Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Säkerhetshändelser som samlas in från Windows-maskiner av Azure Security Center eller Azure Sentinel.
Tabellattribut
| Egenskap | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Kategorier | Säkerhet |
| Lösningar | Säkerhet, Säkerhetsinsikter |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AccessMask | sträng | Hexadecimal mask för den begärda eller utförda operationen. |
| Konto | sträng | Säkerhetskontexten för tjänster eller användare. |
| Kontodomän | sträng | Ämnets domän- eller datornamn. |
| KontotsUtgångsdatum | sträng | Datumet när kontot går ut. |
| Kontonamn | sträng | Namnet på kontot som begärde operationen att "ta bort domänförtroende". |
| Kontosessionsidentifierare | sträng | En unik identifierare som genereras av maskinen när sessionen skapas. |
| Kontotyp | sträng | Identifierar om kontot är ett dator konto (maskin) eller ett användarkonto. |
| Aktivitet | sträng | Den beskrivande titeln för händelsen inträffade. |
| Ytterligare information | sträng | Ytterligare information som tillhandahålls av källan, vilken inte kartläggs till andra fält, representeras av en lista. |
| YtterligareInformation2 | sträng | Ytterligare information som tillhandahålls av källan, vilken inte kartläggs till andra fält, representeras av en lista. |
| Tillåts att delegera till | sträng | Listan över SPN:er som det här kontot kan presentera delegerade autentiseringsuppgifter för. |
| Egenskaper | sträng | Ytterligare information om evenemanget. |
| Granskningspolicyändringar | sträng | Händelser som genereras när ändringar görs i systemets granskningspolicy eller granskningsinställningar på en fil eller registernyckel. |
| RevisionsGranskade | Int | Antal granskningsmeddelanden som kasserades. |
| Autentiseringsnivå | Int | Antal granskningsmeddelanden som kasserades. |
| Autentiseringspakketsnamn | sträng | namnet på den inlästa autentiseringspaketen. Formatet är: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| Autentiseringsleverantör | sträng | Identiteten på leverantören ansvarig för autentiseringsprocessen (kan inkludera en certifikatutfärdare, ett användarnamn, ett lösenordsautentiseringssystem, etc). |
| Autentiseringsserver | sträng | Servern där autentiseringsleverantören finns. |
| AuthenticationService | Int | Tjänsten där autentiseringsleverantören finns. |
| Autentiseringstyp | sträng | typen av autentisering som användes för händelsen (tvåfaktorsautentisering, biometrisk autentisering, etc). |
| AzureDeploymentID | sträng | Azure distributions-ID för den molntjänst som loggen tillhör. |
| _FaktureradStorlek | verklig | Postens storlek i byte |
| CA-certifikathash | sträng | Hashvärdet av certifikatutfärdarens (CA) certifikat som användes för att autentisera användaren som utförde händelsen. |
| CalledStationID | sträng | Information om ID:n för den station som initierade den åtgärd som ledde till säkerhetshändelsen. |
| CallerProcessId | sträng | Hexadecimalt process-ID för processen som försökte logga in. Process-ID (PID) är ett nummer som används av operativsystemet för att unikt identifiera en aktiv process. |
| NamnetPåAnropsprocessen | sträng | Fullständig sökväg och namnet på körbara filen för processen. |
| CallingStationID | sträng | Information om ID:n för den station som initierade den åtgärd som ledde till säkerhetshändelsen. |
| CAPublicKeyHash | sträng | Hashvärde som identifierar den offentliga nyckeln för en certifieringsmyndighet (CA) som utfärdade ett certifikat. |
| KategoriId | sträng | Kategorin för säkerhetshändelsen som inträffade (inloggningsförsök, dataintrång, etc). |
| Certifikatsdatabasens hashvärde | sträng | Hashvärde som identifierar den databas som utfärdade ett certifikat. |
| Kanal | sträng | Kanalen till vilken händelsen loggades. |
| KlassId | sträng | 'Class Guid' attribut av enhet. |
| Klassnamn | sträng | Attributet "Klass" för enheten. |
| Klientadress | sträng | IP-adressen för den dator som TGT-begäran togs emot från. |
