Partilhar via


SecurityEvent

Eventos de segurança coletados de máquinas Windows pela Central de Segurança do Azure ou pelo Azure Sentinel.

Atributos da tabela

Atributo Value
Tipos de recursos Microsoft.SecurityInsights/SecurityInsights,
microsoft.compute/virtualmachines,
Microsoft.ConenctedVMWarevsphere/VirtualMachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
Microsoft.Compute/VirtualMachineScaleSets
Categorias Segurança
Soluções Segurança, SecurityInsights
Log básico Não
Transformação do tempo de ingestão Sim
Consultas de Exemplo Sim

Colunas

Column Tipo Description
Máscara de Acesso string Máscara hexadecimal para a operação solicitada ou executada.
Account string O contexto de segurança para serviços ou usuários.
AccountDomain string Domínio do assunto ou nome do computador.
ContaExpira string A data em que a conta expira.
AccountName string O nome da conta que solicitou a operação "remover confiança de domínio".
AccountSessionIdentifier string Um identificador exclusivo que é gerado pela máquina quando a sessão é criada.
Tipo de Conta string Identifica se a conta é uma conta de computador (máquina) ou de um usuário.
Atividade string O título descritivo do evento ocorreu.
AdditionalInfo string Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista.
AdicionalInfo2 string Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista.
AllowedToDelegateTo string A lista de SPNs para os quais essa conta pode apresentar credenciais delegadas.
Atributos string Informações adicionais sobre o evento.
AuditPolicyChanges string Eventos que são gerados quando são feitas alterações na diretiva de auditoria do sistema ou nas configurações de auditoria em um arquivo ou chave do Registro.
AuditoriasDescartadas número inteiro Número de mensagens de auditoria que foram descartadas.
Nível de autenticação número inteiro Número de mensagens de auditoria que foram descartadas.
AuthenticationPackageName string o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME.
AuthenticationProvider string A identidade do fornecedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de utilizador, um sistema de autenticação por palavra-passe, etc.).
AuthenticationServer string O servidor no qual localizado o provedor de autenticação.
Serviço de autenticação número inteiro O serviço no qual localizado o provedor de autenticação.
Tipo de autenticação string o tipo de autenticação que foi usado para o evento (autenticação de dois fatores, autenticação biométrica, etc.).
AzureDeploymentID string ID de implantação do Azure do serviço de nuvem ao qual o log pertence.
_BilledSize real O tamanho do registo em bytes
CACertificateHash string O valor de hash do certificado da autoridade de certificação (CA) que foi usado para autenticar o usuário que executou o evento.
CalledStationID string Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança.
CallerProcessId string ID de processo hexadecimal do processo que tentou fazer logon. ID de processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo.
CallerProcessName string Caminho completo e o nome do executável para o processo.
CallingStationID string Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança.
CAPublicKeyHash string Valor de hash que identifica a chave pública de uma autoridade de certificação (CA) que emitiu um certificado.
CategoriaId string A categoria do evento de segurança que ocorreu (tentativa de login, violação de dados, etc).
CertificateDatabaseHash string Valor de hash que identifica o banco de dados que emitiu um certificado.
Canal string O canal no qual o evento foi registrado.
ClassId string Atributo 'Class Guid' do dispositivo.
ClassName string Atributo 'Classe' do dispositivo.
Endereço do Cliente string Endereço IP do computador a partir do qual o pedido de TGT foi recebido.
ClientIPAddress string Endereço IP do computador que iniciou a ação que levou ao evento.
Nome do Cliente string nome do computador a partir do qual o usuário foi reconectado. Tem o valor 'Desconhecido' para a sessão do console.
Linha de comando string Os argumentos de linha de comando que foram passados para um aplicativo ou processo envolvido no evento.
CompatibleIds string Atributo 'Ids compatíveis' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes':
Computador string O nome do computador no qual o evento ocorreu.
Correlação string Os identificadores de atividade que os consumidores podem usar para agrupar eventos relacionados.
