SecurityEvent
windows makinelerinden Azure Güvenlik Merkezi veya Azure Sentinel tarafından toplanan güvenlik olayları.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategoriler | Güvenlik |
| Çözümler | Security, SecurityInsights |
| Temel günlük | Hayır |
| Alma zamanı dönüşümü | Yes |
| Örnek Sorgular | Evet |
Sütunlar
| Sütun | Türü | Açıklama |
|---|---|---|
| AccessMask | Dize | İstenen veya gerçekleştirilen işlem için onaltılık maske. |
| Firma | Dize | Hizmetler veya kullanıcılar için Güvenlik bağlamı. |
| AccountDomain | Dize | Konunun etki alanı veya bilgisayar adı. |
| AccountExpires | Dize | Hesabın süresinin dolduğu tarih. |
| AccountName | Dize | "Etki alanı güvenini kaldırma" işlemini isteyen hesabın adı. |
| AccountSessionIdentifier | Dize | Oturum oluşturulduğunda makine tarafından oluşturulan benzersiz tanımlayıcı. |
| AccountType | Dize | Hesabın bir bilgisayar hesabı mı (makine) yoksa kullanıcının mı olduğunu tanımlar. |
| Etkinlik | Dize | Olayın açıklayıcı başlığı oluştu. |
| AdditionalInfo | Dize | Kaynak tarafından sağlanan ve listeyle temsil edilen diğer alanlarla eşlenmeyen ek bilgiler. |
| AdditionalInfo2 | Dize | Kaynak tarafından sağlanan ve listeyle temsil edilen diğer alanlarla eşlenmeyen ek bilgiler. |
| AllowedToDelegateTo | Dize | Bu hesabın temsilci kimlik bilgilerini sunabileceği SPN'lerin listesi. |
| Özellikler | Dize | Olay hakkında ek bilgiler. |
| AuditPolicyChanges | Dize | Bir dosya veya kayıt defteri anahtarında sistem denetim ilkesinde veya denetim ayarlarında değişiklik yapıldığında oluşturulan olaylar. |
| AuditsDiscarded | int | Atılan denetim iletilerinin sayısı. |
| AuthenticationLevel | int | Atılan denetim iletilerinin sayısı. |
| AuthenticationPackageName | Dize | yüklenen Kimlik Doğrulama Paketinin adı. Biçim: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | Dize | Kimlik doğrulama işleminden sorumlu sağlayıcının kimliği (sertifika yetkilisi, kullanıcı adı, parola kimlik doğrulama sistemi vb. içerebilir). |
| AuthenticationServer | Dize | Kimlik doğrulama sağlayıcısının bulunduğu sunucu. |
| AuthenticationService | int | Kimlik doğrulama sağlayıcısının bulunduğu hizmet. |
| AuthenticationType | Dize | olay için kullanılan kimlik doğrulama türü (iki öğeli kimlik doğrulaması, biyometrik kimlik doğrulaması vb.). |
| AzureDeploymentID | Dize | Günlüğün ait olduğu bulut hizmetinin Azure dağıtım kimliği. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| CACertificateHash | Dize | Olayı gerçekleştiren kullanıcının kimliğini doğrulamak için kullanılan sertifika yetkilisinin (CA) sertifikasının karma değeri. |
| CalledStationID | Dize | Güvenlik olayına yol açan eylemi başlatan istasyonun kimliği hakkında bilgi. |
| CallerProcessId | Dize | Oturum açmayı deneen işlemin onaltılık İşlem Kimliği. İşlem Kimliği (PID), işletim sistemi tarafından etkin bir işlemi benzersiz olarak tanımlamak için kullanılan bir sayıdır. |
| CallerProcessName | Dize | Tam yol ve işlem için yürütülebilir dosyanın adı. |
| CallingStationID | Dize | Güvenlik olayına yol açan eylemi başlatan istasyonun kimliği hakkında bilgi. |
| CAPublicKeyHash | Dize | Sertifika veren bir sertifika yetkilisinin (CA) ortak anahtarını tanımlayan karma değer. |
