SecurityEvent
Säkerhetshändelser som samlas in från Windows-datorer av Azure Security Center eller Azure Sentinel.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorier | Säkerhet |
| Lösningar | Säkerhet, SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AccessMask | sträng | Hexadecimal mask för den begärda eller utförda åtgärden. |
| Konto | sträng | Säkerhetskontexten för tjänster eller användare. |
| AccountDomain | sträng | Ämnesdomän eller datornamn. |
| AccountExpires | sträng | Datumet då kontot upphör att gälla. |
| AccountName | sträng | Namnet på kontot som begärde åtgärden "ta bort domänförtroende". |
| AccountSessionIdentifier | sträng | En unik identifierare som genereras av datorn när sessionen skapas. |
| AccountType | sträng | Identifierar om kontot är ett datorkonto (dator) eller en användares. |
| Aktivitet | sträng | Den beskrivande rubriken för händelsen inträffade. |
| AdditionalInfo | sträng | Ytterligare information som tillhandahålls av källan, som inte mappas till andra fält, som representeras av listan. |
| AdditionalInfo2 | sträng | Ytterligare information som tillhandahålls av källan, som inte mappas till andra fält, som representeras av listan. |
| AllowedToDelegateTo | sträng | Listan över SPN:er som det här kontot kan presentera delegerade autentiseringsuppgifter för. |
| Attribut | sträng | Ytterligare information om händelsen. |
| AuditPolicyChanges | sträng | Händelser som genereras när ändringar görs i systemgranskningsprincipen eller granskningsinställningarna för en fil eller registernyckel. |
| AuditsDiscarded | int | Antal granskningsmeddelanden som har ignorerats. |
| AuthenticationLevel | int | Antal granskningsmeddelanden som har ignorerats. |
| AuthenticationPackageName | sträng | namnet på det inlästa autentiseringspaketet. Formatet är: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | sträng | Identiteten på den leverantör som ansvarar för autentiseringsprocessen (kan innehålla en certifikatutfärdare, ett användarnamn, ett lösenordsautentiseringssystem osv.). |
| AuthenticationServer | sträng | Servern där autentiseringsprovidern finns. |
| AuthenticationService | int | Tjänsten där autentiseringsprovidern finns. |
| AuthenticationType | sträng | den typ av autentisering som användes för händelsen (tvåfaktorautentisering, biometrisk autentisering osv.). |
| AzureDeploymentID | sträng | Azure-distributions-ID för molntjänsten som loggen tillhör. |
| _BilledSize | real | Poststorleken i byte |
| CACertificateHash | sträng | Hash-värdet för certifikatutfärdares (CA) certifikat som användes för att autentisera den användare som utförde händelsen. |
| CalledStationID | sträng | Information om ID:t för den station som initierade åtgärden som ledde till säkerhetshändelsen. |
| CallerProcessId | sträng | Hexadecimalt process-ID för processen som försökte logga in. Process-ID (PID) är ett tal som används av operativsystemet för att unikt identifiera en aktiv process. |
| CallerProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för processen. |
| CallingStationID | sträng | Information om ID:t för den station som initierade åtgärden som ledde till säkerhetshändelsen. |
| CAPublicKeyHash | sträng | Hash-värde som identifierar den offentliga nyckeln för en certifikatutfärdare (CA) som utfärdade ett certifikat. |
| CategoryId | sträng | Kategorin för den säkerhetshändelse som inträffade (inloggningsförsök, dataintrång osv.). |
| CertificateDatabaseHash | sträng | Hash-värde som identifierar databasen som utfärdade ett certifikat. |
| Kanal | sträng | Kanalen som händelsen loggades till. |
| Classid | sträng | Attributet "Class Guid" för enheten. |
| Classname | sträng | Attributet Klass för enheten. |
| ClientAddress | sträng | IP-adressen för den dator som TGT-begäran togs emot från. |
| ClientIPAddress | sträng | IP-adressen för den dator som initierade åtgärden som ledde till händelsen. |
| ClientName | sträng | datornamn som användaren återansluts från. Har värdet "Okänt" för konsolsessionen. |
| Kommandorad | sträng | Kommandoradsargumenten som skickades till ett program eller en process som var inblandad i händelsen. |
| CompatibleIds | sträng | Attributet "Kompatibla ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information: |
| Dator | sträng | Namnet på den dator där händelsen inträffade. |
