, ale nie zostanie wyświetlona> w tym polu. W przypadku kont lokalnych to pole nie ma zastosowania i zawsze ma wartość nie ustawioną<>. |
| UserPrincipalName | string | Nazwa logowania w stylu internetowym dla konta oparta na standardzie internetowym RFC 822. Zgodnie z konwencją powinno to być mapowane na nazwę e-mail konta. |
| UserWorkstations | string | Zawiera listę nazw NetBIOS lub DNS komputerów, z których użytkownik może się zalogować. Każda nazwa komputera jest oddzielona przecinkiem. Nazwa komputera to właściwość sAMAccountName obiektu komputera. |
| Identyfikatory dostawcy | string | Atrybut "Identyfikatory sprzętu" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły". |
| Wersja | int | Zawiera numer wersji definicji zdarzenia. |
| VirtualAccount | string | Flaga "Tak" lub "Nie", która wskazuje, czy konto jest kontem wirtualnym (np. "Zarządzane konto usługi"), które zostało wprowadzone w systemach Windows 7 i Windows Server 2008 R2, aby umożliwić identyfikację konta używanego przez daną usługę, zamiast używać polecenia "NetworkService". |
| Stacja robocza | string | Nazwa maszyny, która została użyta do wykonania zdarzenia. |
| Nazwa stacji roboczej | string | Nazwa maszyny, z której wykonano próbę logowania. |