| ClientIPAddress | sträng | IP-adressen för den dator som initierade den åtgärd som ledde till händelsen. |
| KundNamn | sträng | datornamn från vilken användaren återanslöt. Har 'Okänd' värde för konsolsession. |
| Kommandorad | sträng | Kommandoargumenten som skickades till en applikation eller process som var inblandad i händelsen. |
| CompatibleIds | sträng | 'Kompatibla ID:n' attribut hos enheten. För att se enhetens egenskaper, starta Enhetshanteraren, öppna specifika enhetsegenskaper och klicka på 'Detaljer': |
| Dator | sträng | Namnet på datorn där händelsen inträffade. |
| Korrelation | sträng | Aktivitetsidentifierare som användare kan använda för att gruppera relaterade händelser tillsammans. |
| DCDNSName | sträng | DNS-namnet på domänkontrollanten som var involverad i händelsen. |
| Enhetsbeskrivning | sträng | beskrivningen av enheten som var inblandad i händelsen. |
| DeviceId | sträng | Den unika identifieraren för enheten som var inblandad i händelsen. |
| Visningsnamn | sträng | Det är ett namn, som visas i adressboken för ett visst konto. Detta är vanligtvis en kombination av användarens förnamn, mellannamnsinitial och efternamn. |
| Utfördelning | sträng | Resultatet/lösningen av händelsen, såsom om händelsen löstes eller om någon åtgärd togs som svar på händelsen. |
| DomainBehaviorVersion | sträng | msDS-Behavior-Version domänattributet har ändrats. Numeriskt värde. |
| domännamn | sträng | Namnet på den borttagna betrodda domänen. |
| Domänpolicyn ändrad | sträng | Anger om några domänpolicyer har ändrats som en del av händelsen (lösenordspolicyer, säkerhetspolicyer, etc). |
| DomainSid | sträng | SID för tillitspartnern. Denna parameter kanske inte fångas i händelsen, och i så fall visas den som 'NULL SID'. |
| EAPType | sträng | Typen av Extensible Authentication Protocol (EAP) som användes för autentiseringsprocessen för händelsen. |
| ElevatedToken | sträng | En 'Ja' eller 'Nej' flagga. Om 'Ja', är sessionen som denna händelse representerar upphöjd och har administratörsbehörighet. |
| FelKod | Int | Innehåller felkods för misslyckande händelser. För framgångshändelser har den här parametern värdet '0x0'. |
| EventData | sträng | Händelsespecifika data kopplade till händelsen. |
| EventID | Int | Identifikatorn som leverantören använde för att identifiera händelsen. |
| EventNivåNamn | sträng | Den renderade meddelandesträngen för den nivå som anges i händelsen. |
| EventRecordId | sträng | Det journalnummer som tilldelades händelsen när den loggades. |
| Händelsekällanamn | sträng | Namnet på programvaran som loggar händelsen (applikation eller en delkomponent). |
| Förlängt karantänläge | sträng | Tillståndet för nätverkets karantänprocess, om det är tillämpligt. Nätverkskarantän är en process genom vilken obehöriga enheter förhindras från att få tillgång till ett nätverk tills de uppfyller vissa säkerhetskrav eller har kontrollerats för skadlig programvara. |
| Felorsak | sträng | Textuell förklaring av värdet i statusfältet. För denna händelse har den vanligtvis värdet 'Kontot låst'. |
| FileHash | sträng | Hashvärdet för alla filer som har öppnats eller ändrats som en del av händelsen, eller alla filer som användes i autentiserings- eller auktoriseringsprocessen. |
| FilePath | sträng | Fullständig sökväg och filnamn för nyckelfilen som åtgärden utfördes på. |
| FilePathNoUser | sträng | Sökvägen för alla filer som är relaterade till händelsen, exklusive användarnamn eller annan användarspecifik information. |
| Filtrera | sträng | Filter som används i det utförda evenemanget. |
| Tvångsavloggning | sträng | '\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativnätverkssäkerhet: Tvinga utloggning när inloggningstiden går ut' grupprincip. |
| Fqbn | sträng | Det fullständigt kvalificerade binärnamnet (FQBN) för alla filer som är relaterade till händelsen. |
| FullständigtKvalificeratÄmnesMaskinNamn | sträng | Maskinens fullständigt kvalificerade domännamn (FQDN) som initierade händelsen. |
