SecurityEvent
Eventos de segurança coletados de computadores windows por Central de Segurança do Azure ou Azure Sentinel.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AccessMask | string | Máscara hexadecimal para a operação solicitada ou executada. |
| Conta | string | O contexto de segurança para serviços ou usuários. |
| AccountDomain | string | Nome do computador ou domínio da entidade. |
| AccountExpires | string | A data em que a conta expira. |
| AccountName | string | O nome da conta que solicitou a operação "remover confiança de domínio". |
| AccountSessionIdentifier | string | Um identificador exclusivo gerado pelo computador quando a sessão é criada. |
| AccountType | string | Identifica se a conta é uma conta de computador (computador) ou de um usuário. |
| Atividade | string | O título descritivo do evento ocorreu. |
| AdditionalInfo | string | Informações adicionais fornecidas pela origem, que não são mapeadas para outros campos, representadas por lista. |
| AdditionalInfo2 | string | Informações adicionais fornecidas pela origem, que não são mapeadas para outros campos, representadas por lista. |
| AllowedToDelegateTo | string | A lista de SPNs aos quais essa conta pode apresentar credenciais delegadas. |
| Atributos | string | Informações adicionais sobre o evento. |
| AuditPolicyChanges | string | Eventos gerados quando são feitas alterações na política de auditoria do sistema ou nas configurações de auditoria em um arquivo ou chave do Registro. |
| AuditsDiscarded | INT | Número de mensagens de auditoria que foram descartadas. |
| AuthenticationLevel | INT | Número de mensagens de auditoria que foram descartadas. |
| AuthenticationPackageName | string | o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | A identidade do provedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de usuário, um sistema de autenticação de senha etc.). |
| AuthenticationServer | string | O servidor no qual o provedor de autenticação foi localizado. |
| Authenticationservice | INT | O serviço no qual o provedor de autenticação foi localizado. |
| AuthenticationType | string | o tipo de autenticação que foi usado para o evento (autenticação de dois fatores, autenticação biométrica etc.). |
| AzureDeploymentID | string | ID de implantação do Azure do serviço de nuvem a que o log pertence. |
| _BilledSize | real | O tamanho do registro em bytes |
| CACertificateHash | string | O valor de hash do certificado da AC (autoridade de certificação) que foi usado para autenticar o usuário que realizou o evento. |
| CalledStationID | string | Informações sobre a ID da estação que iniciou a ação que levou ao evento de segurança. |
| CallerProcessId | string | ID de processo hexadecimal do processo que tentou o logon. A ID do processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo. |
| CallerProcessName | string | Caminho completo e o nome do executável para o processo. |
| CallingStationID | string | Informações sobre a ID da estação que iniciou a ação que levou ao evento de segurança. |
| CAPublicKeyHash | string | Valor de hash que identifica a chave pública de uma AC (autoridade de certificação) que emitiu um certificado. |
| CategoryId | string | A categoria do evento de segurança que ocorreu (tentativa de logon, violação de dados etc. |
| CertificateDatabaseHash | string | Valor de hash que identifica o banco de dados que emitiu um certificado. |
| Canal | string | O canal no qual o evento foi registrado. |
| ClassId | string | Atributo 'Guid de Classe' do dispositivo. |
| ClassName | string | Atributo 'Class' do dispositivo. |
| ClientAddress | string | Endereço IP do computador do qual a solicitação TGT foi recebida. |
| ClientIPAddress | string | Endereço IP do computador que iniciou a ação que levou ao evento. |
| ClientName | string | nome do computador do qual o usuário foi reconectado. Tem o valor 'Desconhecido' para sessão de console. |
| CommandLine | string | Os argumentos de linha de comando que foram passados para um aplicativo ou processo que estava envolvido no evento. |
| CompatibleIds | string | Atributo 'IDs compatíveis' do dispositivo. Para ver as propriedades do dispositivo, inicie Gerenciador de Dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes': |
| Computador | string | O nome do computador no qual o evento ocorreu. |
| DCDNSName | string | O nome DNS do controlador de domínio envolvido no evento. |