| CategoryId | Dize | Gerçekleşen güvenlik olayının kategorisi (oturum açma girişimi, veri ihlali vb.). |
| CertificateDatabaseHash | Dize | Sertifika veren veritabanını tanımlayan karma değer. |
| Kanal | Dize | Olayın günlüğe kaydedildiği kanal. |
| ClassId | Dize | Cihazın 'Sınıf Guid' özniteliği. |
| ClassName | Dize | Cihazın 'Class' özniteliği. |
| ClientAddress | Dize | TGT isteğinin alındığı bilgisayarın IP adresi. |
| ClientIPAddress | Dize | Olaya yol açan eylemi başlatan bilgisayarın IP adresi. |
| ClientName | Dize | kullanıcının yeniden bağlandığı bilgisayar adı. Konsol oturumu için 'Bilinmiyor' değerine sahiptir. |
| CommandLine | Dize | Olaya dahil olan bir uygulamaya veya işleme geçirilen komut satırı bağımsız değişkenleri. |
| CompatibleId'ler | Dize | Cihazın 'Uyumlu Kimlikler' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın: |
| Bilgisayar | Dize | Olayın gerçekleştiği bilgisayarın adı. |
| Bağıntı | Dize | Tüketicilerin ilgili olayları birlikte gruplandırmak için kullanabileceği etkinlik tanımlayıcıları. |
| DCDNSName | Dize | Olaya katılan etki alanı denetleyicisinin DNS adı. |
| DeviceDescription | Dize | olaya dahil olan cihazın açıklaması. |
| DeviceId | Dize | Olaya dahil olan cihazın benzersiz tanımlayıcısı. |
| DisplayName | Dize | Bu, belirli bir hesabın adres defterinde görüntülenen bir addır. Bu genellikle kullanıcının adı, ikinci adı ve soyadının birleşimidir. |
| Değerlendirme | Dize | Olayın çözümlenip çözümlenmediği veya olaya yanıt olarak herhangi bir eylemin yapılıp yapılmadığı gibi olay sonucu/çözümü. |
| DomainBehaviorVersion | Dize | msDS-Behavior-Version etki alanı özniteliği değiştirildi. Sayısal değer. |
| DomainName | Dize | Kaldırılan güvenilen etki alanının adı. |
| DomainPolicyChanged | Dize | Herhangi bir etki alanı ilkelerinin olayın bir parçası olarak değiştirilip değiştirilmediğini gösterir (parola ilkeleri, güvenlik ilkeleri vb.). |
| DomainSid | Dize | Güven ortağının SID'i. Bu parametre olayda yakalanmayabilir ve bu durumda 'NULL SID' olarak görünür. |
| EAPType | Dize | Olay kimlik doğrulama işlemi için kullanılan Genişletilebilir Kimlik Doğrulama Protokolü (EAP) türü. |
| ElevatedToken | Dize | 'Evet' veya 'Hayır' bayrağı. 'Evet' ise, bu olayın temsil ettiği oturum yükseltilmiştir ve yönetici ayrıcalıklarına sahiptir. |
| ErrorCode | int | Hata olayları için hata kodu içerir. Başarı olayları için bu parametre '0x0' değerine sahiptir. |
| EventData | Dize | Olayla ilişkili olaya özgü veriler. |
| EventID | int | Sağlayıcının olayı tanımlamak için kullandığı tanımlayıcı. |
| EventLevelName | Dize | Olayda belirtilen düzeyin işlenmiş ileti dizesi. |
| EventRecordId | Dize | Günlüğe kaydedildiğinde olaya atanan kayıt numarası. |
| OlayKaynağıAdı | Dize | Olayı günlüğe kaydeden yazılımın adı (uygulama veya bir succomponent). |
| ExtendedQuarantineState | Dize | Varsa ağ karantinası işleminin durumu. Ağ karantinası, yetkisiz cihazların belirli güvenlik gereksinimlerini karşılayana veya kötü amaçlı yazılım denetimi yapılana kadar bir ağa erişiminin engellendiği bir işlemdir. |