| FullständigtKvalificeratÄmnesAnvändarNamn | sträng | Användarnamnet för användaren eller tjänsten som initierade händelsen i FQDN-format (Fullständigt Kvalificerat Domännamn). |
| Gruppmedlemskap | sträng | Listan över grupp-SID:er som det inloggade kontot tillhör (medlem av). Händelsevisaren försöker automatiskt att lösa SIDs och visa kontonamnet. Om SID inte kan lösas, kommer du att se källinformationen i händelsen. |
| HandleId | sträng | Hexadecimalt värde av ett handtag till objektnamn. Detta fält kan användas för korrelation med andra händelser. |
| HardwareIds | sträng | 'Hardware Ids'-attributet hos enheten. För att se enhetens egenskaper, starta Enhetshanteraren, öppna specifika enhetsegenskaper och klicka på 'Detaljer': |
| Hemkatalog | sträng | Användarens hemkatalog. Om attributet homeDrive är inställt och specificerar en enhetsbokstav, bör homeDirectory vara en UNC-sökväg. Sökvägen måste vara en nätverks-UNC i formen \Server\Share\Directory. |
| HomePath | sträng | Användarens hemkatalog. Sökvägen måste vara en nätverks-UNC i formen \Server\Share\Directory. |
| InterfaceUuid | sträng | Den unika identifieraren (UUID) för nätverksgränssnittet som användes för händelsen. |
| IP-adress | sträng | nätverksadressen (vanligtvis IPv4 eller IPv6) associerad med händelsen. |
| IpPort | sträng | Nätverksportnumret som är associerat med händelsen. |
| _ÄrDebiterbar | sträng | Anger om det är fakturerbart att importera datan. **
När _IsBillable är false debiteras inte ingestion på ditt Azure-konto |
| Nyckellängd | Int | Längden på NTLM Session Security key. Typiskt sett har den en längd på 128 bitar eller 56 bitar. |
| Nyckelord | sträng | En bitmask av nyckelorden som definieras i händelsen. |
| Nivå | sträng | Windows kategoriserar varje händelse med en allvarlighetsgrad. Nivåerna i ordning efter allvarlighetsgrad är information, detaljerad, varning, fel och kritisk uttryckt i siffror. |
| LmPackageName | sträng | Namnet på paketet eller mjukvarukomponenten som för närvarande använder Local Security Authority (LSA) på den maskin där händelsen genereras. |
| Platsinformation | sträng | Platsinformationsattributet i enheten. För att se enhetens egenskaper, starta Enhetshanteraren, öppna specifika enhetsegenskaper och klicka på 'Detaljer': |
| Utstängningstid | sträng | '\Säkerhetsinställningar\Kontoprinciper\Kontolåsning\Varaktighet för kontolåsning' gruppolicy. Numeriskt värde. |
| Låsobservationsfönster | sträng | '\Säkerhetsinställningar\Kontoprinciper\Kontospärrpolicy\Återställ räknare för kontospärr efter' grupprincip. Numeriskt värde. |
| låströskel | sträng | '\Säkerhetsinställningar\Kontopolicyer\Policy för kontolåsning\Tröskel för kontolåsning' grupppolicy. Numeriskt värde. |
| Loggningsresultat | sträng | Resultatet av inloggningsprocessen. |
| InloggningsGUID | sträng | En GUID som kan hjälpa dig att korrelera denna händelse med en annan händelse som kan innehålla samma inloggnings-GUID. |
| Inloggninstider | sträng | Timmar som kontot får logga in på domänen. |
| Inloggnings-ID | sträng | Hexadecimalt värde som kan hjälpa dig att korrelera denna händelse med aktuella händelser som kan innehålla samma inloggnings-ID. |
| InloggningsprocessNamn | sträng | Namnet på den registrerade inloggningsprocessen. |
| Inloggningstyp | Int | Typen av inloggning som utfördes. |
| InloggningstypNamn | sträng | Typen av inloggning eller autentisering av händelsen som registreras av loggfilen (vanliga värden: Interaktiv, Nätverk, Fjärrinteraktiv, Lås upp). |
| MachineAccountQuota | sträng | ms-DS-MachineAccountQuota domänattributet ändrades. Numeriskt värde. |
| MachineInventory | sträng | Information om hårdvarukonfigurationen och mjukvarumiljön på datorn där händelsen genereras. Det kan inkludera olika datapunkter, till exempel: tillverkaren och modellen av datorn, mängden RAM eller tillgängligt lagringsutrymme, versionsnumren för olika mjukvaruapplikationer, etc. |