| DCDNSName | sträng | DNS-namnet på domänkontrollanten som var inblandad i händelsen. |
| DeviceDescription | sträng | beskrivningen av enheten som var inblandad i händelsen. |
| DeviceId | sträng | Den unika identifieraren för enheten som var inblandad i händelsen. |
| DisplayName | sträng | Det är ett namn som visas i adressboken för ett visst konto. Detta är vanligtvis kombinationen av användarens förnamn, mellan initial och efternamn. |
| Disposition | sträng | Händelseresultat/lösning, till exempel om händelsen löstes eller om någon åtgärd vidtogs som svar på händelsen. |
| DomainBehaviorVersion | sträng | domänattributet msDS-Behavior-Version ändrades. Numeriskt värde. |
| DomainName | sträng | Namnet på den borttagna betrodda domänen. |
| DomainPolicyChanged | sträng | Anger om några domänprinciper har ändrats som en del av händelsen (lösenordsprinciper, säkerhetsprinciper osv.). |
| DomainSid | sträng | SID för förtroendepartnern. Den här parametern kanske inte fångas in i händelsen, och i så fall visas den som "NULL SID". |
| EAPType | sträng | Den typ av EAP (Extensible Authentication Protocol) som användes för händelseautentiseringsprocessen. |
| ElevatedToken | sträng | En "Ja" eller "Nej"-flagga. Om "Ja" är den session som den här händelsen representerar förhöjd och har administratörsbehörighet. |
| Felkod | int | Innehåller felkod för felhändelser. För lyckade händelser har den här parametern värdet "0x0". |
| EventData | sträng | Händelsespecifika data som är associerade med händelsen. |
| EventID | int | Identifieraren som providern använde för att identifiera händelsen. |
| EventSourceName | sträng | Namnet på programvaran som loggar händelsen (applicationor a succomponent). |
| ExtendedQuarantineState | sträng | Tillståndet för nätverkets karantänprocess, om tillämpligt. Nätverkskarantän är en process där obehöriga enheter hindras från att komma åt ett nätverk tills de uppfyller vissa säkerhetskrav eller har kontrollerats efter skadlig kod. |
| FailureReason | sträng | textuell förklaring av värdet för fältet Status. För den här händelsen har den vanligtvis värdet "Konto utelåst". |
| FileHash | sträng | Hash-värdet för alla filer som har använts eller ändrats som en del av händelsen, eller filer som användes i autentiserings- eller auktoriseringsprocessen. |
| Filepath | sträng | Fullständig sökväg och filnamn för nyckelfilen som åtgärden utfördes på. |
| FilePathNoUser | sträng | Sökvägen till filer som är relaterade till händelsen, exklusive användarnamnet eller annan användarspecifik information. |
| Filtrera | sträng | Filter som används i den utförda händelsen. |
| ForceLogoff | sträng | Grupprincipen \Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ\Nätverkssäkerhet: Framtvinga utloggning när inloggningstiderna upphör att gälla. |
| Fqbn | sträng | Det fullständigt kvalificerade binära namnet (FQBN) för alla filer som är relaterade till händelsen. |
| FullyQualifiedSubjectMachineName | sträng | Det fullständigt kvalificerade domännamnet (FQDN) för den dator som initierade händelsen. |
| FullyQualifiedSubjectUserName | sträng | Användarnamnet för den användare eller tjänst som initierade händelsen i FQDN-format. |
| GroupMembership | sträng | Listan över grupp-SID som det loggade kontot tillhör (medlem i). Loggboken försöker automatiskt matcha SID och visa kontonamnet. Om SID inte kan matchas visas källdata i händelsen. |
| HandleId | sträng | Hexadecimalt värde för en referens till Objektnamn. Det här fältet kan användas för korrelation med andra händelser. |
| HardwareIds | sträng | Enhetens maskinvaru-ID:n. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information: |
| HomeDirectory | sträng | Användarens hemkatalog. Om attributet homeDrive har angetts och anger en enhetsbeteckning ska homeDirectory vara en UNC-sökväg. Sökvägen måste vara ett unc-nätverk av formatet \Server\Share\Directory. |
| Homepath | sträng | Användarens hemsökväg. Sökvägen måste vara ett unc-nätverk av formatet \Server\Share\Directory. |
| InterfaceUuid | sträng | Den unika identifieraren (UUID) för nätverksgränssnittet som användes för händelsen. |
| Ip | sträng | nätverksadressen (vanligtvis IPv4 eller IPv6) som är associerad med händelsen. |