| FailureReason | Dize | Durum alanı değerinin metinsel açıklaması. Bu olay için genellikle 'Hesap kilitlendi' değerine sahiptir. |
| Dosya karması | Dize | Olayın bir parçası olarak erişilen veya değiştirilen dosyalar ya da kimlik doğrulaması veya yetkilendirme işleminde kullanılan dosyalar için karma değer. |
| FilePath | Dize | İşlemin gerçekleştirildiği anahtar dosyasının tam yolu ve dosya adı. |
| FilePathNoUser | Dize | Kullanıcı adı veya kullanıcıya özgü diğer bilgiler hariç olmak üzere olayla ilgili dosyaların yolu. |
| Filtre | Dize | Gerçekleştirilen olayda kullanılan filtreler. |
| ForceLogoff | Dize | '\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: Oturum açma saatlerinin süresi dolduğunda oturumu kapatmaya zorla' grup ilkesi. |
| Fqbn | Dize | Olayla ilgili tüm dosyalar için tam ikili ad (FQBN). |
| FullyQualifiedSubjectMachineName | Dize | Olayı başlatan makinenin tam etki alanı adı (FQDN). |
| FullyQualifiedSubjectUserName | Dize | Olayı FQDN biçiminde başlatan kullanıcı veya hizmetin kullanıcı adı. |
| GroupMembership | Dize | Günlüğe kaydedilen hesabın ait olduğu grup SID'lerinin listesi (üyesi). Olay Görüntüleyicisi, SID'leri otomatik olarak çözümlemeye çalışır ve hesap adını gösterir. SID çözümlenemiyorsa, olayda kaynak verileri görürsünüz. |
| HandleId | Dize | Bir tanıtıcının Nesne Adı'na onaltılık değeri. Bu alan, diğer olaylarla bağıntı için kullanılabilir. |
| Donanım Kimlikleri | Dize | Cihazın 'Donanım Kimlikleri' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın: |
| HomeDirectory | Dize | Kullanıcının giriş dizini. homeDrive özniteliği ayarlanmışsa ve bir sürücü harfi belirtiyorsa, homeDirectory bir UNC yolu olmalıdır. Yol, \Server\Share\Directory formunun ağ UNC'si olmalıdır. |
| HomePath | Dize | Kullanıcının giriş yolu. Yol, \Server\Share\Directory formunun ağ UNC'si olmalıdır. |
| InterfaceUuid | Dize | Olay için kullanılan ağ arabiriminin benzersiz tanımlayıcısı (UUID). |
| IpAddress | Dize | olayla ilişkili ağ adresi (genellikle IPv4 veya IPv6). |
| IpPort | Dize | Olayla ilişkili ağ bağlantı noktası numarası. |
| _IsBillable | Dize | Verilerin alınıp alınmayacağını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmadığında |
| KeyLength | int | NTLM Oturum Güvenliği anahtarının uzunluğu. Genellikle 128 bit veya 56 bit uzunluğundadır. |
| Anahtar sözcükler | Dize | Olayda tanımlanan anahtar sözcüklerin bit maskesi. |
| Level | Dize | Windows, her olayı önem düzeyine göre kategorilere ayırır. Önem sırasına göre düzeyler bilgi, ayrıntı, uyarı, hata ve sayılarla ifade edilen kritik düzeylerdir. |
| LmPackageName | Dize | Olayın oluşturulduğu makinede şu anda Yerel Güvenlik Yetkilisi'ni (LSA) kullanan paket veya yazılım bileşeninin adı. |
| LocationInformation | Dize | Cihazın 'Konum bilgileri' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın: |
| LockoutDuration | Dize | '\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme süresi' grup ilkesi. Sayısal değer. |
| LockoutObservationWindow | Dize | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' grup ilkesi. Sayısal değer. |
| LockoutThreshold | Dize | '\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme eşiği' grup ilkesi. Sayısal değer. |
