SecurityEvent
Zdarzenia zabezpieczeń zebrane z maszyn z systemem Windows przez Azure Security Center lub Azure Sentinel.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zabezpieczenia, ZabezpieczeniaInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Maska dostępu | ciąg | Maska szesnastkowa dla żądanej lub wykonanej operacji. |
| Konto | ciąg | Kontekst zabezpieczeń dla usług lub użytkowników. |
| AccountDomain | ciąg | Nazwa domeny lub komputera podmiotu. |
| AccountExpires | ciąg | Data wygaśnięcia konta. |
| AccountName | ciąg | Nazwa konta, które zażądało operacji "usuń zaufanie domeny". |
| AccountSessionIdentifier | ciąg | Unikatowy identyfikator generowany przez maszynę podczas tworzenia sesji. |
| Accounttype | ciąg | Określa, czy konto jest kontem komputera (maszyną) czy użytkownikiem. |
| Działanie | ciąg | Wystąpił opisowy tytuł zdarzenia. |
| AdditionalInfo | ciąg | Dodatkowe informacje udostępniane przez źródło, które nie są mapowane na inne pola, reprezentowane przez listę. |
| AdditionalInfo2 | ciąg | Dodatkowe informacje udostępniane przez źródło, które nie są mapowane na inne pola, reprezentowane przez listę. |
| AllowedToDelegateTo | ciąg | Lista nazw SPN, do których to konto może przedstawiać delegowane poświadczenia. |
| Atrybuty | ciąg | Dodatkowe informacje o zdarzeniu. |
| AuditPolicyChanges | ciąg | Zdarzenia generowane po wprowadzeniu zmian w zasadach inspekcji systemu lub ustawieniach inspekcji w pliku lub kluczu rejestru. |
| InspekcjeDiscarded | int | Liczba odrzuconych komunikatów inspekcji. |
| Authenticationlevel | int | Liczba odrzuconych komunikatów inspekcji. |
| AuthenticationPackageName | ciąg | nazwa załadowanego pakietu uwierzytelniania. Format to: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | ciąg | Tożsamość dostawcy odpowiedzialnego za proces uwierzytelniania (może obejmować urząd certyfikacji, nazwę użytkownika, system uwierzytelniania haseł itp.). |
| AuthenticationServer | ciąg | Serwer, na którym znajduje się dostawca uwierzytelniania. |
| Authenticationservice | int | Usługa, w której znajduje się dostawca uwierzytelniania. |
| Authenticationtype | ciąg | typ uwierzytelniania, który był używany na potrzeby zdarzenia (uwierzytelnianie dwuskładnikowe, uwierzytelnianie biometryczne itp.). |
| AzureDeploymentID | ciąg | Identyfikator wdrożenia platformy Azure usługi w chmurze, do którego należy dziennik. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| CACertificateHash | ciąg | Wartość skrótu certyfikatu urzędu certyfikacji, który został użyty do uwierzytelnienia użytkownika, który wykonał zdarzenie. |
| Identyfikator o nazwieStationID | ciąg | Informacje o identyfikatorze stacji, która zainicjowała akcję, która doprowadziła do zdarzenia zabezpieczeń. |
| CallerProcessId | ciąg | Szesnastkowy identyfikator procesu, który próbował zalogować się. Identyfikator procesu (PID) to liczba używana przez system operacyjny do unikatowego identyfikowania aktywnego procesu. |
| CallerProcessName | ciąg | Pełna ścieżka i nazwa pliku wykonywalnego dla procesu. |
| CallingStationID | ciąg | Informacje o identyfikatorze stacji, która zainicjowała akcję, która doprowadziła do zdarzenia zabezpieczeń. |
| CAPublicKeyHash | ciąg | Wartość skrótu identyfikującą klucz publiczny urzędu certyfikacji, który wystawił certyfikat. |