| MachineLogon | sträng | Information om en lyckad inloggningshändelse på datorn. |
| Namnet på ledningsgruppen | sträng | Ytterligare information baserat på resurstypen. |
| ObligatoriskMärkning | sträng | ID för integritetsmärke som tilldelades den nya processen. |
| Maximal Lösenordsålder | sträng | Den tidsperiod (i dagar) som ett lösenord kan användas innan systemet kräver att användaren ändrar det. |
| Medlemsnamn | sträng | Användarkontot som var inblandat i händelsen. |
| MemberSid | sträng | Säkerhetsidentifieraren (SID) som är kopplad till användarkontot som var inblandat i händelsen. |
| Minsta lösenordsålder | sträng | Den tidsperiod (i dagar) som ett lösenord måste användas innan systemet kräver att användaren ändrar det. |
| Lösenordets minsta längd | sträng | Det minsta antalet tecken som kan utgöra ett lösenord för ett användarkonto. |
| BlandadDomänLäge | sträng | Domänläget för ett system eller en domänkontrollant. |
| NASIdentifier | sträng | Identifikatorn för nätverksåtkomstservern (NAS) som var inblandad i händelsen. |
| NASIPv4-adress | sträng | IPv4-adressen för nätverksåtkomstservern (NAS) som var involverad i händelsen, om tillämpligt. |
| NASIPv6Address | sträng | IPv6-adressen för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt. |
| NASPort | sträng | porten på nätverksåtkomstservern som användes i händelsen. |
| NASPortType | sträng | typen av nätverksåtkomstserver (NAS) som används i händelsen. |
| Nätverkspolicynamn | sträng | Namnet på nätverkspolicyn associerad med händelsen. |
| NyDatum | sträng | Nytt datum i UTC-tidszon. Formatet är ÅÅÅÅ-MM-DD. |
| NewMaxUsers | sträng | Det nya maximala antalet användare som är tillåtna för en resurs vid evenemanget. |
| NewProcessId | sträng | Hexadecimalt process-ID för den nya processen. Process-ID (PID) är ett nummer som används av operativsystemet för att unikt identifiera en aktiv process. |
| NewProcessName | sträng | Fullständig sökväg och namnet på den körbara filen för den nya processen. |
| NyAnmärkning | sträng | Det nya värdet för nätverkets 'Kommentarer:'-fält. Har värdet 'N/A' om det inte är inställt. |
| NewShareFlags | sträng | Delningsflaggor associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skriver/läser, om den är dold, samt andra parametrar som kan påverka åtkomst och behörigheter. |
| NewTime | sträng | Ny tid som ställdes in i UTC-tidszonen. Formatet är YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | sträng | Anger flaggor som styr lösenord, låsning, inaktivering/aktivering, skript och annat beteende för användarkontot. |
| Nytt värde | sträng | Nytt värde för ändrat registernyckelvärde. |
| NyVärdetyp | sträng | Ny typ av ändrat registernyckelvärde. |
| Objektnamn | sträng | Namn och annan identifierande information för objektet för vilket åtkomst begärdes. Till exempel, för en fil, skulle sökvägen inkluderas. |
| ObjectServer | sträng | Innehåller namnet på det Windows-undersystem som anropar rutinen. |
| Objekttyp | sträng | Typen av ett objekt som nåddes under operationen. |
| ObjektVärdeNamn | sträng | Namnet på det modifierade registernyckelvärdet. |
| OEM-information | sträng | Den ursprungliga utrustningstillverkaren (OEM) som är associerad med en enhet eller ett system i händelsen. |
| OldMaxUsers | sträng | Det tidigare maximala antalet användare som tilläts för en resurs i händelsen. |
| GammalAnmärkning | sträng | det gamla värdet av nätverksdelningens fält 'Kommentarer:' Har värdet 'N/A' om det inte är inställt. |
| GamlaDelaFlaggor | sträng | Tidigare delningsflaggor associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivbar/läsbar, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter. |
| OldUacValue | sträng | Anger flaggor som styr lösenord, låsning, inaktivering/aktivering, skript och annat beteende för användarkontot. Denna parameter innehåller det tidigare värdet av attributet för användarkontroll av användarobjektet. |
| Gammalt värde | sträng | Gammalt värde för ändrat registernyckelvärde. |