| LoggingResult | Dize | Oturum açma işleminin sonucu. |
| LogonGuid | Dize | Bu olayı aynı Oturum Açma GUID'sini içerebilen başka bir olayla ilişkilendirmenize yardımcı olabilecek bir GUID. |
| LogonHours | Dize | Hesabın etki alanında oturum açmasına izin verilen saatler. |
| LogonID | Dize | Bu olayı aynı Oturum Açma Kimliğini içerebilecek son olaylarla ilişkilendirmenize yardımcı olabilecek onaltılık değer. |
| LogonProcessName | Dize | Kayıtlı oturum açma işleminin adı. |
| LogonType | int | Gerçekleştirilen oturum açma türü. |
| LogonTypeName | Dize | Olay günlüğü tarafından yakalanan oturum açma veya kimlik doğrulama olayının türü (ortak değerler:Etkileşimli, Ağ, RemoteInteractive, Unlock). |
| MachineAccountQuota | Dize | ms-DS-MachineAccountQuota etki alanı özniteliği değiştirildi. Sayısal değer. |
| MachineInventory | Dize | Olayın oluşturulduğu bilgisayarın donanım yapılandırması ve yazılım ortamı hakkında bilgiler. Farklı veri noktaları içerebilir, örneğin: bilgisayarın modeli ve modeli, kullanılabilir RAM veya depolama alanı miktarı, çeşitli yazılım uygulamalarının sürüm numaraları vb.). |
| MachineLogon | Dize | Makinedeki başarılı bir oturum açma olayı hakkında bilgi. |
| ManagementGroupName | Dize | Kaynak türüne göre ek bilgiler. |
| Zorunlu Etiket | Dize | Yeni işleme atanan bütünlük etiketinin kimliği. |
| MaxPasswordAge | Dize | Sistemin kullanıcının parolayı değiştirmesini gerektirmeden önce parolanın kullanılabilmesi için geçmesi gereken süre (gün cinsinden). |
| MemberName | Dize | Olaya dahil olan kullanıcı hesabı. |
| MemberSid | Dize | Olaya dahil olan kullanıcı hesabıyla ilişkili güvenlik tanımlayıcısı (SID). |
| MinPasswordAge | Dize | Sistemin kullanıcının parolayı değiştirmesini gerektirmeden önce parolanın kullanılması gereken süre (gün cinsinden). |
| MinPasswordLength | Dize | Kullanıcı hesabı için parola oluşturabilen en az karakter sayısı. |
| MixedDomainMode | Dize | Sistem veya etki alanı denetleyicisinin etki alanı modu. |
| NASIdentifier | Dize | Olaya dahil olan ağ erişim sunucusunun (NAS) tanımlayıcısı. |
| NASIPv4Address | Dize | Varsa, olaya dahil olan ağ erişim sunucusunun (NAS) IPv4Address değeri. |
| NASIPv6Address | Dize | Varsa, olaya dahil olan ağ erişim sunucusunun (NAS) IPv6Address değeri. |
| NASPort | Dize | olayda kullanılan ağ erişim sunucusundaki bağlantı noktası. |
| NASPortType | Dize | olayda kullanılan ağ erişim sunucusunun (NAS) türü. |
| NetworkPolicyName | Dize | Olayla ilişkili ağ ilkesinin adı. |
| YeniTarih | Dize | UTC saat dilimindeki yeni tarih. Biçim YYYY-AA-GG'dir. |
| NewMaxUsers | Dize | Olaydaki bir kaynak için izin verilen yeni maksimum kullanıcı sayısı. |
| NewProcessId | Dize | Yeni işlemin onaltılık İşlem Kimliği. İşlem Kimliği (PID), işletim sistemi tarafından etkin bir işlemi benzersiz olarak tanımlamak için kullanılan bir sayıdır. |
| NewProcessName | Dize | Tam yol ve yeni işlem için yürütülebilir dosyanın adı. |
| Yeni İşaret | Dize | Ağ paylaşımı 'Comments:' alanının yeni değeri. Ayarlı değilse 'YOK' değerine sahiptir. |