| CategoryId | ciąg | Kategoria zdarzenia zabezpieczeń, które wystąpiło (próba logowania, naruszenie danych itp.). |
| CertificateDatabaseHash | ciąg | Wartość skrótu identyfikującą bazę danych, która wystawiła certyfikat. |
| Kanał | ciąg | Kanał, do którego zarejestrowano zdarzenie. |
| Classid | ciąg | Atrybut "Class Guid" urządzenia. |
| ClassName | ciąg | Atrybut "Class" urządzenia. |
| ClientAddress | ciąg | Adres IP komputera, z którego odebrano żądanie TGT. |
| ClientIPAddress | ciąg | Adres IP komputera, który zainicjował akcję, która doprowadziła do zdarzenia. |
| Nazwa klienta | ciąg | nazwa komputera, z którego użytkownik został ponownie połączony. Ma wartość "Unknown" dla sesji konsoli. |
| CommandLine | ciąg | Argumenty wiersza polecenia, które zostały przekazane do aplikacji lub procesu, który był zaangażowany w zdarzenie. |
| Identyfikatory zgodne | ciąg | Atrybut "Zgodne identyfikatory" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły": |
| Computer (Komputer) | ciąg | Nazwa komputera, na którym wystąpiło zdarzenie. |
| NAZWA DCDNS | ciąg | Nazwa DNS kontrolera domeny, który był zaangażowany w zdarzenie. |
| DeviceDescription | ciąg | opis urządzenia, które brało udział w zdarzeniu. |
| DeviceId | ciąg | Unikatowy identyfikator urządzenia, które brało udział w zdarzeniu. |
| Nazwa wyświetlana | ciąg | Jest to nazwa wyświetlana w książce adresowej dla określonego konta. Zazwyczaj jest to kombinacja imienia użytkownika, środkowego początkowego i nazwiska użytkownika. |
| Dyspozycji | ciąg | Wynik zdarzenia/rozwiązanie, takie jak to, czy zdarzenie zostało rozwiązane, czy też jakiekolwiek działanie zostało podjęte w odpowiedzi na zdarzenie. |
| DomainBehaviorVersion | ciąg | Atrybut domeny msDS-Behavior-Version został zmodyfikowany. Wartość liczbowa. |
| DomainName | ciąg | Nazwa usuniętej zaufanej domeny. |
| DomainPolicyChanged | ciąg | Wskazuje, czy jakiekolwiek zasady domeny zostały zmienione w ramach zdarzenia (zasady haseł, zasady zabezpieczeń itp.). |
| DomainSid | ciąg | Identyfikator SID partnera zaufania. Ten parametr może nie być przechwytywany w zdarzeniu, a w takim przypadku jest wyświetlany jako "IDENTYFIKATOR SID o wartości NULL". |
| EAPType | ciąg | Typ protokołu uwierzytelniania rozszerzonego (EAP), który był używany do procesu uwierzytelniania zdarzeń. |
| Podwyższony poziom tokenu | ciąg | Flaga "Tak" lub "Nie". Jeśli wartość "Tak", sesja, która reprezentuje to zdarzenie, jest podwyższona i ma uprawnienia administratora. |
| ErrorCode | int | Zawiera kod błędu dla zdarzeń niepowodzenia. W przypadku zdarzeń powodzenia ten parametr ma wartość "0x0". |
| Eventdata | ciąg | Dane specyficzne dla zdarzenia. |
| Identyfikator zdarzenia | int | Identyfikator używany przez dostawcę do identyfikowania zdarzenia. |
| EventSourceName | ciąg | Nazwa oprogramowania, które rejestruje zdarzenie (applicationor sukcomponent). |
| ExtendedQuarantineState | ciąg | Stan procesu kwarantanny sieci, jeśli ma to zastosowanie. Kwarantanna sieci jest procesem, za pomocą którego nieautoryzowane urządzenia nie mogą uzyskać dostępu do sieci, dopóki nie spełniają określonych wymagań dotyczących zabezpieczeń lub zostały sprawdzone pod kątem złośliwego oprogramowania. |
| FailureReason | ciąg | tekstowe wyjaśnienie wartości pola Stan. W przypadku tego zdarzenia zazwyczaj ma wartość "Konto zablokowane". |