DCDNSName string O nome DNS do controlador de domínio envolvido no evento.
Descrição do dispositivo string a descrição do dispositivo envolvido no evento.
DeviceId string O identificador exclusivo do dispositivo envolvido no evento.
DisplayName string É um nome, exibido no catálogo de endereços de uma conta específica. Isso geralmente é a combinação do primeiro nome, inicial do meio e sobrenome do usuário.
Disposição string O resultado/resolução do evento, como se o evento foi resolvido ou se alguma ação foi tomada em resposta ao evento.
DomainBehaviorVersion string O atributo de domínio msDS-Behavior-Version foi modificado. Valor numérico.
DomainName string O nome do domínio confiável removido.
DomainPolicyChanged string Indica se alguma política de domínio foi alterada como parte do evento (políticas de senha, políticas de segurança, etc.).
DomainSid string SID do parceiro fiduciário. Este parâmetro pode não ser capturado no evento e, nesse caso, aparece como 'SID NULL'.
EAPTipo string O tipo de protocolo de autenticação extensível (EAP) que foi usado para o processo de autenticação de eventos.
ElevatedToken string Uma bandeira "Sim" ou "Não". Se 'Sim', a sessão que este evento representa é elevada e tem privilégios de administrador.
CódigoDoErro número inteiro Contém código de erro para eventos de falha. Para eventos de sucesso, esse parâmetro tem valor '0x0'.
Dados de Evento string Dados específicos do evento associados ao evento.
EventID número inteiro O identificador que o provedor usou para identificar o evento.
EventLevelName string A cadeia de caracteres de mensagem renderizada do nível especificado no evento.
EventRecordId string O número de registro atribuído ao evento quando ele foi registrado.
EventSourceName string O nome do software que registra o evento (applicationor a succomponent).
ExtendedQuarantineState string O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual dispositivos não autorizados são impedidos de acessar uma rede até que atendam a certos requisitos de segurança ou tenham sido verificados quanto a malware.
FailureReason string explicação textual do valor do campo Status. Para este evento, normalmente tem o valor 'Conta bloqueada'.
Hash de Ficheiro string O valor de hash para todos os arquivos que foram acessados ou modificados como parte do evento, ou quaisquer arquivos que foram usados no processo de autenticação ou autorização.
FilePath string Caminho completo e nome do arquivo de chave no qual a operação foi executada.
FilePathNoUser string O caminho de todos os arquivos relacionados ao evento, excluindo o nome de usuário ou outras informações específicas do usuário.
Filtro string Filtros que são usados no evento executado.
ForceLogoff string Política de grupo '\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: Forçar logoff quando as horas de logon expirarem'.
FQBN string O nome binário totalmente qualificado (FQBN) para quaisquer arquivos relacionados ao evento.
FullyQualifiedSubjectMachineName string O nome de domínio totalmente qualificado (FQDN) da máquina que iniciou o evento.
FullyQualifiedSubjectUserName string O nome de usuário do usuário ou serviço que iniciou o evento no formato FQDN.
GroupMembership string A lista de SIDs de grupo aos quais a conta registrada pertence (membro de). O Visualizador de Eventos tenta resolver SIDs automaticamente e mostrar o nome da conta. Se o SID não puder ser resolvido, você verá os dados de origem no evento.
HandleId string Valor hexadecimal de um identificador para Nome do objeto. Este campo pode ser usado para correlação com outros eventos.
HardwareIds string Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes':
HomeDirectório string Diretório inicial do usuário. Se o atributo homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho deve ser um UNC de rede do formato \Server\Share\Directory.
HomePath string Caminho inicial do usuário. O caminho deve ser um UNC de rede do formato \Server\Share\Directory.
InterfaceUuid string O identificador exclusivo (UUID) para a interface de rede que foi usada para o evento.
Endereço IP string o endereço de rede (geralmente IPv4 ou IPv6) associado ao evento.