| NewShareFlags | Dize | Olaydaki bir kaynakla ilişkili paylaşım bayrakları, örneğin: kaynağın salt okunur mu yoksa okuma/yazma mı olduğu, gizli olup olmadığı ve erişimi ve izinleri etkileyebilecek diğer parametreler hakkında bilgi. |
| NewTime | Dize | UTC saat diliminde ayarlanan yeni saat. Biçim: YYYY-AA-GGThh:mm:ss.nnnnnnnZ |
| NewUacValue | Dize | Kullanıcı hesabı için parolayı, kilitlemeyi, devre dışı bırakma/etkinleştirmeyi, betiği ve diğer davranışları denetleen bayrakları belirtir. |
| YeniDeğer | Dize | Değiştirilen kayıt defteri anahtarı değeri için yeni değer. |
| NewValueType | Dize | Değiştirilen kayıt defteri anahtarı değerinin yeni türü. |
| ObjectName | Dize | Erişim istenen nesne için ad ve diğer tanımlayıcı bilgiler. Örneğin, bir dosya için yol eklenir. |
| ObjectServer | Dize | Yordamı çağıran Windows alt sisteminin adını içerir. |
| ObjectType | Dize | İşlem sırasında erişilen nesnenin türü. |
| ObjectValueName | Dize | Değiştirilen kayıt defteri anahtarı değerinin adı. |
| OemInformation | Dize | Olaydaki bir cihaz veya sistemle ilişkili orijinal ekipman üreticisi (OEM). |
| OldMaxUsers | Dize | Olaydaki bir kaynak için izin verilen önceki maksimum kullanıcı sayısı. |
| Eski İşaret | Dize | ağ paylaşımı 'Comments:' alanının eski değeri. Ayarlı değilse 'YOK' değerine sahiptir. |
| OldShareFlags | Dize | Olaydaki bir kaynakla ilişkili önceki paylaşım bayrakları, örneğin: kaynağın salt okunur mu yoksa okuma/yazma mı olduğu, gizli olup olmadığı ve erişimi ve izinleri etkileyebilecek diğer parametreler hakkında bilgiler. |
| OldUacValue | Dize | Kullanıcı hesabı için parolayı, kilitlemeyi, devre dışı bırakma/etkinleştirmeyi, betiği ve diğer davranışları denetleen bayrakları belirtir. Bu parametre, kullanıcı nesnesinin userAccountControl özniteliğinin önceki değerini içerir. |
| OldValue | Dize | Değiştirilen kayıt defteri anahtarı değeri için eski değer. |
| OldValueType | Dize | Değiştirilen kayıt defteri anahtarı değerinin eski türü. |
| Işlem kodu | Dize | opcode öğesi SystemPropertiesType karmaşık türü tarafından tanımlanır. |
| OperationType | Dize | Bir nesne üzerinde gerçekleştirilen işlemin türü |
| PackageName | Dize | Oturum açma sırasında kullanılan LAN Manager alt paketinin adı (NTLM-family protokol adı). |
| ParentProcessName | Dize | Olayla ilişkili üst işlemin adı. |
| PasswordHistoryLength | Dize | \Güvenlik Ayarları\Hesap İlkeleri\Parola İlkesi\Parola geçmişini zorla" grup ilkesi. Sayısal değer. |
| PasswordLastSet | Dize | Hesabın parolası en son değiştirildiğinde. |
| PasswordProperties | Dize | Olayla ilişkili parola ilkeleri veya özellikleri, örneğin: parola uzunluğu, karmaşıklık ve son kullanma tarihi. |
| PreviousDate | Dize | Olayla ilişkili önceki tarih. |
| PreviousTime | Dize | UTC saat diliminde önceki saat. Biçim YYYY-MM-DDThh:mm:ss.nnnnnnnZ şeklindedir. |
| PrimaryGroupId | Dize | Kullanıcının nesne birincil grubunun Göreli Tanımlayıcısı (RID). |
| PrivateKeyUsageCount | Dize | Özel anahtarın kaç kez kullanıldığı. |
| PrivilegeList | Dize | Olayla ilişkili kullanıcı, grup veya sistem ayrıcalıkları dahil olmak üzere ayrıcalıklar. |
| İşlem | Dize | Olayı oluşturan işlemin adı. |
| ProcessId | Dize | Olayı oluşturan işlemi tanımlar. |
| ProcessName | Dize | Tam yol ve işlem için yürütülebilir dosyanın adı. |