| DeviceDescription | string | a descrição do dispositivo que estava envolvido no evento. |
| DeviceId | string | O identificador exclusivo do dispositivo que estava envolvido no evento. |
| DisplayName | string | É um nome, exibido no catálogo de endereços de uma conta específica. Geralmente, essa é a combinação do nome do usuário, da inicialização intermediária e do sobrenome. |
| Disposition | string | O resultado/resolução do evento, como se o evento foi resolvido ou se alguma ação foi tomada em resposta ao evento. |
| DomainBehaviorVersion | string | O atributo de domínio msDS-Behavior-Version foi modificado. Valor numérico. |
| DomainName | string | O nome do domínio confiável removido. |
| DomainPolicyChanged | string | Indica se alguma política de domínio foi alterada como parte do evento (políticas de senha, políticas de segurança etc.). |
| DomainSid | string | SID do parceiro de confiança. Esse parâmetro pode não ser capturado no evento e, nesse caso, aparece como 'SID NULL'. |
| EAPType | string | O tipo de Protocolo de Autenticação Extensível (EAP) usado para o processo de autenticação de evento. |
| ElevatedToken | string | Um sinalizador "Sim" ou "Não". Se 'Sim', a sessão que esse evento representa será elevada e terá privilégios de administrador. |
| ErrorCode | INT | Contém o código de erro para eventos de falha. Para eventos de êxito, esse parâmetro tem o valor "0x0". |
| EventData | string | Dados específicos do evento associados ao evento. |
| EventID | INT | O identificador que o provedor usou para identificar o evento. |
| Eventsourcename | string | O nome do software que registra o evento (applicationor um succomponent). |
| ExtendedQuarantineState | string | O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual dispositivos não autorizados são impedidos de acessar uma rede até que atendam a determinados requisitos de segurança ou tenham sido verificados quanto a malware. |
| FailureReason | string | explicação textual do valor do campo Status. Para esse evento, ele normalmente tem o valor 'Conta bloqueada'. |
| FileHash | string | O valor de hash para todos os arquivos que foram acessados ou modificados como parte do evento ou todos os arquivos que foram usados no processo de autenticação ou autorização. |
| FilePath | string | Caminho completo e nome do arquivo de chave no qual a operação foi executada. |
| FilePathNoUser | string | O caminho de todos os arquivos relacionados ao evento, excluindo o nome de usuário ou outras informações específicas do usuário. |
| Filtrar | string | Filtros usados no evento executado. |
| ForceLogoff | string | '\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: forçar logoff quando o horário de logon expirar' política de grupo. |
| Fqbn | string | O FQBN (nome binário totalmente qualificado) para todos os arquivos relacionados ao evento. |
| FullyQualifiedSubjectMachineName | string | O FQDN (nome de domínio totalmente qualificado) do computador que iniciou o evento. |
| FullyQualifiedSubjectUserName | string | O nome de usuário do usuário ou serviço que iniciou o evento no formato FQDN. |
| GroupMembership | string | A lista de SIDs de grupo aos quais a conta registrada pertence (membro de). Visualizador de Eventos tenta automaticamente resolve SIDs e mostrar o nome da conta. Se o SID não puder ser resolvido, você verá os dados de origem no evento. |
| HandleId | string | Valor hexadecimal de um identificador para o Nome do Objeto. Esse campo pode ser usado para correlação com outros eventos. |
| HardwareIds | string | Atributo 'IDs de hardware' do dispositivo. Para ver as propriedades do dispositivo, inicie Gerenciador de Dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes': |
| HomeDirectory | string | Diretório base do usuário. Se o atributo homeDrive estiver definido e especificar uma letra da unidade, homeDirectory deverá ser um caminho UNC. O caminho deve ser um UNC de rede do formato \Server\Share\Directory. |
| Homepath | string | Caminho de casa do usuário. O caminho deve ser um UNC de rede do formato \Server\Share\Directory. |
| InterfaceUuid | string | O UUID (identificador exclusivo) para o adaptador de rede que foi usado para o evento. |
| IpAddress | string | o endereço de rede (geralmente IPv4 ou IPv6) associado ao evento. |
| IpPort | string | O número da porta de rede associado ao evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| KeyLength | INT | O comprimento da chave de segurança da sessão NTLM. Normalmente, ele tem 128 bits ou 56 bits de comprimento. |