IpPort string O número da porta de rede associado ao evento.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure
KeyLength número inteiro O comprimento da chave de segurança de sessão NTLM. Normalmente, tem 128 bits ou 56 bits de comprimento.
Palavras-chave string Uma máscara de bits das palavras-chave definidas no evento.
Level string O Windows categoriza cada evento com um nível de gravidade. Os níveis por ordem de severidade são informação, verbose, aviso, erro e crítica expressa em números.
LmPackageName string O nome do pacote ou componente de software que está usando atualmente a Autoridade de Segurança Local (LSA) na máquina onde o evento está sendo gerado.
LocalizaçãoInformação string Atributo 'Informação de localização' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes':
LockoutDuration string Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio de Conta'. Valor numérico.
LockoutObservationWindow string Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contador de bloqueio de conta após'. Valor numérico.
LockoutThreshold string Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite de bloqueio de conta'. Valor numérico.
LoggingResult string O resultado do processo de logon.
LogonGuid string Um GUID que pode ajudá-lo a correlacionar esse evento com outro evento que pode conter o mesmo GUID de logon.
LogonHoras string Horas em que a conta tem permissão para fazer logon no domínio.
ID de logon string Valor hexadecimal que pode ajudá-lo a correlacionar esse evento com eventos recentes que podem conter a mesma ID de logon.
LogonProcessName string O nome do processo de logon registrado.
LogonType número inteiro O tipo de logon que foi executado.
LogonTypeName string O tipo de evento de logon ou autenticação que está sendo capturado pelo log de eventos (valores comuns:Interactive, Network, RemoteInteractive, Unlock).
MachineAccountQuota string O atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico.
MáquinaInventário string Informações sobre a configuração de hardware e ambiente de software do computador onde o evento está sendo gerado. Pode incluir diferentes pontos de dados, por exemplo: a marca e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de várias aplicações de software, etc.).
MáquinaLogon string Informações sobre um evento de logon bem-sucedido na máquina.
ManagementGroupName string Informações adicionais com base no tipo de recurso.
Rótulo obrigatório string ID do rótulo de integridade que foi atribuído ao novo processo.
MaxPasswordAge string O período de tempo (em dias) que uma senha pode ser usada antes que o sistema exija que o usuário a altere.
Nome do Membro string A conta de usuário que esteve envolvida no evento.
MemberSid string O identificador de segurança (SID) associado à conta de usuário envolvida no evento.
MinPasswordAge string O período de tempo (em dias) que uma senha deve ser usada antes que o sistema exija que o usuário a altere.
MinPasswordLength string O menor número de caracteres que podem compor uma senha para uma conta de usuário.
MixedDomainMode string O modo de domínio de um sistema ou controlador de domínio.
NASIdentifier string O identificador do servidor de acesso à rede (NAS) envolvido no evento.
NASIPv4Endereço string O IPv4Address do servidor de acesso à rede (NAS) envolvido no evento, se aplicável.
Endereço NASIPv6 string O IPv6Address do servidor de acesso à rede (NAS) envolvido no evento, se aplicável.
NASPort string A porta no servidor de acesso à rede que foi usada no evento.
NASPortType string o tipo de servidor de acesso à rede (NAS) usado no evento.
NetworkPolicyName string O nome da diretiva de rede associada ao evento.
NovoData string Nova data no fuso horário UTC. O formato é AAAA-MM-DD.
NewMaxUsers string O novo número máximo de usuários permitido para um recurso no evento.
NewProcessId string ID de processo hexadecimal do novo processo. ID de processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo.
NewProcessName string Caminho completo e o nome do executável para o novo processo.
NovoObservação string O novo valor do campo 'Comentários:' de compartilhamento de rede. Tem o valor 'N/A' se não estiver definido.
NewShareFlags string Os sinalizadores de compartilhamento associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões.
NewTime string Nova hora que foi definida no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ
NewUacValue string Especifica sinalizadores que controlam senha, bloqueio, desabilitar/habilitar, script e outros comportamentos para a conta de usuário.