| IpPort | sträng | Det nätverksportnummer som är associerat med händelsen. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| Nyckellängd | int | Längden på säkerhetsnyckeln för NTLM-session. Vanligtvis har den 128-bitars eller 56-bitars längd. |
| Nivå | sträng | Windows kategoriserar varje händelse med en allvarlighetsgrad. Nivåerna i allvarlighetsgrad är information, utförlig, varning, fel och kritisk uttryckt i tal. |
| LmPackageName | sträng | Namnet på paketet eller programvarukomponenten som för närvarande använder LSA (Local Security Authority) på den dator där händelsen genereras. |
| LocationInformation | sträng | Attributet Platsinformation för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information: |
| LockoutDuration | sträng | Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration'. Numeriskt värde. |
| LockoutObservationWindow | sträng | Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after'. Numeriskt värde. |
| LockoutThreshold | sträng | Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Account lockout'. Numeriskt värde. |
| LoggingResult | sträng | Resultatet av inloggningsprocessen. |
| LogonGuid | sträng | Ett GUID som kan hjälpa dig att korrelera den här händelsen med en annan händelse som kan innehålla samma inloggnings-GUID. |
| LogonHours | sträng | Timmar då kontot tillåts logga in på domänen. |
| Inloggnings-ID | sträng | Hexadecimalt värde som kan hjälpa dig att korrelera den här händelsen med de senaste händelserna som kan innehålla samma inloggnings-ID. |
| LogonProcessName | sträng | Namnet på den registrerade inloggningsprocessen. |
| Inloggningstyp | int | Den typ av inloggning som utfördes. |
| LogonTypeName | sträng | Den typ av inloggnings- eller autentiseringshändelse som registreras av händelseloggen (vanliga värden:Interaktiv, Nätverk, RemoteInteractive, Unlock). |
| MachineAccountQuota | sträng | domänattributet ms-DS-MachineAccountQuota ändrades. Numeriskt värde. |
| MachineInventory | sträng | Information om maskinvarukonfigurationen och programvarumiljön på den dator där händelsen genereras. Den kan till exempel innehålla olika datapunkter: datorns märke och modell, mängden RAM-minne eller tillgängligt lagringsutrymme, versionsnummer för olika program osv.). |
| MachineLogon | sträng | Information om en lyckad inloggningshändelse på datorn. |
| ManagementGroupName | sträng | Ytterligare information baserat på resurstypen. |
| MandatoryLabel | sträng | ID för integritetsetikett som har tilldelats den nya processen. |
| MaxPasswordAge | sträng | Den tidsperiod (i dagar) som ett lösenord kan användas innan systemet kräver att användaren ändrar det. |
| MemberName | sträng | Användarkontot som var inblandat i händelsen. |
| MemberSid | sträng | Säkerhetsidentifieraren (SID) som är associerad med användarkontot som var inblandat i händelsen. |
| MinPasswordAge | sträng | Den tidsperiod (i dagar) som ett lösenord måste användas innan systemet kräver att användaren ändrar det. |
| MinPasswordLength | sträng | Det minsta antalet tecken som kan utgöra ett lösenord för ett användarkonto. |
| MixedDomainMode | sträng | Domänläget för ett system eller en domänkontrollant. |
| NASIdentifier | sträng | Identifieraren för nätverksåtkomstservern (NAS) som var inblandad i händelsen. |
| NASIPv4Address | sträng | IPv4Address för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt. |
| NASIPv6Address | sträng | IPv6Address för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt. |
| NASPort | sträng | porten på nätverksåtkomstservern som användes i händelsen. |
| NASPortType | sträng | den typ av nätverksåtkomstserver (NAS) som användes i händelsen. |
| NetworkPolicyName | sträng | Namnet på den nätverksprincip som är associerad med händelsen. |
| NewDate | sträng | Nytt datum i UTC-tidszonen. Formatet är ÅÅÅÅÅ-MM-DD. |
| NewMaxUsers | sträng | Det nya maximala antalet användare som tillåts för en resurs i händelsen. |
| NewProcessId | sträng | Hexadecimal process-ID för den nya processen. Process-ID (PID) är ett tal som används av operativsystemet för att unikt identifiera en aktiv process. |
| NewProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för den nya processen. |
| NewRemark | sträng | Det nya värdet för fältet Kommentarer för nätverksresursen. Har värdet "N/A" om det inte har angetts. |