| Nível | string | O Windows categoriza cada evento com um nível de severidade. Os níveis em ordem de gravidade são informações, detalhadas, aviso, erro e críticas expressas em números. |
| LmPackageName | string | O nome do pacote ou componente de software que está usando a LSA (Autoridade de Segurança Local) no computador em que o evento está sendo gerado. |
| LocationInformation | string | Atributo 'Informações de localização' do dispositivo. Para ver as propriedades do dispositivo, inicie Gerenciador de Dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes': |
| Lockoutduration | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio da conta'. Valor numérico. |
| Lockoutobservationwindow | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contador de bloqueio de conta após'. Valor numérico. |
| LockoutThreshold | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite de bloqueio de conta'. Valor numérico. |
| LoggingResult | string | O resultado do processo de logon. |
| LogonGuid | string | Um GUID que pode ajudá-lo a correlacionar esse evento com outro evento que pode conter o mesmo GUID de Logon. |
| LogonHours | string | Horas em que a conta tem permissão para fazer logon no domínio. |
| LogonID | string | Valor hexadecimal que pode ajudá-lo a correlacionar esse evento com eventos recentes que podem conter a mesma ID de Logon. |
| LogonProcessName | string | O nome do processo de logon registrado. |
| LogonType | INT | O tipo de logon que foi executado. |
| LogonTypeName | string | O tipo de evento de logon ou autenticação que está sendo capturado pelo log de eventos (valores comuns:Interativo, Rede, RemoteInteractive, Desbloquear). |
| MachineAccountQuota | string | O atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico. |
| MachineInventory | string | Informações sobre a configuração de hardware e o ambiente de software do computador em que o evento está sendo gerado. Ele pode incluir diferentes pontos de dados, por exemplo: a criação e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de vários aplicativos de software etc. |
| MachineLogon | string | Informações sobre um evento de logon bem-sucedido no computador. |
| ManagementGroupName | string | Informações adicionais com base no tipo de recurso. |
| MandatoryLabel | string | ID do rótulo de integridade que foi atribuído ao novo processo. |
| MaxPasswordAge | string | O período de tempo (em dias) que uma senha pode ser usada antes que o sistema exija que o usuário a altere. |
| MemberName | string | A conta de usuário que estava envolvida no evento. |
| MemberSid | string | O SID (identificador de segurança) associado à conta de usuário envolvida no evento. |
| MinPasswordAge | string | O período de tempo (em dias) que uma senha deve ser usada antes que o sistema exija que o usuário a altere. |
| MinPasswordLength | string | O menor número de caracteres que podem criar uma senha para uma conta de usuário. |
| MixedDomainMode | string | O modo de domínio de um sistema ou controlador de domínio. |
| NASIdentifier | string | O identificador do NAS (servidor de acesso à rede) que estava envolvido no evento. |
| NASIPv4Address | string | O IPv4Address do NAS (servidor de acesso à rede) que estava envolvido no evento, se aplicável. |
| NASIPv6Address | string | O IPv6Address do NAS (servidor de acesso à rede) que estava envolvido no evento, se aplicável. |
| NASPort | string | a porta no servidor de acesso à rede que foi usada no evento. |
| NASPortType | string | o tipo de NAS (servidor de acesso à rede) usado no evento. |
| NetworkPolicyName | string | O nome da política de rede associada ao evento. |
| NewDate | string | Nova data no fuso horário UTC. O formato é AAAA-MM-DD. |
| NewMaxUsers | string | O novo número máximo de usuários permitido para um recurso no evento. |
| NewProcessId | string | ID do processo hexadecimal do novo processo. A PID (ID do Processo) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo. |
| NewProcessName | string | Caminho completo e o nome do executável para o novo processo. |
| NewRemark | string | O novo valor do campo 'Comentários:' de compartilhamento de rede. Tem o valor 'N/D' se não estiver definido. |