| OldValueType | sträng | Äldre typ av ändrat registernyckelvärde. |
| Opcode | sträng | Elementet opcode definieras av den komplexa typen SystemPropertiesType. |
| Operationstyp | sträng | Den typ av operation som utfördes på ett objekt |
| PackageName | sträng | Namnet på LAN Manager-subpaketet (NTLM-familjens protokollnamn) som användes vid inloggningen. |
| Föräldraprocessnamn | sträng | Namnet på den överordnade processen associerad med händelsen. |
| LösenordhistorikLängd | sträng | \Säkerhetsinställningar\Kontopriktlinjer\Lösenordspolicy\Tillämpa lösenordshistorik" gruppolicy. Numeriskt värde. |
| LösenordSenastSatt | sträng | Senast kontots lösenord ändrades. |
| Lösenordsegenskaper | sträng | Lösenordspolicyer eller egenskaper kopplade till händelsen, till exempel: lösenordslängd, komplexitet och utgångsdatum. |
| TidigareDatum | sträng | Tidigare datum kopplat till händelsen. |
| TidigareTid | sträng | Tidigare tid i UTC-tidszonen. Formatet är YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimärGruppId | sträng | Relativ identifierare (RID) för användarens objekts primära grupp. |
| PrivatNyckelanvändningsantal | sträng | Antalet gånger en privat nyckel har använts. |
| Privilegielista | sträng | Privilegier, inklusive användar-, grupp- eller systemprivilegier associerade med händelsen. |
| Processen | sträng | Namnet på processen som genererar händelsen. |
| ProcessId | sträng | Identifierar processen som genererade händelsen. |
| ProcessName | sträng | Fullständig sökväg och namnet på körbara filen för processen. |
| ProfilePath | sträng | Anger en sökväg till kontots profil. Detta värde kan vara en nullsträng, en lokal absolut sökväg eller en UNC-sökväg. |
| Egenskaper | sträng | Beror på objekttyp. Detta fält kan vara tomt eller innehålla en lista över objektens egenskaper som åtkomst utfördes på. |
| Protokollsekvens | sträng | Information om protokollet som användes för ett autentiseringsförsök. |
| ProxyPolicyNamn | sträng | Namnet på den policy som användes för att konfigurera proxyservern för att ansluta till nätverket. |
| Länk till karantänhjälp | sträng | URL som ger hjälp med att felsöka ett nätverkskarantänproblem. |
| QuarantineSessionID | sträng | Identifierare för sessionen där filen bedömdes för karantän. |
| Karantänsessionsidentifierare | sträng | Identifierare för sessionen där filen bedömdes för karantän. |
| QuarantineState | sträng | Det visar om filen är i karantän. |
| KarantänsystemHälsoResultat | sträng | Rapport som visar statusen för de filer som har satts i karantän. |
| RelativMålnamn | sträng | Relativt namn på den åtkomna målfilen eller mapp. Denna filväg är relativ till nätverksdelningen. Om åtkomst begärdes för själva delningen, visas det här fältet som "". |
| RemoteIpAddress/Fjärr-IP-adress | sträng | IP-adressen för datorn som initierade en fjärranslutning. |
| RemotePort | sträng | Portnumret för den avlägsna datorn som initierade en anslutning. |
| Beställare | sträng | Händelseförfrågarens identifierare. |
| BegäranID | sträng | En unik identifierare som är kopplad till specifika förfrågningar, såsom de som görs över HTTP. |
| _Resurs-id | sträng | En unik identifierare för den resurs som posten är associerad med |
| BegränsatAdministratörsläge | sträng | Endast ifylld för inloggningssessioner av typen RemoteInteractive. Detta är en Ja/Nej-flagg som anger om de angivna behörigheterna har kontrollerats med Begränsat administratörsläge. Begränsat administratörsläge lades till i Win8.1/2012R2 men denna flagga lades till händelsen i Win10. |
| RaderTa bort | sträng | Antalet rader som togs bort som en del av en viss operation. |
| SamAccountName | sträng | Inloggningsnamn för konto som används för att stödja klienter och servrar från tidigare versioner av Windows (inloggningsnamn före Windows 2000). |
| ScriptPath | sträng | Anger sökvägen till kontots inloggningsskript. |