| Skrót pliku | ciąg | Wartość skrótu dla wszystkich plików, które zostały użyte lub zmodyfikowane w ramach zdarzenia, lub plików, które były używane w procesie uwierzytelniania lub autoryzacji. |
| Filepath | ciąg | Pełna ścieżka i nazwa pliku klucza, na którym wykonano operację. |
| FilePathNoUser | ciąg | Ścieżka wszystkich plików, które są powiązane ze zdarzeniem, z wyłączeniem nazwy użytkownika lub innych informacji specyficznych dla użytkownika. |
| Filtr | ciąg | Filtry używane w wykonanym zdarzeniu. |
| ForceLogoff | ciąg | Zasady grupy "\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń\Zabezpieczenia sieci: wymuś wylogowanie po wygaśnięciu godzin logowania". |
| Fqbn | ciąg | W pełni kwalifikowana nazwa binarna (FQBN) dla wszystkich plików powiązanych ze zdarzeniem. |
| FullyQualifiedSubjectMachineName | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) maszyny, która zainicjowała zdarzenie. |
| FullyQualifiedSubjectUserName | ciąg | Nazwa użytkownika lub usługi, która zainicjowała zdarzenie w formacie FQDN. |
| GroupMembership | ciąg | Lista identyfikatorów SID grup, do których należy zarejestrowane konto (członek). Podgląd zdarzeń automatycznie próbuje rozpoznać identyfikatory SID i wyświetlić nazwę konta. Jeśli nie można rozpoznać identyfikatora SID, w zdarzeniu zostaną wyświetlone dane źródłowe. |
| HandleId | ciąg | Wartość szesnastkowa dojścia do nazwy obiektu. To pole może służyć do korelacji z innymi zdarzeniami. |
| Identyfikatory sprzętu | ciąg | Atrybut "Identyfikatory sprzętu" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły": |
| HomeDirectory | ciąg | Katalog główny użytkownika. Jeśli atrybut homeDrive jest ustawiony i określa literę dysku, homeDirectory powinna być ścieżką UNC. Ścieżka musi być siecią UNC formularza \Server\Share\Directory. |
| Homepath | ciąg | Ścieżka główna użytkownika. Ścieżka musi być siecią UNC formularza \Server\Share\Directory. |
| InterfaceUuid | ciąg | Unikatowy identyfikator (UUID) dla interfejsu sieciowego, który był używany dla zdarzenia. |
| Ipaddress | ciąg | adres sieciowy (zazwyczaj IPv4 lub IPv6) skojarzony ze zdarzeniem. |
| IpPort | ciąg | Numer portu sieciowego skojarzony ze zdarzeniem. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| Długość klucza | int | Długość klucza zabezpieczeń sesji NTLM. Zazwyczaj ma 128-bitową lub 56-bitową długość. |
| Poziom | ciąg | System Windows kategoryzuje każde zdarzenie z poziomem ważności. Poziomy w kolejności ważności to informacje, pełne, ostrzeżenie, błąd i krytyczne wyrażone w liczbach. |
| LmPackageName | ciąg | Nazwa pakietu lub składnika oprogramowania, który obecnie używa lokalnego urzędu zabezpieczeń (LSA) na maszynie, na której jest generowane zdarzenie. |
| LocationInformation | ciąg | Atrybut "Informacje o lokalizacji" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły": |
| BlokadaDuration | ciąg | Zasady grupy "\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Czas trwania blokady konta". Wartość liczbowa. |
| LockoutObservationWindow | ciąg | "\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after" (\Ustawienia zabezpieczeń\Zasady blokady konta\Zasady blokady konta\Resetuj licznik blokady konta po" zasad grupy. Wartość liczbowa. |
| LockoutThreshold | ciąg | Zasady grupy "\Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta\Próg blokady konta". Wartość liczbowa. |
| LoggingResult | ciąg | Wynik procesu logowania. |