| ProfilePath | Dize | Hesabın profilinin yolunu belirtir. Bu değer null dize, yerel mutlak yol veya UNC yolu olabilir. |
| Properties | Dize | Nesne Türüne bağlıdır. Bu alan boş olabilir veya erişilen nesne özelliklerinin listesini içerebilir. |
| ProtocolSequence | Dize | Kimlik doğrulama girişimi için kullanılan protokol hakkında bilgi. |
| ProxyPolicyName | Dize | Ara sunucuyu ağa bağlanmak üzere yapılandırmak için kullanılan ilkenin adı. |
| QuarantineHelpURL | Dize | Ağ karantinası sorununu giderme konusunda yardım sağlayan URL. |
| QuarantineSessionID | Dize | Dosyanın karantina için değerlendirildiği oturumun tanımlayıcısı. |
| QuarantineSessionIdentifier | Dize | Dosyanın karantina için değerlendirildiği oturumun tanımlayıcısı. |
| QuarantineState | Dize | Dosyanın karantinaya alınıp alınmadığını gösterir. |
| QuarantineSystemHealthResult | Dize | Karantinaya alınan dosyaların durumunu gösteren rapor. |
| RelativeTargetName | Dize | Erişilen hedef dosya veya klasörün göreli adı. Bu dosya yolu ağ paylaşımına göredir. Paylaşımın kendisi için erişim istendiyse, bu alan "" olarak görünür. |
| RemoteIpAddress | Dize | Uzak bağlantı başlatan bilgisayarın IP adresi. |
| RemotePort | Dize | Bağlantı başlatan uzak bilgisayarın bağlantı noktası numarası. |
| İstek Sahibi | Dize | Olay isteğinde bulunan tanımlayıcı. |
| RequestId | Dize | HTTP üzerinden yapılan istekler gibi belirli isteklerle ilişkili benzersiz bir tanımlayıcı. |
| _ResourceId | Dize | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| RestrictedAdminMode | Dize | Yalnızca RemoteInteractive oturum açma türü oturumları için doldurulur. Bu, sağlanan kimlik bilgilerinin Kısıtlı Yönetici modu kullanılarak geçirilip geçirilmediğini gösteren bir Evet/Hayır bayrağıdır. Kısıtlı Yönetici modu Win8.1/2012R2'de eklendi, ancak bu bayrak Win10'da etkinliğe eklendi. |
| SatırLarDeleted | Dize | Belirli bir işlemin parçası olarak silinen satır sayısı. |
| SamAccountName | Dize | Önceki Windows sürümlerinden (Windows 2000 öncesi oturum açma adı) istemcileri ve sunucuları desteklemek için kullanılan hesabın oturum açma adı. |
| ScriptPath | Dize | Hesabın oturum açma betiğinin yolunu belirtir. |
| SecurityDescriptor | Dize | Belirli bir nesnenin veya kaynağın güvenlik ayarları ve izinleri hakkında bilgi. |
| ServiceAccount | Dize | Hizmetin başlatıldığında olarak çalıştırılacağı güvenlik bağlamı. |
| ServiceFileName | Dize | Hizmet Denetim Yöneticisi'ne kaydedilmiş hizmet türünü gösterir. |
| ServiceName | Dize | Yüklü hizmetin adı. |
| ServiceStartType | int | Belirli bir hizmetin nasıl başlatılması gerektiği, otomatik olarak mı yoksa el ile mi başlatılacağı hakkında bilgi içerir. |
| ServiceType | Dize | Hizmet Denetim Yöneticisi'ne kaydedilmiş hizmet türünü gösterir. |
| SessionName | Dize | Kullanıcının yeniden bağlandığı oturumun adı. |
| ShareLocalPath | Dize | Erişilen ağ paylaşımının yerel yolu. |
| ShareName | Dize | Erişilen ağ paylaşımının adı. Biçim: \*\SHARE_NAME. |
| SidHistory | Dize | Nesne başka bir etki alanından taşınmışsa nesne için kullanılan önceki SID'leri içerir. |