NovoValor string Novo valor para o valor da chave do Registro alterado.
NewValueType string Novo tipo de valor de chave do Registro alterado.
ObjectName string Nome e outras informações de identificação do objeto para o qual o acesso foi solicitado. Por exemplo, para um arquivo, o caminho seria incluído.
ObjectServer string Contém o nome do subsistema Windows que chama a rotina.
Tipo de objeto string O tipo de um objeto que foi acessado durante a operação.
ObjectValueName string O nome do valor da chave do Registro modificada.
OemInformação string O fabricante do equipamento original (OEM) associado a um dispositivo ou sistema no evento.
OldMaxUsuários string O número máximo anterior de usuários permitido para um recurso no evento.
Observação antiga string o valor antigo do campo 'Comentários:' de compartilhamento de rede. Tem o valor 'N/A' se não estiver definido.
OldShareFlags string Os sinalizadores de compartilhamento anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões.
OldUacValue string Especifica sinalizadores que controlam senha, bloqueio, desabilitar/habilitar, script e outros comportamentos para a conta de usuário. Este parâmetro contém o valor anterior do atributo userAccountControl do objeto user.
OldValue string Valor antigo para o valor da chave do Registro alterado.
OldValueType string Tipo antigo de valor de chave do Registro alterado.
Opcode string O elemento opcode é definido pelo tipo complexo SystemPropertiesType.
OperationType string O tipo de operação que foi executada em um objeto
Nome do pacote string O nome do subpacote do LAN Manager (nome do protocolo da família NTLM) que foi usado durante o logon.
ParentProcessName string O nome do processo pai associado ao evento.
PasswordHistoryLength string Política de grupo \Configurações de Segurança\Políticas de Conta\Política de Senha\Impor histórico de senhas. Valor numérico.
PasswordLastSet string Da última vez que a palavra-passe da conta foi modificada.
PasswordProperties string As políticas de senha ou propriedades associadas ao evento, por exemplo: comprimento da senha, complexidade e data de validade.
AnteriorData string A data anterior associada ao evento.
AnteriorTime string Hora anterior no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ.
PrimaryGroupId string Identificador Relativo (RID) do grupo primário de objetos do usuário.
PrivateKeyUsageCount string O número de vezes que uma chave privada foi usada.
Lista de privilégios string Os privilégios, incluindo privilégios de usuário, grupo ou sistema associados ao evento.
Processo string O nome do processo que gera o evento.
ProcessId string Identifica o processo que gerou o evento.
ProcessName string Caminho completo e o nome do executável para o processo.
ProfilePath string Especifica um caminho para o perfil da conta. Esse valor pode ser uma cadeia de caracteres nula, um caminho absoluto local ou um caminho UNC.
Propriedades string Depende do tipo de objeto. Este campo pode estar vazio ou conter a lista das propriedades do objeto que foram acessadas.
ProtocolSequence string Informações sobre o protocolo usado para uma tentativa de autenticação.
ProxyPolicyName string Nome da política que foi usada para configurar o servidor proxy para se conectar à rede.
QuarentenaHelpURL string URL que fornece ajuda para solucionar um problema de quarentena de rede.
QuarentenaSessionID string Identificador da sessão em que o ficheiro foi avaliado para quarentena.
QuarantineSessionIdentifier string Identificador da sessão em que o ficheiro foi avaliado para quarentena.
Estado de quarentena string Ele mostra se o arquivo está em quarentena.
QuarentenaSystemHealthResult string Relatório que mostra o estado dos ficheiros que foram colocados em quarentena.
RelativeTargetName string Nome relativo do arquivo ou pasta de destino acessado. Esse caminho de arquivo é relativo ao compartilhamento de rede. Se o acesso foi solicitado para o compartilhamento em si, este campo aparece como "".
RemoteIpAddress string O endereço IP do computador que iniciou uma conexão remota.
Porta Remota string O número da porta do computador remoto que iniciou uma conexão.