| LogowanieGuid | ciąg | Identyfikator GUID, który może pomóc skorelować to zdarzenie z innym zdarzeniem, które może zawierać ten sam identyfikator GUID logowania. |
| LogowaniaHours | ciąg | Godziny, przez które konto może zalogować się do domeny. |
| Identyfikator logowania | ciąg | Wartość szesnastkowa, która może pomóc skorelować to zdarzenie z ostatnimi zdarzeniami, które mogą zawierać ten sam identyfikator logowania. |
| Nazwa logowaniaprocesu | ciąg | Nazwa zarejestrowanego procesu logowania. |
| Typ logowania | int | Typ logowania, który został wykonany. |
| Nazwa typu logowania | ciąg | Typ zdarzenia logowania lub uwierzytelniania przechwytywane przez dziennik zdarzeń (typowe wartości: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | ciąg | ms-DS-MachineAccountQuota atrybut domeny został zmodyfikowany. Wartość liczbowa. |
| MachineInventory | ciąg | Informacje o konfiguracji sprzętu i środowisku oprogramowania komputera, na którym jest generowane zdarzenie. Może zawierać różne punkty danych, na przykład: make i model komputera, ilość dostępnej pamięci RAM lub miejsca do magazynowania, numery wersji różnych aplikacji oprogramowania itp.). |
| MachineLogon | ciąg | Informacje o pomyślnym zdarzeniu logowania na maszynie. |
| ManagementGroupName | ciąg | Dodatkowe informacje na podstawie typu zasobu. |
| Obowiązkowy etykieta | ciąg | Identyfikator etykiety integralności, która została przypisana do nowego procesu. |
| MaxPasswordAge | ciąg | Okres (w dniach), przez który można użyć hasła, zanim system będzie musiał go zmienić. |
| MemberName | ciąg | Konto użytkownika, które brało udział w zdarzeniu. |
| Identyfikator elementu członkowskiego | ciąg | Identyfikator zabezpieczeń (SID) skojarzony z kontem użytkownika, które brało udział w zdarzeniu. |
| MinPasswordAge | ciąg | Okres (w dniach), przez który należy użyć hasła, zanim system wymaga, aby użytkownik go zmienił. |
| MinPasswordLength | ciąg | Najmniejsza liczba znaków, które mogą składać się na hasło dla konta użytkownika. |
| MixedDomainMode | ciąg | Tryb domeny systemu lub kontrolera domeny. |
| NASIdentifier | ciąg | Identyfikator serwera dostępu do sieci (NAS), który był zaangażowany w zdarzenie. |
| NASIPv4Address | ciąg | Adres IPv4 serwera dostępu do sieci (NAS), który był zaangażowany w zdarzenie, jeśli ma to zastosowanie. |
| NASIPv6Address | ciąg | Adres IPv6 serwera dostępu do sieci (NAS), który był zaangażowany w zdarzenie, jeśli ma to zastosowanie. |
| NASPort | ciąg | port na serwerze dostępu do sieci, który został użyty w zdarzeniu. |
| NASPortType | ciąg | typ serwera dostępu do sieci (NAS) używany w zdarzeniu. |
| NetworkPolicyName | ciąg | Nazwa zasad sieciowych skojarzonych ze zdarzeniem. |
| NowaDate | ciąg | Nowa data w strefie czasowej UTC. Format to RRRR-MM-DD. |
| NewMaxUsers | ciąg | Nowa maksymalna liczba użytkowników dozwolonych dla zasobu w zdarzeniu. |
| NewProcessId | ciąg | Szesnastkowy identyfikator procesu nowego procesu. Identyfikator procesu (PID) to liczba używana przez system operacyjny do unikatowego identyfikowania aktywnego procesu. |
| NewProcessName | ciąg | Pełna ścieżka i nazwa pliku wykonywalnego dla nowego procesu. |
| NewRemark | ciąg | Nowa wartość pola "Komentarze:" udziału sieciowego. Ma wartość "N/A", jeśli nie jest ustawiona. |