| NewShareFlags | sträng | Resursflaggor som är associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivskyddad, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter. |
| NewTime | sträng | Ny tid som angavs i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | sträng | Anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och annat beteende för användarkontot. |
| NewValue | sträng | Nytt värde för ändrat registernyckelvärde. |
| NewValueType | sträng | Ny typ av ändrat registernyckelvärde. |
| ObjectName | sträng | Namn och annan identifierande information för objektet som åtkomst begärdes för. För en fil inkluderas till exempel sökvägen. |
| ObjectServer | sträng | Innehåller namnet på Windows-undersystemet som anropar rutinen. |
| ObjectType | sträng | Typen av objekt som användes under åtgärden. |
| ObjectValueName | sträng | Namnet på det ändrade registernyckelvärdet. |
| OemInformation | sträng | Den ursprungliga utrustningstillverkaren (OEM) som är associerad med en enhet eller ett system i händelsen. |
| OldMaxUsers | sträng | Det tidigare maximala antalet användare som tillåts för en resurs i händelsen. |
| OldRemark | sträng | det gamla värdet för fältet Kommentarer för nätverksresursen. Har värdet "N/A" om det inte har angetts. |
| OldShareFlags | sträng | Tidigare resursflaggor som är associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivskyddad, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter. |
| OldUacValue | sträng | Anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och annat beteende för användarkontot. Den här parametern innehåller det tidigare värdet för userAccountControl-attributet för användarobjektet. |
| OldValue | sträng | Gammalt värde för ändrat registernyckelvärde. |
| OldValueType | sträng | Gammal typ av ändrat registernyckelvärde. |
| Åtgärdstyp | sträng | Den typ av åtgärd som utfördes på ett objekt |
| PackageName | sträng | Namnet på det LAN Manager-underpaket (NTLM-family protocol name) som användes under inloggningen. |
| ParentProcessName | sträng | Namnet på den överordnade processen som är associerad med händelsen. |
| PasswordHistoryLength | sträng | Grupprincipen \Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Framtvinga lösenordshistorik. Numeriskt värde. |
| PasswordLastSet | sträng | Senaste gången kontots lösenord ändrades. |
| PasswordProperties | sträng | Lösenordsprinciper eller egenskaper som är associerade med händelsen, till exempel lösenordslängd, komplexitet och förfallodatum. |
| PreviousDate | sträng | Föregående datum som är associerat med händelsen. |
| PreviousTime | sträng | Tidigare tid i UTC-tidszon. Formatet är YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | sträng | Relativ identifierare (RID) för användarens primära objektgrupp. |
| PrivateKeyUsageCount | sträng | Antal gånger som en privat nyckel har använts. |
| PrivilegeList | sträng | Behörigheterna, inklusive användar-, grupp- eller systemprivilegier som är associerade med händelsen. |
| Process | sträng | Namnet på den process som genererar händelsen. |
| Processid | sträng | Identifierar den process som genererade händelsen. |
| ProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för processen. |
| ProfilePath | sträng | Anger en sökväg till kontots profil. Det här värdet kan vara en null-sträng, en lokal absolut sökväg eller en UNC-sökväg. |
| Egenskaper | sträng | Beror på objekttyp. Det här fältet kan vara tomt eller innehålla listan över objektegenskaperna som har använts. |
| ProtocolSequence | sträng | Information om det protokoll som används för ett autentiseringsförsök. |
| ProxyPolicyName | sträng | Namnet på principen som användes för att konfigurera proxyservern för att ansluta till nätverket. |
| QuarantineHelpURL | sträng | URL som hjälper dig att felsöka ett problem med nätverkskarantän. |
| QuarantineSessionID | sträng | Identifierare för den session där filen utvärderades för karantän. |
| QuarantineSessionIdentifier | sträng | Identifierare för den session där filen utvärderades för karantän. |
| QuarantineState | sträng | Den visar om filen har placerats i karantän. |
| QuarantineSystemHealthResult | sträng | Rapport som visar status för de filer som har placerats i karantän. |