Autor do Pedido string O identificador do solicitante de eventos.
RequestId string Um identificador exclusivo associado a solicitações específicas, como aquelas feitas por HTTP.
_ResourceId string Um identificador exclusivo para o recurso ao qual o registro está associado
RestrictedAdminMode string Preenchido apenas para sessões do tipo de logon RemoteInteractive. Este é um sinalizador Sim/Não que indica se as credenciais fornecidas foram passadas usando o modo Administrador restrito. Modo de administrador restrito foi adicionado no Win8.1/2012R2, mas esse sinalizador foi adicionado ao evento no Win10.
LinhasExcluídas string O número de linhas que foram excluídas como parte de uma operação específica.
SamAccountName string nome de logon para conta usada para suportar clientes e servidores de versões anteriores do Windows (nome de logon anterior ao Windows 2000).
Caminho do Script string Especifica o caminho do script de logon da conta.
SecurityDescritor string Informações sobre as configurações de segurança e permissões de um determinado objeto ou recurso.
ServiceAccount string O contexto de segurança que o serviço executará como quando iniciado.
ServiceFileName string Indica o tipo de serviço que foi registrado com o Gerenciador de Controle de Serviço.
ServiceName string O nome do serviço instalado.
ServiceStartType número inteiro Contém informações sobre como um determinado serviço deve ser iniciado, se deve ser iniciado automaticamente ou manualmente.
ServiceType string Indica o tipo de serviço que foi registrado com o Gerenciador de Controle de Serviço.
Nome da Sessão string O nome da sessão à qual o usuário foi reconectado.
ShareLocalPath string O caminho local do compartilhamento de rede acessado.
Nome_do-compartilhamento string O nome do compartilhamento de rede acessado. O formato é: \*\SHARE_NAME.
SidHistória string Contém SIDs anteriores usados para o objeto se o objeto foi movido de outro domínio.
SourceComputerId string Identificador exclusivo atribuído a cada computador em um domínio do Windows.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure
Estado string A razão pela qual o logon falhou. Para este evento, normalmente tem valor '0xC0000234'. Os códigos de status mais comuns estão listados na Tabela 12. Códigos de status de logon do Windows.
StorageAccount string Define a chave de acesso da conta de armazenamento.
SubcategoriaGuid string O GUID exclusivo da subcategoria alterada.
SubcategoriaId string Um identificador exclusivo para um tipo específico de evento.
Assunto string Informações sobre a entidade de segurança (por exemplo: conta de usuário) que iniciou o evento.
AssuntoConta string Informações sobre a conta que está iniciando o evento.
AssuntoNome de Domínio string Informações sobre o domínio ou grupo de trabalho ao qual a conta de assunto pertence.
SubjectKeyIdentifier string Um identificador exclusivo para um assunto de certificado específico.
AssuntoLogonId string Um identificador exclusivo para a sessão de logon associada à conta de assunto.
SubjectMachineName string Informações sobre a máquina ou o sistema a partir do qual o evento foi criado.
SubjectMachineSID string O identificador de segurança (SID) da máquina que gerou o evento.
SubjectUserName string O nome da conta de usuário que gerou o evento.
AssuntoUserSid string O identificador de segurança (SID) para a conta de usuário que gerou o evento.
_SubscriptionId string Um identificador exclusivo para a assinatura à qual o registro está associado
Subestado string Informações adicionais sobre falha de logon. Os códigos de subestatuto mais comuns enumerados no «Quadro 12. Códigos de estado de início de sessão do Windows».
SystemProcessId número inteiro Identifica o processo que gerou o evento.
SystemThreadId número inteiro Identifica o thread que gerou o evento.
SystemUserId string O ID do usuário responsável pelo evento.
TableId string O identificador de tabela de dados específico no qual os dados do evento são armazenados.
Conta Alvo string A conta visada pelo evento (nome de utilizador, nome do computador, etc.).
TargetDomainName string O nome do domínio ao qual a conta de destino pertence.