| NewShareFlags | ciąg | Flagi udziału skojarzone z zasobem w zdarzeniu, na przykład: informacje o tym, czy zasób jest tylko do odczytu, czy do odczytu/zapisu, czy jest ukryty, oraz inne parametry, które mogą mieć wpływ na dostęp i uprawnienia. |
| NewTime | ciąg | Nowy czas ustawiony w strefie czasowej UTC. Format to RRRR-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | ciąg | Określa flagi sterujące hasłem, blokadą, wyłączaniem/włączaniem, skryptem i innym zachowaniem konta użytkownika. |
| Newvalue | ciąg | Nowa wartość zmienionego klucza rejestru. |
| NewValueType | ciąg | Nowy typ zmienionej wartości klucza rejestru. |
| ObjectName | ciąg | Nazwa i inne informacje identyfikujące obiekt, dla którego zażądano dostępu. Na przykład w przypadku pliku zostanie uwzględniona ścieżka. |
| ObjectServer | ciąg | Zawiera nazwę podsystemu systemu Windows wywołującego procedurę. |
| ObjectType | ciąg | Typ obiektu, do którego uzyskiwano dostęp podczas operacji. |
| ObjectValueName | ciąg | Nazwa zmodyfikowanego klucza rejestru. |
| OemInformation | ciąg | Producent oryginalnego sprzętu (OEM) skojarzony z urządzeniem lub systemem w przypadku. |
| OldMaxUsers | ciąg | Poprzednia maksymalna liczba użytkowników dozwolona dla zasobu w zdarzeniu. |
| OldRemark | ciąg | stara wartość udziału sieciowego "Komentarze:". Ma wartość "N/A", jeśli nie jest ustawiona. |
| OldShareFlags | ciąg | Poprzednie flagi udziału skojarzone z zasobem w zdarzeniu, na przykład: informacje o tym, czy zasób jest tylko do odczytu, czy odczyt/zapis, czy jest ukryty, oraz inne parametry, które mogą mieć wpływ na dostęp i uprawnienia. |
| OldUacValue | ciąg | Określa flagi sterujące hasłem, blokadą, wyłączaniem/włączaniem, skryptem i innym zachowaniem dla konta użytkownika. Ten parametr zawiera poprzednią wartość atrybutu userAccountControl obiektu użytkownika. |
| Oldvalue | ciąg | Stara wartość zmienionego klucza rejestru. |
| OldValueType | ciąg | Stary typ zmienionej wartości klucza rejestru. |
| OperationType | ciąg | Typ operacji, która została wykonana na obiekcie |
| Nazwa_pakietu | ciąg | Nazwa podsieci programu LAN Manager (nazwa protokołu NTLM-family), która została użyta podczas logowania. |
| ParentProcessName | ciąg | Nazwa procesu nadrzędnego skojarzonego ze zdarzeniem. |
| PasswordHistoryLength | ciąg | \Security Settings\Account Policies\Password Policy\Enforce password history" zasady grupy. Wartość liczbowa. |
| PasswordLastSet | ciąg | Ostatni raz hasło konta zostało zmodyfikowane. |
| PasswordProperties | ciąg | Zasady haseł lub właściwości skojarzone ze zdarzeniem, na przykład: długość hasła, złożoność i data wygaśnięcia. |
| PoprzedniaDate | ciąg | Poprzednia data skojarzona ze zdarzeniem. |
| Poprzedni czas | ciąg | Poprzedni czas w strefie czasowej UTC. Format to RRRR-MM-DDThh:mm:ss.nnnnnnnNNZ. |
| PrimaryGroupId | ciąg | Identyfikator względny (RID) grupy podstawowej obiektu użytkownika. |
| PrivateKeyUsageCount | ciąg | Liczba przypadków użycia klucza prywatnego. |
| PrivilegeList | ciąg | Uprawnienia, w tym użytkownik, grupa lub uprawnienia systemowe skojarzone ze zdarzeniem. |
| Proces | ciąg | Nazwa procesu, który generuje zdarzenie. |
| Identyfikator procesu | ciąg | Identyfikuje proces, który wygenerował zdarzenie. |
| ProcessName | ciąg | Pełna ścieżka i nazwa pliku wykonywalnego dla procesu. |