| Säkerhetsbeskrivare | sträng | Information om säkerhetsinställningar och behörigheter för ett visst objekt eller resurs. |
| Tjänstekonto | sträng | Den säkerhetskontext som tjänsten kommer att köra som när den startas. |
| ServiceFileName | sträng | Indikerar vilken typ av tjänst som registrerades hos Service Control Manager. |
| Tjänstenamn | sträng | Namnet på den installerade tjänsten. |
| Tjänststarttyp | Int | Innehåller information om hur en viss tjänst ska startas, om den ska startas automatiskt eller manuellt. |
| Tjänsttyp | sträng | Indikerar vilken typ av tjänst som registrerades hos Service Control Manager. |
| SessionName | sträng | Namnet på sessionen till vilken användaren återanslöt. |
| ShareLocalPath | sträng | Den lokala sökvägen till den åtkomna nätverksresursen. |
| DelaNamn | sträng | Namnet på den åtkomna nätverksresursen. Formatet är: \*\SHARE_NAME. |
| SidHistoria | sträng | Innehåller tidigare SID:er som användes för objektet om objektet flyttades från en annan domän. |
| SourceComputerId | sträng | Unik identifierare som tilldelas varje dator i en Windows-domän. |
| SourceSystem | sträng | Typen av agenten som händelsen samlades in av. Till exempel, OpsManager för Windows-agent, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Läge | sträng | Anledningen till varför inloggningen misslyckades. För denna händelse har det vanligtvis värdet '0xC0000234'. De vanligaste statuskoderna är listade i Tabell 12. Windows inloggningsstatuskoder. |
| Lagringskonto | sträng | Ställer in åtkomstnyckeln för lagringskontot. |
| SubkategoriGuid | sträng | Den unika GUID för ändrad underkategori. |
| UnderkategoriId | sträng | En unik identifierare för en specifik typ av händelse. |
| Ämne | sträng | Information om säkerhetsprincipalen (till exempel: användarkonto) som initierade händelsen. |
| Ämneskonto | sträng | Information om det konto som initierar händelsen. |
| Ämnesdomännamn | sträng | Information om den domän eller arbetsgrupp som användarkontot tillhör. |
| Ämnesnyckelidentifierare | sträng | En unik identifierare för ett visst certifikatsubjekt. |
| InloggningsId för ämne | sträng | En unik identifierare för inloggningssessionen kopplad till det aktuella kontot. |
| Ämnesmaskinnamn | sträng | Information om maskinen eller systemet från vilket händelsen skapades. |
| SubjectMachineSID | sträng | Säkerhetsidentifieraren (SID) för datorn som genererade händelsen. |
| AnvändarnamnetFörÄmne | sträng | Namnet på användarkontot som genererade händelsen. |
| ÄmnesAnvändarSid | sträng | Säkerhetsidentifieraren (SID) för användarkontot som genererade händelsen. |
| _PrenumerationsId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| Understatus | sträng | Ytterligare information om inloggningsfel. De vanligaste substatuskoderna anges i "Tabell 12". Windows inloggningsstatuskoder. |
| Systemprocess-ID | Int | Identifierar processen som genererade händelsen. |
| Systemtråd-ID | Int | Identifierar tråden som genererade händelsen. |
| SystemUserId | sträng | Användarens ID som är ansvarig för händelsen. |
| Tabell-ID | sträng | Det specifika databasidentifierare där händelsedata lagras. |
| TargetAccount | sträng | Kontot som måltavlas av händelsen (användarnamn, datornamn, etc). |
| Måldomänens namn | sträng | Namnet på domänen som målkontot tillhör. |
| Målinformation | sträng | Ytterligare information om händelsemålet (till exempel: sökvägen till en fil eller mapp, namnet på en registernyckel, etc). |
| MålLänkadInloggningsId | sträng | Information som hjälper till att länka samman relaterade händelser genom deras inloggningsförsök-ID:n. Det kan vara användbart för att hålla alla relevanta händelser organiserade, spåra aktivitet över flera sessioner och identifiera attackkällan. |
| TargetLogonGuid | sträng | En globalt unik identifikator (GUID) associerad med inloggningssessionen relaterad till händelsen. |
| TargetLogonId | sträng | En unik identifierare associerad med inloggningssessionen som är relaterad till händelsen. |