| RelativeTargetName | sträng | Relativt namn på den använda målfilen eller mappen. Den här filsökvägen är relativ till nätverksresursen. Om åtkomst begärdes för själva resursen visas det här fältet som "\". |
| RemoteIpAddress | sträng | IP-adressen för den dator som initierade en fjärranslutning. |
| RemotePort | sträng | Portnumret för fjärrdatorn som initierade en anslutning. |
| Beställare | sträng | Identifierare för händelseförfrågan. |
| Id | sträng | En unik identifierare som är associerad med specifika begäranden, till exempel de som görs via HTTP. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| RestrictedAdminMode | sträng | Fylls endast i för RemoteInteractive-inloggningstypsessioner. Det här är en ja/nej-flagga som anger om de angivna autentiseringsuppgifterna skickades med hjälp av begränsat Admin läge. Begränsat Admin-läge lades till i Win8.1/2012R2, men den här flaggan lades till i händelsen i Win10. |
| RaderTa bort | sträng | Antalet rader som togs bort som en del av en viss åtgärd. |
| SamAccountName | sträng | inloggningsnamn för konto som används för att stödja klienter och servrar från tidigare versioner av Windows (inloggningsnamn före Windows 2000). |
| ScriptPath | sträng | Anger sökvägen till kontots inloggningsskript. |
| SecurityDescriptor | sträng | Information om säkerhetsinställningar och behörigheter för ett visst objekt eller en viss resurs. |
| ServiceAccount | sträng | Säkerhetskontexten som tjänsten körs som när den startas. |
| ServiceFileName | sträng | Anger vilken typ av tjänst som registrerades med Service Control Manager. |
| ServiceName | sträng | Namnet på den installerade tjänsten. |
| ServiceStartType | int | Innehåller information om hur en viss tjänst ska startas, om den ska startas automatiskt eller manuellt. |
| ServiceType | sträng | Anger vilken typ av tjänst som registrerades med Service Control Manager. |
| Sessionsnamn | sträng | Namnet på den session som användaren återanslutdes till. |
| ShareLocalPath | sträng | Den lokala sökvägen till den anslutna nätverksresursen. |
| Resursnamn | sträng | Namnet på den anslutna nätverksresursen. Formatet är: \*\SHARE_NAME. |
| Sidhistory | sträng | Innehåller tidigare SID som används för objektet om objektet har flyttats från en annan domän. |
| SourceComputerId | sträng | Unik identifierare tilldelad till varje dator i en Windows-domän. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Status | sträng | Anledningen till att inloggningen misslyckades. För den här händelsen har den vanligtvis värdet "0xC0000234". De vanligaste statuskoderna visas i tabell 12. Statuskoder för Windows-inloggning. |
| StorageAccount | sträng | Anger åtkomstnyckeln för lagringskontot. |
| UnderkategoriGuid | sträng | Unikt GUID för ändrad underkategori. |
| SubcategoryId | sträng | En unik identifierare för en viss typ av händelse. |
| Ämne | sträng | Information om säkerhetsobjektet (till exempel användarkontot) som initierade händelsen. |
| SubjectAccount | sträng | Information om det konto som initierar händelsen. |
| SubjectDomainName | sträng | Information om den domän eller arbetsgrupp som ämneskontot tillhör. |
| SubjectKeyIdentifier | sträng | En unik identifierare för ett visst certifikatämne. |
| SubjectLogonId | sträng | En unik identifierare för inloggningssessionen som är associerad med ämneskontot. |
| SubjectMachineName | sträng | Information om den dator eller det system som händelsen skapades från. |
| SubjectMachineSID | sträng | Säkerhetsidentifieraren (SID) för den dator som genererade händelsen. |
| SubjectUserName | sträng | Namnet på det användarkonto som genererade händelsen. |
| SubjectUserSid | sträng | Säkerhetsidentifieraren (SID) för användarkontot som genererade händelsen. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| Understatus- | sträng | Ytterligare information om inloggningsfel. De vanligaste understatuskoderna i tabellen 12. Statuskoder för Windows-inloggning". |
| TableId | sträng | Den specifika datatabellidentifierare som händelsedata lagras i. |
| TargetAccount | sträng | Det konto som händelsen riktar sig mot (användarnamn, datornamn osv.). |
| TargetDomainName | sträng | Namnet på den domän som målkontot tillhör. |
| TargetInfo | sträng | Ytterligare information om händelsemålet (till exempel sökvägen till en fil eller mapp, namnet på en registernyckel osv.). |