| ProfilePath | ciąg | Określa ścieżkę do profilu konta. Ta wartość może być ciągiem null, lokalną ścieżką bezwzględną lub ścieżką UNC. |
| Właściwości | ciąg | Zależy od typu obiektu. To pole może być puste lub zawierać listę właściwości obiektu, do których uzyskiwano dostęp. |
| ProtocolSequence | ciąg | Informacje o protokole używanym do próby uwierzytelnienia. |
| ProxyPolicyName | ciąg | Nazwa zasad, które zostały użyte do skonfigurowania serwera proxy na potrzeby nawiązywania połączenia z siecią. |
| KwarantannaHelpURL | ciąg | Adres URL, który zapewnia pomoc w rozwiązywaniu problemu z kwarantanną sieci. |
| QuarantineSessionID | ciąg | Identyfikator sesji, w której plik został oceniony pod kątem kwarantanny. |
| KwarantannaSessionIdentifier | ciąg | Identyfikator sesji, w której plik został oceniony pod kątem kwarantanny. |
| Stan kwarantanny | ciąg | Pokazuje, czy plik jest poddawany kwarantannie. |
| QuarantineSystemHealthResult | ciąg | Raport pokazujący stan plików, które zostały poddane kwarantannie. |
| RelativeTargetName | ciąg | Względna nazwa dostępnego pliku docelowego lub folderu. Ta ścieżka pliku jest względna względem udziału sieciowego. Jeśli zażądano dostępu do samego udziału, to to pole jest wyświetlane jako "\". |
| RemoteIpAddress | ciąg | Adres IP komputera, który zainicjował połączenie zdalne. |
| RemotePort | ciąg | Numer portu komputera zdalnego, który zainicjował połączenie. |
| Strona żądająca | ciąg | Identyfikator modułu żądającego zdarzeń. |
| Requestid | ciąg | Unikatowy identyfikator skojarzony z określonymi żądaniami, taki jak identyfikator wykonany za pośrednictwem protokołu HTTP. |
| _Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
| RestrictedAdminMode | ciąg | Wypełniane tylko dla sesji typu logowania RemoteInteractive. Jest to flaga Tak/Nie wskazująca, czy podane poświadczenia zostały przekazane przy użyciu trybu Administracja z ograniczeniami. Tryb ograniczonego Administracja został dodany w systemie Win8.1/2012R2, ale ta flaga została dodana do zdarzenia w systemie Win10. |
| Wierszedeletowane | ciąg | Liczba wierszy, które zostały usunięte w ramach określonej operacji. |
| SamAccountName | ciąg | nazwa logowania dla konta używanego do obsługi klientów i serwerów z poprzednich wersji systemu Windows (nazwa logowania przed systemem Windows 2000). |
| ScriptPath | ciąg | Określa ścieżkę skryptu logowania konta. |
| SecurityDescriptor | ciąg | Informacje o ustawieniach zabezpieczeń i uprawnieniach określonego obiektu lub zasobu. |
| ServiceAccount | ciąg | Kontekst zabezpieczeń, który usługa będzie uruchamiana w momencie uruchomienia. |
| Nazwa pliku usługi | ciąg | Wskazuje typ usługi, która została zarejestrowana w Menedżerze sterowania usługami. |
| ServiceName | ciąg | Nazwa zainstalowanej usługi. |
| ServiceStartType | int | Zawiera informacje o tym, jak należy uruchomić określoną usługę, niezależnie od tego, czy powinna być uruchamiana automatycznie, czy ręcznie. |
| ServiceType | ciąg | Wskazuje typ usługi, która została zarejestrowana w Menedżerze sterowania usługami. |
| Nazwa_sesji | ciąg | Nazwa sesji, z którą użytkownik został ponownie połączony. |
| ShareLocalPath | ciąg | Ścieżka lokalna dostępu do udziału sieciowego. |
| Nazwaudziału | ciąg | Nazwa dostępnego udziału sieciowego. Format: \*\SHARE_NAME. |
| Sidhistory | ciąg | Zawiera poprzednie identyfikatory SIAD używane dla obiektu, jeśli obiekt został przeniesiony z innej domeny. |