| NewShareFlags | string | Os sinalizadores de compartilhamento associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se ele está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| NewTime | string | Nova hora que foi definida no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Especifica sinalizadores que controlam senha, bloqueio, desabilitação/habilitação, script e outro comportamento para a conta de usuário. |
| NewValue | string | Novo valor para o valor de chave do Registro alterado. |
| NewValueType | string | Novo tipo de valor de chave do Registro alterado. |
| ObjectName | string | Nome e outras informações de identificação para o objeto para o qual o acesso foi solicitado. Por exemplo, para um arquivo, o caminho seria incluído. |
| Objectserver | string | Contém o nome do subsistema do Windows que chama a rotina. |
| ObjectType | string | O tipo de um objeto que foi acessado durante a operação. |
| ObjectValueName | string | O nome do valor da chave do Registro modificado. |
| OemInformation | string | O fabricante original do equipamento (OEM) associado a um dispositivo ou sistema no evento. |
| OldMaxUsers | string | O número máximo anterior de usuários permitido para um recurso no evento. |
| OldRemark | string | o valor antigo do campo 'Comentários:' de compartilhamento de rede. Tem o valor 'N/D' se não estiver definido. |
| OldShareFlags | string | Os sinalizadores de compartilhamento anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se ele está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| OldUacValue | string | Especifica sinalizadores que controlam senha, bloqueio, desabilitação/habilitação, script e outro comportamento para a conta de usuário. Esse parâmetro contém o valor anterior do atributo userAccountControl do objeto user. |
| OldValue | string | Valor antigo para o valor da chave do Registro alterado. |
| OldValueType | string | Tipo antigo de valor de chave do Registro alterado. |
| OperationType | string | O tipo de operação que foi executada em um objeto |
| PackageName | string | O nome do subpasta do LAN Manager (nome do protocolo da família NTLM) que foi usado durante o logon. |
| ParentProcessName | string | O nome do processo pai associado ao evento. |
| PasswordHistoryLength | string | \Configurações de Segurança\Políticas de Conta\Política de Senha\Impor histórico de senhas" política de grupo. Valor numérico. |
| PasswordLastSet | string | Última vez em que a senha da conta foi modificada. |
| PasswordProperties | string | As políticas de senha ou propriedades associadas ao evento, por exemplo: comprimento da senha, complexidade e data de validade. |
| Previousdate | string | A data anterior associada ao evento. |
| PreviousTime | string | Hora anterior no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | RID (Identificador Relativo) do grupo primário de objeto do usuário. |
| PrivateKeyUsageCount | string | O número de vezes que uma chave privada foi usada. |
| PrivilegeList | string | Os privilégios, incluindo privilégios de usuário, grupo ou sistema associados ao evento. |
| Processar | string | O nome do processo que gera o evento. |
| ProcessId | string | Identifica o processo que gerou o evento. |
| ProcessName | string | Caminho completo e o nome do executável para o processo. |
| ProfilePath | string | Especifica um caminho para o perfil da conta. Esse valor pode ser uma cadeia de caracteres nula, um caminho absoluto local ou um caminho UNC. |
| Propriedades | string | Depende do tipo de objeto. Esse campo pode estar vazio ou conter a lista das propriedades do objeto que foram acessadas. |
| ProtocolSequence | string | Informações sobre o protocolo usado para uma tentativa de autenticação. |
| ProxyPolicyName | string | Nome da política que foi usada para configurar o servidor proxy para se conectar à rede. |
| QuarantineHelpURL | string | URL que fornece ajuda para solucionar um problema de quarentena de rede. |
| QuarantineSessionID | string | Identificador da sessão em que o arquivo foi avaliado para quarentena. |
| QuarantineSessionIdentifier | string | Identificador da sessão em que o arquivo foi avaliado para quarentena. |
| QuarantineState | string | Ele mostra se o arquivo está em quarentena. |
| QuarantineSystemHealthResult | string | Relatório que mostra o status dos arquivos que foram colocados em quarentena. |
| RelativeTargetName | string | Nome relativo do arquivo ou pasta de destino acessado. Esse caminho de arquivo é relativo ao compartilhamento de rede. Se o acesso tiver sido solicitado para o compartilhamento em si, esse campo será exibido como "\". |