| TargetLinkedLogonId | sträng | Information som hjälper till att länka relaterade händelser tillsammans med deras inloggningsförsöks-ID:n. Det kan vara användbart för att hålla alla relevanta händelser organiserade, spåra aktivitet över flera sessioner och identifiera attackkällan. |
| TargetLogonGuid | sträng | En globalt unik identifierare (GUID) som är associerad med inloggningssessionen som är relaterad till händelsen. |
| TargetLogonId | sträng | En unik identifierare som är associerad med inloggningssessionen som är relaterad till händelsen. |
| TargetOutboundDomainName | sträng | Domänen som kontot som angavs i fältet TargetAccount autentiserades mot under ett utgående autentiseringsförsök. |
| TargetOutboundUserName | sträng | Namnet på användarkontot som autentiserades under ett utgående autentiseringsförsök. |
| MålserverNamn | sträng | Namnet på den server där den nya processen kördes. Har värdet "localhost" om processen kördes lokalt. |
| TargetSid | sträng | Säkerhetsidentifieraren (SID) för den server där den nya processen kördes. |
| TargetUser | sträng | Identifieraren för användarkontot som genererade den nya processen. |
| TargetUserName | sträng | Namnet på användarkontot som genererade den nya processen. |
| TargetUserSid | sträng | Säkerhetsidentifieraren (SID) som är associerad med användaren eller resursen som är inblandad i händelsen. |
| Uppgift | int | Uppgiften som definierats i händelsen. |
| TemplateContent | sträng | Innehållet i händelsemeddelandet eller meddelandet i ett strukturerat formulär. |
| TemplateDSObjectFQDN | sträng | FQDN för DS-objektet som representerar GPO-mallen. |
| TemplateInternalName | sträng | Det interna namnet på GPO-mallen. |
| TemplateOID | sträng | den unika identifieraren för mallen som användes för att skapa händelsen. |
| TemplateSchemaVersion | sträng | Version av mallschemat som definierar vilka data som ska ingå i en händelse. |
| TemplateVersion | sträng | Version av mallen som definierar de data som ska ingå i en händelse. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tidsstämpeln när händelsen genererades på datorn. |
| TokenElevationType | sträng | Typ av token som har tilldelats till en ny process i enlighet med principen för användarkontokontroll. |
| TransmittedServices | sträng | Listan över överförda tjänster. Överförda tjänster fylls i om inloggningen var ett resultat av en inloggningsprocess för S4U (tjänst för användare). S4U är ett Microsoft-tillägg till Kerberos-protokollet som gör det möjligt för en programtjänst att hämta en Kerberos-tjänstbiljett åt en användare – oftast görs det av en klientdelswebbplats för att få åtkomst till en intern resurs för en användares räkning. Mer information om S4U finns i https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | sträng | Namnet på tabellen |
| UserAccountControl | sträng | Visar listan över ändringar i userAccountControl-attributet. Du ser en textrad för varje ändring. |
| UserParameters | sträng | Om du ändrar en inställning med Active Directory - användare och datorer hanteringskonsol på fliken Uppringning för användarens kontoegenskaper visas <värdet ändrat, men visas> inte i det här fältet. För lokala konton är det här fältet inte tillämpligt och har <alltid ett värde som inte har angetts> . |
| UserPrincipalName | sträng | Internet-stil inloggningsnamn för kontot, baserat på Internet standard RFC 822. Enligt konventionen bör detta mappas till kontots e-postnamn. |
| UserWorkstations | sträng | Innehåller listan över NetBIOS- eller DNS-namn på de datorer som användaren kan logga in från. Varje datornamn avgränsas med ett kommatecken. Namnet på en dator är egenskapen sAMAccountName för ett datorobjekt. |
| VendorIds | sträng | "Maskinvaru-ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information. |
| VirtualAccount | sträng | Flaggan "Ja" eller "Nej", som anger om kontot är ett virtuellt konto (t.ex. "Hanterat tjänstkonto", som introducerades i Windows 7 och Windows Server 2008 R2 för att ge möjlighet att identifiera det konto som en viss tjänst använder, i stället för att bara använda "NetworkService". |
| Arbetsstation | sträng | Namnet på den dator som användes för att utföra händelsen. |
| WorkstationName | sträng | Datornamn från vilket ett inloggningsförsök utfördes. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för