| SourceComputerId | ciąg | Unikatowy identyfikator przypisany do każdego komputera w domenie systemu Windows. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Stan | ciąg | Przyczyna niepowodzenia logowania. W przypadku tego zdarzenia zazwyczaj ma wartość "0xC0000234". Najbardziej typowe kody stanu są wymienione w tabeli 12. Kody stanu logowania systemu Windows. |
| Konto magazynu | ciąg | Ustawia klucz dostępu do konta magazynu. |
| PodkategoriaGuid | ciąg | Unikatowy identyfikator GUID zmienionej podkategorii. |
| PodkategoriaId | ciąg | Unikatowy identyfikator określonego typu zdarzenia. |
| Temat | ciąg | Informacje o podmiotu zabezpieczeń (na przykład: konto użytkownika), które zainicjowało zdarzenie. |
| TematKonto | ciąg | Informacje o koncie inicjującym zdarzenie. |
| SubjectDomainName | ciąg | Informacje o domenie lub grupie roboczej, do której należy konto podmiotu. |
| SubjectKeyIdentifier | ciąg | Unikatowy identyfikator określonego podmiotu certyfikatu. |
| SubjectLogonId | ciąg | Unikatowy identyfikator sesji logowania skojarzonej z kontem podmiotu. |
| SubjectMachineName | ciąg | Informacje o maszynie lub systemie, z którego zostało utworzone zdarzenie. |
| SubjectMachineSID | ciąg | Identyfikator zabezpieczeń (SID) dla maszyny, która wygenerowała zdarzenie. |
| SubjectUserName | ciąg | Nazwa konta użytkownika, które wygenerowało zdarzenie. |
| SubjectUserSid | ciąg | Identyfikator zabezpieczeń (SID) dla konta użytkownika, które wygenerowało zdarzenie. |
| _Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| Status podrzędny | ciąg | Dodatkowe informacje o niepowodzeniu logowania. Najbardziej typowe kody podstatu wymienione w tabeli "Tabela 12. Kody stanu logowania systemu Windows". |
| Tableid | ciąg | Określony identyfikator tabeli danych, w których są przechowywane dane zdarzenia. |
| TargetAccount | ciąg | Konto objęte zdarzeniem (nazwa użytkownika, nazwa komputera itp.). |
| TargetDomainName | ciąg | Nazwa domeny, do którego należy konto docelowe. |
| TargetInfo | ciąg | Dodatkowe informacje o obiekcie docelowym zdarzenia (na przykład ścieżka do pliku lub folderu, nazwa klucza rejestru itp.). |
| TargetLinkedLogonId | ciąg | Informacje ułatwiające łączenie powiązanych zdarzeń za pomocą identyfikatorów prób logowania. Może to być przydatne podczas organizowania wszystkich istotnych zdarzeń, śledzenia działań w wielu sesjach i identyfikowania źródła ataku. |
| TargetLogonGuid | ciąg | Globalnie unikatowy identyfikator (GUID) skojarzony z sesją logowania związaną ze zdarzeniem. |
| TargetLogonId | ciąg | Unikatowy identyfikator skojarzony z sesją logowania związaną ze zdarzeniem. |
| TargetOutboundDomainName | ciąg | Domena określona w polu TargetAccount została uwierzytelniona podczas próby uwierzytelnienia wychodzącego. |
| TargetOutboundUserName | ciąg | Nazwa konta użytkownika, które zostało uwierzytelnione podczas próby uwierzytelnienia wychodzącego. |
| TargetServerName | ciąg | Nazwa serwera, na którym został uruchomiony nowy proces. Ma wartość "localhost", jeśli proces został uruchomiony lokalnie. |
| TargetSid | ciąg | Identyfikator zabezpieczeń (SID) serwera, na którym został uruchomiony nowy proces. |
| TargetUser | ciąg | Identyfikator konta użytkownika, który wygenerował nowy proces. |
| TargetUserName | ciąg | Nazwa konta użytkownika, które wygenerowało nowy proces. |