| SourceComputerId | Dize | Bir Windows etki alanındaki her bilgisayara atanan benzersiz tanımlayıcı. |
| SourceSystem | Dize | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| Durum | Dize | Oturum açmanın başarısız olmasının nedeni. Bu olay için genellikle '0xC0000234' değerine sahiptir. En yaygın durum kodları Tablo 12'de listelenir. Windows oturum açma durum kodları. |
| StorageAccount | Dize | Depolama hesabı erişim anahtarını ayarlar. |
| SubcategoryGuid | Dize | Değiştirilen alt kategorinin benzersiz GUID'si. |
| SubcategoryId | Dize | Olayın belirli bir türü için benzersiz tanımlayıcı. |
| Konu | Dize | Olayı başlatan güvenlik sorumlusu (örneğin: kullanıcı hesabı) hakkında bilgiler. |
| SubjectAccount | Dize | Olayı başlatan hesap hakkındaki bilgiler. |
| SubjectDomainName | Dize | Konu hesabının ait olduğu etki alanı veya çalışma grubu hakkındaki bilgiler. |
| SubjectKeyIdentifier | Dize | Belirli bir sertifika konusu için benzersiz tanımlayıcı. |
| SubjectLogonId | Dize | Konu hesabıyla ilişkili oturum açma oturumunun benzersiz tanımlayıcısı. |
| SubjectMachineName | Dize | Olayın oluşturulduğu makine veya sistem hakkındaki bilgiler. |
| SubjectMachineSID | Dize | Olayı oluşturan makinenin güvenlik tanımlayıcısı (SID). |
| SubjectUserName | Dize | Olayı oluşturan kullanıcı hesabının adı. |
| SubjectUserSid | Dize | Olayı oluşturan kullanıcı hesabının güvenlik tanımlayıcısı (SID). |
| _SubscriptionId | Dize | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| Alt Durum | Dize | Oturum açma hatası hakkında ek bilgiler. 'Tablo 12'de listelenen en yaygın alt durum kodları. Windows oturum açma durum kodları'. |
| SystemProcessId | int | Olayı oluşturan işlemi tanımlar. |
| SystemThreadId | int | Olayı oluşturan iş parçacığını tanımlar. |
| SystemUserId | Dize | Olaydan sorumlu kullanıcının kimliği. |
| TableId | Dize | Olay verilerinin depolandığı belirli veri tablosu tanımlayıcısı. |
| TargetAccount | Dize | Olay tarafından hedeflenen hesap (kullanıcı adı, bilgisayar adı vb.). |
| TargetDomainName | Dize | Hedef hesabın ait olduğu etki alanının adı. |
| TargetInfo | Dize | Olay hedefi hakkında ek bilgiler (örneğin: bir dosya veya klasörün yolu, kayıt defteri anahtarının adı vb.). |
| TargetLinkedLogonId | Dize | İlgili olayları, oturum açma girişimi kimlikleriyle birbirine bağlamaya yardımcı olan bilgiler. Tüm ilgili etkinlikleri düzenli tutma, birden çok oturumdaki etkinliği izleme ve saldırı kaynağını belirleme konusunda yararlı olabilir. |
| TargetLogonGuid | Dize | Olayla ilgili oturum açma oturumuyla ilişkilendirilmiş genel benzersiz tanımlayıcı (GUID). |
| TargetLogonId | Dize | Olayla ilgili oturum açma oturumuyla ilişkilendirilmiş benzersiz tanımlayıcı. |
| TargetOutboundDomainName | Dize | TargetAccount alanında belirtilen hesabın kimlik doğrulamasının giden kimlik doğrulaması girişimi sırasında gerçekleştirildiği etki alanı. |
| TargetOutboundUserName | Dize | Giden kimlik doğrulaması girişimi sırasında kimliği doğrulanan kullanıcı hesabının adı. |
| TargetServerName | Dize | Yeni işlemin çalıştırıldığı sunucunun adı. İşlem yerel olarak çalıştırıldıysa "localhost" değerine sahiptir. |
| TargetSid | Dize | Yeni işlemin çalıştırıldığı sunucunun güvenlik tanımlayıcısı (SID). |