TargetInfo string Informações adicionais sobre o destino do evento (por exemplo: o caminho para um arquivo ou pasta, o nome de uma chave do Registro, etc.).
TargetLinkedLogonId string Informações que ajudam a vincular eventos relacionados por suas IDs de tentativa de logon. Pode ser útil para manter todos os eventos relevantes organizados, rastrear a atividade em várias sessões e identificar a origem do ataque.
TargetLogonGuid string Um identificador global exclusivo (GUID) associado à sessão de logon relacionada ao evento.
TargetLogonId string Um identificador exclusivo associado à sessão de logon relacionada ao evento.
TargetOutboundDomainName string O domínio no qual a conta especificada no campo TargetAccount foi autenticada durante uma tentativa de autenticação de saída.
TargetOutboundUserName string O nome da conta de usuário que foi autenticada durante uma tentativa de autenticação de saída.
NomeServidorAlvo string O nome do servidor no qual o novo processo foi executado. Tem valor "localhost" se o processo foi executado localmente.
TargetSid string O identificador de segurança (SID) do servidor no qual o novo processo foi executado.
Utilizador-alvo string O identificador de conta de usuário que gerou o novo processo.
TargetUserName string O nome da conta de usuário que gerou o novo processo.
TargetUserSid string O identificador de segurança (SID) associado ao usuário ou recurso envolvido no evento.
Task número inteiro A tarefa definida no evento.
TemplateContent string O conteúdo da mensagem ou notificação do evento de forma estruturada.
ModeloDSObjectFQDN string FQDN do objeto DS que representa o modelo de GPO.
TemplateInternalName string O nome interno do modelo de GPO.
ModeloOID string O identificador exclusivo do modelo que foi usado para criar o evento.
TemplateSchemaVersion string Versão do esquema de modelo que define os dados a serem incluídos em um evento.
ModeloVersão string Versão do modelo que define os dados a serem incluídos em um evento.
TenantId cadeia O ID do espaço de trabalho do Log Analytics
TimeGenerated datetime O carimbo de data/hora quando o evento foi gerado no computador.
TokenElevationType string Tipo de token que foi atribuído a um novo processo de acordo com a Política de Controle de Conta de Usuário.
Serviços Transmitidos string A lista dos serviços transmitidos. Os serviços transmitidos são preenchidos se o logon foi resultado de um processo de logon S4U (Service For User). O S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicativo obtenha um tíquete de serviço Kerberos em nome de um usuário - mais comumente feito por um site front-end para acessar um recurso interno em nome de um usuário. Para obter mais informações sobre o S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx.
Type string O nome da tabela
UserAccountControl string Mostra a lista de alterações no atributo userAccountControl. Você verá uma linha de texto para cada alteração.
UserParameters string Se você alterar qualquer configuração usando o console de gerenciamento Usuários e Computadores do Ative Directory na guia Discagem das propriedades da conta do usuário, verá <o valor alterado, mas não exibido> neste campo. Para contas locais, este campo não é aplicável e sempre tem <valor não definido> .
UserPrincipalName string Nome de login no estilo Internet para a conta, baseado no padrão da Internet RFC 822. Por convenção, isso deve ser mapeado para o nome de e-mail da conta.
UserWorkstations string Contém a lista de nomes NetBIOS ou DNS dos computadores a partir dos quais o utilizador pode iniciar sessão. Cada nome de computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador.
VendorIds string Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gestor de dispositivos, abra propriedades específicas do dispositivo e clique em 'Detalhes'.
Versão número inteiro Contém o número da versão da definição do evento.
Conta virtual string Um sinalizador 'Sim' ou 'Não', que indica se a conta é uma conta virtual (por exemplo, 'Conta de Serviço Gerenciado'), que foi introduzido no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço usa, em vez de apenas usar 'NetworkService'.
Estação de trabalho string O nome da máquina que foi usada para executar o evento.
Nome da estação de trabalho string Nome da máquina a partir da qual foi executada uma tentativa de logon.