| RemoteIpAddress | string | O endereço IP do computador que iniciou uma conexão remota. |
| RemotePort | string | O número da porta do computador remoto que iniciou uma conexão. |
| Solicitante | string | O identificador do solicitante de eventos. |
| RequestId | string | Um identificador exclusivo associado a solicitações específicas, como aquelas feitas por HTTP. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| RestrictedAdminMode | string | Populado apenas para sessões de tipo de logon RemoteInteractive. Esse é um sinalizador Sim/Não que indica se as credenciais fornecidas foram passadas usando o modo de Administração Restrito. O modo de Administração restrito foi adicionado no Win8.1/2012R2, mas esse sinalizador foi adicionado ao evento no Win10. |
| RowsDeleted | string | O número de linhas que foram excluídas como parte de uma operação específica. |
| SamAccountName | string | nome de logon para conta usada para dar suporte a clientes e servidores de versões anteriores do Windows (nome de logon pré-Windows 2000). |
| ScriptPath | string | Especifica o caminho do script de logon da conta. |
| SecurityDescriptor | string | Informações sobre as configurações de segurança e permissões de um objeto ou recurso específico. |
| ServiceAccount | string | O contexto de segurança que o serviço executará como quando iniciado. |
| ServiceFileName | string | Indica o tipo de serviço que foi registrado no Gerenciador de Controle de Serviço. |
| ServiceName | string | O nome do serviço instalado. |
| ServiceStartType | INT | Contém informações sobre como um determinado serviço deve ser iniciado, independentemente de ser iniciado automaticamente ou manualmente. |
| ServiceType | string | Indica o tipo de serviço que foi registrado no Gerenciador de Controle de Serviço. |
| SessionName | string | O nome da sessão à qual o usuário foi reconectado. |
| ShareLocalPath | string | O caminho local do compartilhamento de rede acessado. |
| ShareName | string | O nome do compartilhamento de rede acessado. O formato é: \*\SHARE_NAME. |
| Sidhistory | string | Contém SIDs anteriores usados para o objeto se o objeto foi movido de outro domínio. |
| SourceComputerId | string | Identificador exclusivo atribuído a cada computador em um domínio do Windows. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| Status | string | O motivo pelo qual o logon falhou. Para esse evento, ele normalmente tem o valor "0xC0000234". Os códigos de status mais comuns são listados na Tabela 12. Códigos de status de logon do Windows. |
| StorageAccount | string | Define a chave de acesso da conta de armazenamento. |
| SubcategoryGuid | string | O GUID exclusivo da subcategoria alterada. |
| SubcategoryId | string | Um identificador exclusivo para um tipo específico do evento. |
| Assunto | string | Informações sobre a entidade de segurança (por exemplo: conta de usuário) que iniciou o evento. |
| SubjectAccount | string | Informações sobre a conta que está iniciando o evento. |
| SubjectDomainName | string | Informações sobre o domínio ou grupo de trabalho ao qual a conta de assunto pertence. |
| Subjectkeyidentifier | string | Um identificador exclusivo para uma entidade de certificado específica. |
| SubjectLogonId | string | Um identificador exclusivo para a sessão de logon associada à conta do assunto. |
| SubjectMachineName | string | Informações sobre o computador ou sistema do qual o evento foi criado. |
| SubjectMachineSID | string | O SID (identificador de segurança) para o computador que gerou o evento. |
| SubjectUserName | string | O nome da conta de usuário que gerou o evento. |
| SubjectUserSid | string | O SID (identificador de segurança) da conta de usuário que gerou o evento. |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| SubStatus | string | Informações adicionais sobre falha de logon. Os códigos de substatus mais comuns listados na 'Tabela 12. Códigos de status de logon do Windows'. |
| Tableid | string | O identificador de tabela de dados específico no qual os dados do evento são armazenados. |
| TargetAccount | string | A conta direcionada pelo evento (nome de usuário, nome de computador etc.). |
| Targetdomainname | string | O nome do domínio ao qual a conta de destino pertence. |
| TargetInfo | string | Informações adicionais sobre o destino do evento (por exemplo: o caminho para um arquivo ou pasta, o nome de uma chave do Registro etc.). |
| TargetLinkedLogonId | string | Informações que ajudam a vincular eventos relacionados por suas IDs de tentativa de logon. Pode ser útil para manter todos os eventos relevantes organizados, acompanhar a atividade em várias sessões e identificar a origem do ataque. |
| TargetLogonGuid | string | Um GUID (identificador global exclusivo) associado à sessão de logon relacionada ao evento. |
| TargetLogonId | string | Um identificador exclusivo associado à sessão de logon relacionada ao evento. |
| TargetOutboundDomainName | string | O domínio no qual a conta especificada no campo TargetAccount foi autenticada durante uma tentativa de autenticação de saída. |
| TargetOutboundUserName | string | O nome da conta de usuário que foi autenticada durante uma tentativa de autenticação de saída. |
| TargetServerName | string | O nome do servidor no qual o novo processo foi executado. Tem o valor "localhost" se o processo foi executado localmente. |
| TargetSid | string | O SID (identificador de segurança) do servidor no qual o novo processo foi executado. |
| TargetUser | string | O identificador da conta de usuário que gerou o novo processo. |
| TargetUserName | string | O nome da conta de usuário que gerou o novo processo. |
| TargetUserSid | string | O SID (identificador de segurança) associado ao usuário ou recurso envolvido no evento. |
| Tarefa | INT | A tarefa definida no evento. |
| TemplateContent | string | O conteúdo da mensagem de evento ou notificação em um formulário estruturado. |
| TemplateDSObjectFQDN | string | FQDN do objeto DS que representa o modelo de GPO. |
| TemplateInternalName | string | O nome interno do modelo de GPO. |
| TemplateOID | string | o identificador exclusivo para o modelo que foi usado para criar o evento. |
| TemplateSchemaVersion | string | Versão do esquema de modelo que define os dados a serem incluídos com um evento. |
| TemplateVersion | string | Versão do modelo que define os dados a serem incluídos com um evento. |
| TenantId | string | A ID do workspace do Log Analytics |
| TimeGenerated | DATETIME | O carimbo de data/hora quando o evento foi gerado no computador. |
| TokenElevationType | string | Tipo de token atribuído a um novo processo de acordo com a Política de Controle de Conta de Usuário. |
| TransmittedServices | string | A lista de serviços transmitidos. Os serviços transmitidos serão preenchidos se o logon for resultado de um processo de logon S4U (Serviço para Usuário). O S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicativo obtenha um tíquete de serviço Kerberos em nome de um usuário – mais comumente feito por um site front-end para acessar um recurso interno em nome de um usuário. Para obter mais informações sobre s4U, consulte https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | string | O nome da tabela |
| UserAccountControl | string | Mostra a lista de alterações no atributo userAccountControl. Você verá uma linha de texto para cada alteração. |
| UserParameters | string | Se você alterar qualquer configuração usando Usuários e Computadores do Active Directory console de gerenciamento na guia Discagem das propriedades da conta do usuário, verá <o valor alterado, mas não exibido> neste campo. Para contas locais, esse campo não é aplicável e sempre tem <valor não definido> . |
| UserPrincipalName | string | Nome de logon no estilo da Internet para a conta, com base no RFC 822 padrão da Internet. Por convenção, isso deve ser mapeado para o nome de email da conta. |
| UserWorkstations | string | Contém a lista de nomes NetBIOS ou DNS dos computadores dos quais o usuário pode fazer logon. Cada nome de computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador. |
| VendorIds | string | Atributo 'IDs de hardware' do dispositivo. Para ver as propriedades do dispositivo, inicie Gerenciador de Dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes'. |
| VirtualAccount | string | Um sinalizador 'Sim' ou 'Não', que indica se a conta é uma conta virtual (por exemplo, 'Conta de Serviço Gerenciado'), que foi introduzida no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço usa, em vez de apenas usar 'NetworkService'. |
| Estação de Trabalho | string | O nome do computador que foi usado para executar o evento. |
| WorkstationName | string | Nome do computador do qual uma tentativa de logon foi executada. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de