| TargetUser | Dize | Yeni işlemi oluşturan kullanıcı hesabı tanımlayıcısı. |
| TargetUserName | Dize | Yeni işlemi oluşturan kullanıcı hesabının adı. |
| TargetUserSid | Dize | Olaya dahil olan kullanıcı veya kaynakla ilişkili güvenlik tanımlayıcısı (SID). |
| Görev | int | Olayda tanımlanan görev. |
| TemplateContent | Dize | Olay iletisinin veya bildirimin yapılandırılmış biçimdeki içeriği. |
| TemplateDSObjectFQDN | Dize | GPO şablonunu temsil eden DS nesnesinin FQDN'sini. |
| TemplateInternalName | Dize | GPO şablonunun iç adı. |
| TemplateOID | Dize | olayı oluşturmak için kullanılan şablonun benzersiz tanımlayıcısı. |
| TemplateSchemaVersion | Dize | Bir olaya eklenecek verileri tanımlayan şablon şemasının sürümü. |
| TemplateVersion | Dize | Bir olaya eklenecek verileri tanımlayan şablonun sürümü. |
| TenantId | Dize | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Olayın bilgisayarda oluşturulduğu zaman damgası. |
| TokenElevationType | Dize | Kullanıcı Hesabı Denetim İlkesi'ne uygun olarak yeni bir işleme atanan belirtecin türü. |
| İletilen Hizmetler | Dize | İletilen hizmetlerin listesi. İletilen hizmetler, oturum açma bir S4U (Kullanıcı için Hizmet) oturum açma işleminin sonucuysa doldurulur. S4U, bir uygulama hizmetinin bir kullanıcı adına Kerberos hizmet bileti almasına izin vermek için Kerberos Protokolü'ne yönelik bir Microsoft uzantısıdır. En yaygın olarak bir ön uç web sitesi tarafından kullanıcı adına bir iç kaynağa erişim sağlanır. S4U hakkında daha fazla bilgi için bkz https://msdn.microsoft.com/library/cc246072.aspx. . |
| Tür | Dize | Tablonun adı |
| UserAccountControl | Dize | userAccountControl özniteliğindeki değişikliklerin listesini gösterir. Her değişiklik için bir metin satırı görürsünüz. |
| UserParameters | Dize | Kullanıcının hesap özelliklerinin Arayarak bağlan sekmesinde Active Directory Kullanıcıları ve Bilgisayarları yönetim konsolunu kullanarak herhangi bir ayarı değiştirirseniz, değerin değiştiğini ancak bu alanda görüntülenmediğini> görürsünüz<. Yerel hesaplar için bu alan geçerli değildir ve her zaman <değer ayarlanmadı> . |
| UserPrincipalName | Dize | Hesap için İnternet standart RFC 822'yi temel alan internet stili oturum açma adı. Kural gereği bu, hesabın e-posta adıyla eşlenmelidir. |
| UserWorkstations | Dize | Kullanıcının oturum açabileceği bilgisayarların NetBIOS veya DNS adlarının listesini içerir. Her bilgisayar adı virgülle ayrılır. Bilgisayarın adı, bir bilgisayar nesnesinin sAMAccountName özelliğidir. |
| VendorIds | Dize | Cihazın 'Donanım Kimlikleri' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın. |
| Sürüm | int | Olay tanımının sürüm numarasını içerir. |
| VirtualAccount | Dize | Hesabın yalnızca 'NetworkService' kullanmak yerine belirli bir Hizmetin kullandığı hesabı tanımlama olanağı sağlamak için Windows 7 ve Windows Server 2008 R2'de tanıtılan bir sanal hesap (örneğin, 'Yönetilen Hizmet Hesabı') olup olmadığını gösteren 'Evet' veya 'Hayır' bayrağı. |
| İş istasyonu | Dize | Olayı gerçekleştirmek için kullanılan makinenin adı. |
| WorkstationName | Dize | Oturum açma girişiminin gerçekleştirildiği makine adı. |