| Mål Utgående Domännamn | sträng | Domänen som kontot specificerat i fältet TargetAccount blev autentiserat mot under ett utgående autentiseringsförsök. |
| UtgåendeMålAnvändarnamn | sträng | Namnet på användarkontot som autentiserades under ett utgående autentiseringsförsök. |
| TargetServerName | sträng | Namnet på servern där den nya processen kördes. Har värdet "localhost" om processen kördes lokalt. |
| TargetSid | sträng | Säkerhetsidentifieraren (SID) för servern där den nya processen kördes. |
| Målanvändare | sträng | Användarkontots identifierare som genererade den nya processen. |
| Målanvändarnamn | sträng | Namnet på användarkontot som genererade den nya processen. |
| MålanvändarSid | sträng | Säkerhetsidentifieraren (SID) som är kopplad till användaren eller resursen som deltar i händelsen. |
| Uppgift | Int | Uppgiften som definierats i händelsen. |
| MallInnehåll | sträng | Innehållet i händelsemeddelandet eller notifikationen i en strukturerad form. |
| TemplateDSObjectFQDN | sträng | FQDN för DS-objektet som representerar GPO-mallen. |
| TemplateInternNamn | sträng | Det interna namnet på GPO-mallen. |
| TemplateOID | sträng | den unika identifieraren för mallen som användes för att skapa händelsen. |
| TemplateSchemaVersion | sträng | Version av mallens schema som definierar den data som ska inkluderas med ett event. |
| Mallversion | sträng | Version av mallen som definierar vilken data som ska inkluderas med en händelse. |
| Hyresgäst-ID | sträng | Log Analytics arbetsyta-ID |
| Tidpunkt för generering | datum och tid | Tidstämpeln när händelsen skapades på datorn. |
| Tokenshöjningstyp | sträng | Typ av token som tilldelades en ny process i enlighet med användarkontokontrollpolicyn. |
| Överförda tjänster | sträng | Listan över överförda tjänster. Överförda tjänster fylls i om inloggningen var ett resultat av en S4U (Service For User) inloggningsprocess. S4U är en Microsoft-förlängning av Kerberos-protokollet som tillåter en applikationstjänst att erhålla en Kerberos-tjänstbiljett för en användares räkning - vanligtvis görs detta av en webbplats på front-end för att komma åt en intern resurs för en användares räkning. För mer information om S4U, se https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | sträng | Namnet på tabellen |
| Användarkontokontroll | sträng | Visar listan över ändringar i attributet för userAccountControl. Du kommer att se en rad text för varje ändring. |
| Användarparametrar | sträng | Om du ändrar någon inställning med hjälp av Active Directory Users and Computers-hanteringskonsolen på fliken för uppringning i användarens kontoinställningar, kommer du att se <ett värde som har ändrats, men inte visas> i detta fält. För lokala konton är detta fält inte tillämpligt och har alltid värdet <värde inte inställt>. |
| Användarens huvudnamn | sträng | Internet-stils inloggningsnamn för kontot, baserat på internetstandarden RFC 822. Enligt konventionen bör detta kopplas till kontots e-postnamn. |
| Användararbetsstationer | sträng | Innehåller listan över NetBIOS- eller DNS-namnen på de datorer från vilka användaren kan logga in. Varje datornamn är separerat med ett kommatecken. Namnet på en dator är sAMAccountName-egenskapen för ett datorobjekt. |
| Leverantörs-ID:n | sträng | 'Hardware Ids'-attributet hos enheten. För att se enhetens egenskaper, starta Enhetshanteraren, öppna specifika enhetsegenskaper och klicka på "Detaljer". |
| Utgåva | Int | Innehåller versionsnumret för händelsens definition. |
| VirtualAccount | sträng | En 'Ja' eller 'Nej' flagga, som indikerar om kontot är ett virtuellt konto (t.ex. 'Hantera tjänstkonto'), vilket introducerades i Windows 7 och Windows Server 2008 R2 för att möjliggöra identifiering av det konto som en given tjänst använder, istället för att bara använda 'NetworkService'. |
| Arbetsstation | sträng | Namnet på maskinen som användes för att genomföra händelsen. |
| Arbetsstationsnamn | sträng | Maskinnamn från vilken ett inloggningsförsök gjordes. |