| TargetUserSid | ciąg | Identyfikator zabezpieczeń (SID) skojarzony z użytkownikiem lub zasobem zaangażowanym w zdarzenie. |
| Zadanie | int | Zadanie zdefiniowane w zdarzeniu. |
| TemplateContent | ciąg | Zawartość komunikatu zdarzenia lub powiadomienia w postaci ustrukturyzowanej. |
| TemplateDSObjectFQDN | ciąg | Nazwa FQDN obiektu DS reprezentującego szablon obiektu zasad grupy. |
| TemplateInternalName | ciąg | Wewnętrzna nazwa szablonu obiektu zasad grupy. |
| Identyfikator TEMPLATEOID | ciąg | unikatowy identyfikator szablonu, który został użyty do utworzenia zdarzenia. |
| TemplateSchemaVersion | ciąg | Wersja schematu szablonu definiującego dane do uwzględnienia ze zdarzeniem. |
| TemplateVersion | ciąg | Wersja szablonu definiującego dane do uwzględnienia ze zdarzeniem. |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Sygnatura czasowa wygenerowania zdarzenia na komputerze. |
| TokenElevationType | ciąg | Typ tokenu przypisanego do nowego procesu zgodnie z zasadami kontroli konta użytkownika. |
| Usługi przesyłane | ciąg | Lista przesłanych usług. Przesyłane usługi są wypełniane, jeśli logowanie było wynikiem procesu logowania S4U (usługa dla użytkownika). S4U to rozszerzenie firmy Microsoft do protokołu Kerberos, które umożliwia usłudze aplikacji uzyskanie biletu usługi Kerberos w imieniu użytkownika — najczęściej wykonywane przez witrynę internetową frontonu w celu uzyskania dostępu do zasobu wewnętrznego w imieniu użytkownika. Aby uzyskać więcej informacji na temat S4U, zobacz https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | ciąg | Nazwa tabeli |
| Useraccountcontrol | ciąg | Przedstawia listę zmian w atrybucie userAccountControl. Zobaczysz wiersz tekstu dla każdej zmiany. |
| Parametry użytkownika | ciąg | Jeśli zmienisz jakiekolwiek ustawienie przy użyciu konsoli zarządzania Użytkownicy i komputery usługi Active Directory na karcie Wybieranie na karcie właściwości konta użytkownika, zostanie wyświetlona <wartość zmieniona, ale nie jest wyświetlana> w tym polu. W przypadku kont lokalnych to pole nie ma zastosowania i zawsze ma wartość nie ustawioną<>. |
| UserPrincipalName | ciąg | Nazwa logowania w stylu internetowym dla konta oparta na standardowym internetowym standardzie RFC 822. Zgodnie z konwencją ta opcja powinna być mapowany na nazwę e-mail konta. |
| UserWorkstations | ciąg | Zawiera listę nazw NetBIOS lub DNS komputerów, z których użytkownik może się zalogować. Każda nazwa komputera jest oddzielona przecinkiem. Nazwa komputera to właściwość sAMAccountName obiektu komputera. |
| Identyfikatory dostawcy | ciąg | Atrybut "Identyfikatory sprzętu" urządzenia. Aby wyświetlić właściwości urządzenia, uruchom Menedżer urządzeń, otwórz określone właściwości urządzenia i kliknij pozycję "Szczegóły". |
| Konto wirtualne | ciąg | Flaga "Tak" lub "Nie", która wskazuje, czy konto jest kontem wirtualnym (np. "Zarządzane konto usługi"), które zostało wprowadzone w systemach Windows 7 i Windows Server 2008 R2 w celu zapewnienia możliwości identyfikacji konta używanego przez daną usługę, a nie tylko przy użyciu "NetworkService". |
| Stacja robocza | ciąg | Nazwa maszyny, która została użyta do wykonania zdarzenia. |
| Nazwa stacji roboczej | ciąg | Nazwa komputera, z której wykonano próbę logowania. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla