Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
windows makinelerinden Azure Güvenlik Merkezi veya Azure Sentinel tarafından toplanan güvenlik olayları.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.connectedvmwarevsphere/sanalmakineler microsoft.azurestackhci/virtualmachines (Microsoft Azure Stack HCI sanal makineler) microsoft.scvmm/sanal_makineler microsoft.compute/sanalmakineölçek-kümeleri |
| Kategori | Güvenlik |
| Çözümleri | Güvenlik, Güvenlik Bilgileri |
| Temel günlük | Evet |
| Veri alma zamanı dönüşümü | Evet |
| Örnek Sorgular | Evet |
Sütunlar
| Sütun | Türü | Açıklama |
|---|---|---|
| ErişimMaskesi | String | İstenen veya gerçekleştirilen işlem için onaltılık maske. |
| Firma | String | Hizmetler veya kullanıcılar için Güvenlik bağlamı. |
| Hesap Alanı | String | Konunun etki alanı veya bilgisayar adı. |
| Hesap Süresi Doluyor | String | Hesabın süresinin dolduğu tarih. |
| Hesap Adı | String | "Etki alanı güvenini kaldırma" işlemini isteyen hesabın adı. |
| HesapOturumTanımlayıcı | String | Oturum oluşturulduğunda makine tarafından oluşturulan benzersiz tanımlayıcı. |
| Hesap Türü | String | Hesabın bir bilgisayar hesabı mı (makine) yoksa kullanıcının mı olduğunu tanımlar. |
| Etkinlik | String | Olayın açıklayıcı başlığı oluştu. |
| Ek Bilgi | String | Kaynak tarafından sağlanan ve listeyle temsil edilen diğer alanlarla eşlenmeyen ek bilgiler. |
| Ek Bilgi2 | String | Kaynak tarafından sağlanan ve listeyle temsil edilen diğer alanlarla eşlenmeyen ek bilgiler. |
| Yetki Devredilebilir | String | Bu hesabın temsilci kimlik bilgilerini sunabileceği SPN'lerin listesi. |
| Özellikler | String | Olay hakkında ek bilgiler. |
| Denetim Politikası Değişiklikleri | String | Bir dosya veya kayıt defteri anahtarında sistem denetim ilkesinde veya denetim ayarlarında değişiklik yapıldığında oluşturulan olaylar. |
| İptal Edilen Denetimler | Int | Atılan denetim iletilerinin sayısı. |
| Kimlik Doğrulama Seviyesi | Int | Atılan denetim iletilerinin sayısı. |
| Kimlik Doğrulama Paketi Adı | String | yüklenen Kimlik Doğrulama Paketinin adı. Biçim: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| Kimlik Doğrulama Sağlayıcısı | String | Kimlik doğrulama işleminden sorumlu sağlayıcının kimliği (sertifika yetkilisi, kullanıcı adı, parola kimlik doğrulama sistemi vb. içerebilir). |
| Kimlik Doğrulama Sunucusu | String | Kimlik doğrulama sağlayıcısının bulunduğu sunucu. |
| AuthenticationService | Int | Kimlik doğrulama sağlayıcısının bulunduğu hizmet. |
| Kimlik Doğrulama Türü | String | olay için kullanılan kimlik doğrulama türü (iki öğeli kimlik doğrulaması, biyometrik kimlik doğrulaması vb.). |
| AzureDeploymentID | String | Günlüğün ait olduğu bulut hizmetinin Azure dağıtım kimliği. |
| _FaturalandirilmisBoyut (_BilledSize) | gerçek | Bayt cinsinden kayıt boyutu |
| CACertificateHash | String | Olayı gerçekleştiren kullanıcının kimliğini doğrulamak için kullanılan sertifika yetkilisinin (CA) sertifikasının karma değeri. |
| Aranan İstasyon Kimliği | String | Güvenlik olayına yol açan eylemi başlatan istasyonun kimliği hakkında bilgi. |
| CallerProcessId | String | Oturum açmayı deneen işlemin onaltılık İşlem Kimliği. İşlem Kimliği (PID), işletim sistemi tarafından etkin bir işlemi benzersiz olarak tanımlamak için kullanılan bir sayıdır. |
| Çağıran İşlem Adı | String | İşlem için tam yol ve yürütülebilir dosya adı. |
| CallingStationID | String | Güvenlik olayına yol açan eylemi başlatan istasyonun kimliği hakkında bilgi. |
| CAPublicKeyHash | String | Sertifika veren bir sertifika yetkilisinin (CA) ortak anahtarını tanımlayan hash değeri. |
| KategoriId | String | Gerçekleşen güvenlik olayının kategorisi (oturum açma girişimi, veri ihlali vb.). |
| CertificateDatabaseHash | String | Sertifika veren veritabanını tanımlayan karma değer. |
| Kanal | String | Olayın günlüğe kaydedildiği kanal. |
| SınıfKimliği | String | Cihazın 'Sınıf GUID'si' özniteliği. |
| SınıfAdı | String | Cihazın 'Class' özniteliği. |
| Müşteri Adresi | String | TGT isteğinin alındığı bilgisayarın IP adresi. |
| ClientIPAddress | String | Olaya yol açan eylemi başlatan bilgisayarın IP adresi. |
| MüşteriAdı | String | kullanıcının yeniden bağlandığı bilgisayar adı. Konsol oturumu için 'Bilinmiyor' değerine sahiptir. |
| Komut Satırı | String | Bir olayla ilişkili bir uygulama veya işleme iletilen komut satırı bağımsız değişkenleri. |
| Uyumlu Kimlikler | String | Cihazın 'Uyumlu Kimlikler' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın: |
| Bilgisayar | String | Olayın gerçekleştiği bilgisayarın adı. |
| Bağıntı | String | Tüketicilerin ilgili olayları birlikte gruplandırmak için kullanabileceği etkinlik tanımlayıcıları. |
| DCDNSName | String | Olaya katılan etki alanı denetleyicisinin DNS adı. |
| Cihaz Açıklaması | String | olaya dahil olan cihazın açıklaması. |
| DeviceId | String | Olaya dahil olan cihazın benzersiz tanımlayıcısı. |
| Görüntü Adı | String | Bu, belirli bir hesabın adres defterinde görüntülenen bir addır. Bu genellikle kullanıcının adı, ikinci adı ve soyadının birleşimidir. |
| Eğilim | String | Olayın çözümlenip çözümlenmediği veya olaya yanıt olarak herhangi bir eylemin yapılıp yapılmadığı gibi olay sonucu/çözümü. |
| DomainBehaviorVersion | String | msDS-Behavior-Version etki alanı özniteliği değiştirildi. Sayısal değer. |
| Alan Adı | String | Kaldırılan güvenilen etki alanının adı. |
| Alan Politikası Değiştirildi | String | Herhangi bir etki alanı ilkelerinin olayın bir parçası olarak değiştirilip değiştirilmediğini gösterir (parola ilkeleri, güvenlik ilkeleri vb.). |
| DomainSid | String | Güven ortağının SID'i. Bu parametre olayda yakalanmayabilir ve bu durumda 'NULL SID' olarak görünür. |
| EAPType | String | Olay kimlik doğrulama işlemi için kullanılan Genişletilebilir Kimlik Doğrulama Protokolü (EAP) türü. |
| Yükseltilmiş Jeton | String | 'Evet' veya 'Hayır' bayrağı. 'Evet' ise, bu olayın temsil ettiği oturum yükseltilmiştir ve yönetici ayrıcalıklarına sahiptir. |
| Hata Kodu | Int | Hata olayları için hata kodu içerir. Başarı olayları için bu parametre '0x0' değerine sahiptir. |
| EtkinlikVerisi | String | Olayla ilişkili olaya özgü veriler. |
| EventID | Int | Sağlayıcının olayı tanımlamak için kullandığı tanımlayıcı. |
| EtkinlikSeviyeAdı | String | Olayda belirtilen düzeyin işlenmiş ileti dizesi. |
| EventRecordId | String | Kaydedildiğinde olaya atanan kayıt günlüğü numarası. |
| OlayKaynağıAdı | String | Olayı kaydeden yazılımın adı (uygulama veya bir alt bileşen). |
| Genişletilmiş Karantina Durumu | String | Varsa ağ karantinası işleminin durumu. Ağ karantinası, yetkisiz cihazların belirli güvenlik gereksinimlerini karşılayana veya kötü amaçlı yazılım denetimi yapılana kadar bir ağa erişiminin engellendiği bir işlemdir. |
| Hata Nedeni | String | Durum alanı değerinin metinsel açıklaması. Bu olay için genellikle 'Hesap kilitlendi' değerine sahiptir. |
| Dosya karması | String | Olayın bir parçası olarak erişilen veya değiştirilen dosyalar ya da kimlik doğrulaması veya yetkilendirme işleminde kullanılan dosyalar için karma değer. |
| FilePath | String | İşlemin gerçekleştirildiği anahtar dosyasının tam yolu ve dosya adı. |
| FilePathNoUser | String | Kullanıcı adı veya kullanıcıya özgü diğer bilgiler hariç olmak üzere olayla ilgili dosyaların yolu. |
| Filtre | String | Gerçekleştirilen olayda kullanılan filtreler. |
| ForceLogoff | String | '\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri\Ağ güvenliği: Oturum açma saatlerinin süresi dolduğunda oturumu kapatmaya zorla' grup ilkesi. |
| Fqbn | String | Olayla ilgili tüm dosyalar için tam ikili ad (FQBN). |
| TamNitelikliKonuMakineAdı | String | Olayı başlatan makinenin tam etki alanı adı (FQDN). |
| TamYetkiliKonuKullanıcıAdı | String | Olayı FQDN biçiminde başlatan kullanıcı veya hizmetin kullanıcı adı. |
| Grup Üyeliği | String | Günlüğe kaydedilen hesabın ait olduğu grup SID'lerinin listesi (üyesi). Olay Görüntüleyicisi, SID'leri otomatik olarak çözümlemeye çalışır ve hesap adını gösterir. SID çözümlenemiyorsa, olayda kaynak verileri görürsünüz. |
| HandleId | String | Bir nesne adının tanıtıcısının onaltılık değeri. Bu alan, diğer olaylarla bağıntı için kullanılabilir. |
| Donanım ID'leri | String | Cihazın 'Donanım Kimlikleri' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın: |
| Ana Dizin | String | Kullanıcının giriş dizini. homeDrive özniteliği ayarlanmışsa ve bir sürücü harfi belirtiyorsa, homeDirectory bir UNC yolu olmalıdır. Ağ yolu, \Server\Share\Directory biçiminde bir UNC olmalıdır. |
| HomePath | String | Kullanıcının giriş yolu. Ağ yolu, \Server\Share\Directory biçiminde bir UNC olmalıdır. |
| InterfaceUuid | String | Olay için kullanılan ağ arabiriminin benzersiz tanımlayıcısı (UUID). |
| IP Adresi | String | olayla ilişkili ağ adresi (genellikle IPv4 veya IPv6). |
| IpPort | String | Olayla ilişkili ağ bağlantı noktası numarası. |
| _IsBillable (faturalandırılabilir mi) | String | Verilerin alınmasının ücretli olup olmadığını belirtir. _IsBillable false olduğunda alım Azure hesabınıza faturalandırılmaz. |
| Anahtar Uzunluğu | Int | NTLM Oturum Güvenliği anahtarının uzunluğu. Genellikle 128 bit veya 56 bit uzunluğundadır. |
| Anahtar sözcükler | String | Olayda tanımlanan anahtar sözcüklerin bit maskesi. |
| Seviye | String | Windows, her olayı önem düzeyine göre kategorilere ayırır. Önem sırasına göre düzeyler bilgi, ayrıntı, uyarı, hata ve sayılarla ifade edilen kritik düzeylerdir. |
| LmPackageName | String | Olayın oluşturulduğu makinede şu anda Yerel Güvenlik Yetkilisi'ni (LSA) kullanan paket veya yazılım bileşeninin adı. |
| KonumBilgisi | String | Cihazın 'Konum bilgileri' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın: |
| KilitlenmeSüresi | String | '\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme süresi' grup ilkesi. Sayısal değer. |
| Kilitlenme Gözlem Penceresi | String | '\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitlenme sayacını şu süre sonra sıfırla' grup ilkesi. Sayısal değer. |
| Kilitlenme Eşiği | String | '\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi\Hesap kilitleme eşiği' grup ilkesi. Sayısal değer. |
| Günlük Kaydı Sonucu | String | Oturum açma işleminin sonucu. |
| OturumKılavuzu | String | Bu olayı aynı Oturum Açma GUID'sini içerebilen başka bir olayla ilişkilendirmenize yardımcı olabilecek bir GUID. |
| Oturum Açma Saatleri | String | Hesabın etki alanında oturum açmasına izin verilen saatler. |
| Oturum Açma Kimliği | String | Bu olayı aynı Oturum Açma Kimliğini içerebilecek son olaylarla ilişkilendirmenize yardımcı olabilecek onaltılık değer. |
| Oturum Açma Süreci Adı | String | Kayıtlı oturum açma işleminin adı. |
| OturumTürü | Int | Gerçekleştirilen oturum açma türü. |
| OturumTürAdı | String | Olay günlüğü tarafından yakalanan oturum açma veya kimlik doğrulama olayının türü (ortak değerler:Etkileşimli, Ağ, RemoteInteractive, Unlock). |
| MachineAccountQuota | String | ms-DS-MachineAccountQuota etki alanı özniteliği değiştirildi. Sayısal değer. |
| Makine Envanteri | String | Olayın oluşturulduğu bilgisayarın donanım yapılandırması ve yazılım ortamı hakkında bilgiler. Farklı veri noktaları içerebilir, örneğin: bilgisayarın modeli ve modeli, kullanılabilir RAM veya depolama alanı miktarı, çeşitli yazılım uygulamalarının sürüm numaraları vb.). |
| MachineLogon | String | Makinedeki başarılı bir oturum açma olayı hakkında bilgi. |
| YönetimGrupAdı | String | Kaynak türüne göre ek bilgiler. |
| Zorunlu Etiket | String | Yeni işleme atanan bütünlük etiketinin kimliği. |
| Maksimum Şifre Yaşı | String | Sistemin kullanıcının parolayı değiştirmesini gerektirmeden önce parolanın kullanılabilmesi için geçmesi gereken süre (gün cinsinden). |
| ÜyeAdı | String | Olaya dahil olan kullanıcı hesabı. |
| MemberSid | String | Olaya dahil olan kullanıcı hesabıyla ilişkili güvenlik tanımlayıcısı (SID). |
| AsgariŞifreYaşı | String | Sistemin kullanıcının parolayı değiştirmesini gerektirmeden önce parolanın kullanılması gereken süre (gün cinsinden). |
| MinParolaUzunluğu | String | Kullanıcı hesabı için parola oluşturabilen en az karakter sayısı. |
| Karışık Alan Modu | String | Sistem veya etki alanı denetleyicisinin etki alanı modu. |
| NAS Tanımlayıcı | String | Olaya dahil olan ağ erişim sunucusunun (NAS) tanımlayıcısı. |
| NASIPv4Adresi | String | Varsa, olaya dahil olan ağ erişim sunucusunun (NAS) IPv4Address değeri. |
| NASIPv6Adres | String | Varsa, olaya dahil olan ağ erişim sunucusunun (NAS) IPv6Address değeri. |
| NASPort | String | olayda kullanılan ağ erişim sunucusundaki bağlantı noktası. |
| NASPortType | String | olayda kullanılan ağ erişim sunucusunun (NAS) türü. |
| AğPolitikaAdı | String | Olayla ilişkili ağ ilkesinin adı. |
| YeniTarih | String | UTC saat dilimindeki yeni tarih. Biçim YYYY-AA-GG'dir. |
| NewMaxUsers | String | Bir etkinlikteki kaynak için izin verilen kullanıcıların yeni maksimum sayısı. |
| NewProcessId | String | Yeni işlemin onaltılık İşlem Kimliği. İşlem Kimliği (PID), işletim sistemi tarafından etkin bir işlemi benzersiz olarak tanımlamak için kullanılan bir sayıdır. |
| YeniSüreçAdı | String | Yeni işlemle ilgili tam yol ve yürütülebilir dosyanın adı. |
| Yeni İşaret | String | Ağ paylaşımı 'Yorumlar' kutusunun yeni değeri. Ayarlı değilse 'YOK' değerine sahiptir. |
| YeniPaylaşımBayrakları | String | Olaydaki bir kaynakla ilişkili paylaşım bayrakları, örneğin: kaynağın salt okunur mu yoksa okuma/yazma mı olduğu, gizli olup olmadığı ve erişimi ve izinleri etkileyebilecek diğer parametreler hakkında bilgi. |
| NewTime | String | UTC saat diliminde ayarlanan yeni saat. Biçim: YYYY-MM-GGThh:mm:ss.nnnnnnnZ |
| YeniUacDeger | String | Kullanıcı hesabı için parolayı, kilitlemeyi, devre dışı bırakma/etkinleştirmeyi, betiği ve diğer davranışları denetleen bayrakları belirtir. |
| YeniDeğer | String | Değiştirilen kayıt defteri anahtarı değeri için yeni değer. |
| YeniDeğerTürü | String | Değiştirilen kayıt defteri anahtarı değerinin yeni türü. |
| NesneAdı | String | Erişim istenen nesne için ad ve diğer tanımlayıcı bilgiler. Örneğin, bir dosya için yol eklenir. |
| ObjectServer | String | Yordamı çağıran Windows alt sisteminin adını içerir. |
| Nesne Türü | String | İşlem sırasında erişilen nesnenin türü. |
| NesneDeğerAdı | String | Değiştirilen kayıt defteri anahtarı değerinin adı. |
| OEM Bilgisi | String | Olaydaki bir cihaz veya sistemle ilişkili orijinal ekipman üreticisi (OEM). |
| OldMaxUsers | String | Etkinlikteki bir kaynak için izin verilen önceki maksimum kullanıcı sayısı. |
| Eski Açıklama | String | ağ paylaşımı 'Comments:' alanının eski değeri. Ayarlı değilse 'YOK' değerine sahiptir. |
| OldShareFlags | String | Olaydaki bir kaynakla ilişkili önceki paylaşım bayrakları, örneğin: kaynağın salt okunur mu yoksa okuma/yazma mı olduğu, gizli olup olmadığı ve erişimi ve izinleri etkileyebilecek diğer parametreler hakkında bilgiler. |
| OldUacValue | String | Kullanıcı hesabı için parolayı, kilitlemeyi, devre dışı bırakma/etkinleştirmeyi, betiği ve diğer davranışları denetleen bayrakları belirtir. Bu parametre, kullanıcı nesnesinin userAccountControl özniteliğinin önceki değerini içerir. |
| EskiDeğer | String | Değiştirilen kayıt defteri anahtarı değeri için eski değer. |
| EskiDeğerTürü | String | Değiştirilen kayıt defteri anahtarı değerinin eski türü. |
| Işlem kodu | String | opcode öğesi SystemPropertiesType karmaşık türü tarafından tanımlanır. |
| İşlem Türü | String | Bir nesne üzerinde gerçekleştirilen işlemin türü |
| Paketİsmi | String | Oturum açma sırasında kullanılan LAN Manager alt paketinin adı (NTLM-family protokol adı). |
| Ana Süreç Adı | String | Olayla ilişkili üst işlemin adı. |
| Parola Geçmişi Uzunluğu | String | \Güvenlik Ayarları\Hesap İlkeleri\Parola İlkesi\Parola geçmişini zorla" grup ilkesi. Sayısal değer. |
| ParolaSonBelirleme | String | Hesabın parolası en son değiştirildiğinde. |
| Şifre Özellikleri | String | Olayla ilişkili parola ilkeleri veya özellikleri, örneğin: parola uzunluğu, karmaşıklık ve son kullanma tarihi. |
| ÖncekiTarih | String | Olayla ilişkili önceki tarih. |
| ÖncekiZaman | String | UTC saat diliminde önceki saat. Biçim YYYY-MM-DDThh:mm:ss.nnnnnnnZ şeklindedir. |
| Birincil Grup Kimliği | String | Kullanıcının nesne birincil grubunun Göreli Tanımlayıcısı (RID). |
| Özel Anahtar Kullanım Sayısı | String | Özel anahtarın kaç kez kullanıldığı. |
| Ayrıcalık Listesi | String | Olayla ilişkili kullanıcı, grup veya sistem ayrıcalıkları dahil olmak üzere ayrıcalıklar. |
| İşlem | String | Olayı oluşturan işlemin adı. |
| ProcessId | String | Olayı oluşturan işlemi tanımlar. |
| İşlemAdı | String | İşlem için tam yol ve yürütülebilir dosya adı. |
| ProfilePath | String | Hesabın profilinin yolunu belirtir. Bu değer null dize, yerel mutlak yol veya UNC yolu olabilir. |
| Özellikler | String | Nesne Türüne bağlıdır. Bu alan boş olabilir veya erişilen nesne özelliklerinin listesini içerebilir. |
| Protokol Sırası | String | Kimlik doğrulama girişimi için kullanılan protokol hakkında bilgi. |
| ProxyPolicyName | String | Ara sunucuyu ağa bağlanmak üzere yapılandırmak için kullanılan ilkenin adı. |
| KarantinaYardımURL | String | Ağ karantinası sorununu giderme konusunda yardım sağlayan URL. |
| QuarantineSessionID | String | Dosyanın karantina için değerlendirildiği oturumun tanımlayıcısı. |
| KarantinaOturumTanımlayıcı | String | Dosyanın karantina için değerlendirildiği oturumun tanımlayıcısı. |
| QuarantineState | String | Dosyanın karantinaya alınıp alınmadığını gösterir. |
| Karantina Sistem Sağlık Sonucu | String | Karantinaya alınan dosyaların durumunu gösteren rapor. |
| GöreliHedefAdı | String | Erişilen hedef dosya veya klasörün göreli adı. Bu dosya yolu ağ paylaşımına göredir. Paylaşımın kendisi için erişim istendiyse, bu alan "" olarak görünür. |
| UzaktanIpAdresi | String | Uzak bağlantı başlatan bilgisayarın IP adresi. |
| RemotePort | String | Bağlantı başlatan uzak bilgisayarın bağlantı noktası numarası. |
| İstek Sahibi | String | Olay isteği tanımlayıcısı. |
| İstekId | String | HTTP üzerinden yapılan istekler gibi belirli isteklerle ilişkili benzersiz bir tanımlayıcı. |
| Kaynak Kimliği (_ResourceId) | String | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| Kısıtlı Yönetici Modu | String | Yalnızca RemoteInteractive oturum açma türü oturumları için doldurulur. Bu, sağlanan kimlik bilgilerinin Kısıtlı Yönetici modu kullanılarak geçirilip geçirilmediğini gösteren bir Evet/Hayır bayrağıdır. Kısıtlı Yönetici modu Win8.1/2012R2'de eklendi, ancak bu bayrak Win10'da etkinliğe eklendi. |
| SatırLarDeleted | String | Belirli bir işlemin parçası olarak silinen satır sayısı. |
| SamHesapAdı | String | Önceki Windows sürümlerinden (Windows 2000 öncesi oturum açma adı) istemcileri ve sunucuları desteklemek için kullanılan hesabın oturum açma adı. |
| ScriptPath | String | Hesabın oturum açma betiğinin yolunu belirtir. |
| Güvenlik Tanımlayıcı | String | Belirli bir nesnenin veya kaynağın güvenlik ayarları ve izinleri hakkında bilgi. |
| HizmetHesabı | String | Hizmetin başlatıldığında olarak çalıştırılacağı güvenlik bağlamı. |
| HizmetDosyaAdı | String | Hizmet Denetim Yöneticisi'ne kaydedilmiş hizmet türünü gösterir. |
| Servis Adı | String | Yüklü hizmetin adı. |
| HizmetBaşlatmaTürü | Int | Belirli bir hizmetin nasıl başlatılması gerektiği, otomatik olarak mı yoksa el ile mi başlatılacağı hakkında bilgi içerir. |
| Hizmet Türü | String | Hizmet Denetim Yöneticisi'ne kaydedilmiş hizmet türünü gösterir. |
| SessionName | String | Kullanıcının yeniden bağlandığı oturumun adı. |
| YerelYoluPaylaş | String | Erişilen ağ paylaşımının yerel yolu. |
| Paylaşım Adı | String | Erişilen ağ paylaşımının adı. Biçim: \*\SHARE_NAME. |
| SidGeçmişi | String | Nesne başka bir etki alanından taşınmışsa nesne için kullanılan önceki SID'leri içerir. |
| SourceComputerId | String | Bir Windows etki alanındaki her bilgisayara atanan benzersiz tanımlayıcı. |
| SourceSystem | String | Olayın toplandığı ajan türü. Örneğin, Windows etmenleri için OpsManager, doğrudan bağlantı veya Operations Manager, tüm Linux etmenleri için Linux, veya Azure Tanılama için Azure |
| Durum | String | Oturum açmanın başarısız olmasının nedeni. Bu olay için genellikle '0xC0000234' değerine sahiptir. En yaygın durum kodları Tablo 12'de listelenir. Windows oturum açma durum kodları. |
| Depolama Hesabı | String | Depolama hesabı erişim anahtarını ayarlar. |
| AltKategoriGuid | String | Değiştirilen alt kategorinin benzersiz GUID'si. |
| AltKategoriKimliği | String | Olayın belirli bir türü için benzersiz tanımlayıcı. |
| Konu | String | Olayı başlatan güvenlik sorumlusu (örneğin: kullanıcı hesabı) hakkında bilgiler. |
| KonuHesabı | String | Olayı başlatan hesap hakkındaki bilgiler. |
| KonuAlanAdı | String | Konu hesabının ait olduğu etki alanı veya çalışma grubu hakkındaki bilgiler. |
| Konu Anahtar Tanımlayıcısı | String | Belirli bir sertifika konusu için benzersiz tanımlayıcı. |
| Subject Giriş Kimliği | String | Konu hesabıyla ilişkili oturum açma oturumunun benzersiz tanımlayıcısı. |
| KonuMakineAdı | String | Olayın oluşturulduğu makine veya sistem hakkındaki bilgiler. |
| SubjectMachineSID | String | Olayı oluşturan makinenin güvenlik tanımlayıcısı (SID). |
| KonuKullanıcıAdı | String | Olayı oluşturan kullanıcı hesabının adı. |
| KonuKullaniciSid | String | Olayı oluşturan kullanıcı hesabının güvenlik tanımlayıcısı (SID). |
| _AbonelikNumarası | String | Abonelik ile ilişkili olan kayda ait benzersiz bir tanımlayıcı |
| Alt Statü | String | Oturum açma hatası hakkında ek bilgiler. 'Tablo 12'de listelenen en yaygın alt durum kodları. Windows oturum açma durum kodları'. |
| SistemSüreçKimliği | Int | Olayı oluşturan işlemi tanımlar. |
| SystemThreadId | Int | Olayı oluşturan iş parçacığını tanımlar. |
| SystemUserId | String | Olaydan sorumlu kullanıcının kimliği. |
| TabloKimliği | String | Olay verilerinin depolandığı belirli veri tablosu tanımlayıcısı. |
| TargetAccount | String | Olay tarafından hedeflenen hesap (kullanıcı adı, bilgisayar adı vb.). |
| Hedef Alan Adı | String | Hedef hesabın ait olduğu etki alanının adı. |
| HedefBilgisi | String | Olay hedefi hakkında ek bilgiler (örneğin: bir dosya veya klasörün yolu, kayıt defteri anahtarının adı vb.). |
| HedefBağlantılıOturumKimliği | String | İlgili olayları, oturum açma deneme kimlikleriyle birbirine bağlamaya yardımcı olan bilgiler. Tüm ilgili etkinlikleri düzenli tutma, birden çok oturumdaki etkinliği izleme ve saldırı kaynağını belirleme konusunda yararlı olabilir. |
| TargetLogonGuid (HedefOturumAçmaKılavuzu) | String | Olayla ilgili oturum açma oturumuyla ilişkilendirilmiş genel benzersiz tanımlayıcı (GUID). |
| HedefGirişKimliği | String | Olayla ilgili oturum açma oturumuyla ilişkilendirilmiş benzersiz tanımlayıcı. |
| Hedef Giden Alan Adı | String | Giden kimlik doğrulama girişimi sırasında TargetAccount alanında belirtilen hesabın kimliği doğrulanmış olduğu etki alanı. |
| HedefGidenKullanıcıAdı | String | Giden kimlik doğrulaması girişimi sırasında kimliği doğrulanan kullanıcı hesabının adı. |
| HedefSunucuAdı | String | Yeni işlemin çalıştırıldığı sunucunun adı. İşlem yerel olarak çalıştırıldıysa "localhost" değerine sahiptir. |
| TargetSid | String | Yeni işlemin çalıştırıldığı sunucunun güvenlik tanımlayıcısı (SID). |
| HedefKullanıcı | String | Yeni işlemi oluşturan kullanıcı hesabı tanımlayıcısı. |
| HedefKullanıcıAdı | String | Yeni işlemi oluşturan kullanıcı hesabının adı. |
| HedefKullanıcıSid | String | Olaya dahil olan kullanıcı veya kaynakla ilişkili güvenlik tanımlayıcısı (SID). |
| Görev | Int | Olayda tanımlanan görev. |
| Şablonİçeriği | String | Olay iletisinin veya bildirimin yapılandırılmış biçimdeki içeriği. |
| TemplateDSObjectFQDN | String | GPO şablonunu temsil eden DS nesnesinin FQDN'sini. |
| ŞablonDahiliAdı | String | GPO şablonunun iç adı. |
| TemplateOID | String | olayı oluşturmak için kullanılan şablonun benzersiz tanımlayıcısı. |
| Şablon Şeması Sürümü | String | Bir olaya eklenecek verileri tanımlayan şablon şemasının sürümü. |
| ŞablonSürüm | String | Bir olaya eklenecek verileri tanımlayan şablonun sürümü. |
| KiracıId | String | Log Analytics çalışma alanı kimliği |
| TimeGenerated | tarih saat | Olayın bilgisayarda oluşturulduğu zaman damgası. |
| Token Yükseltme Türü | String | Kullanıcı Hesabı Denetim İlkesi'ne uygun olarak yeni bir işleme atanan token türü. |
| İletilen Hizmetler | String | İletilen hizmetlerin listesi. İletilen hizmetler, oturum açma bir S4U (Kullanıcı için Hizmet) oturum açma işleminin sonucuysa doldurulur. S4U, bir uygulama hizmetinin bir kullanıcı adına Kerberos hizmet bileti almasına izin vermek için Kerberos Protokolü'ne yönelik bir Microsoft uzantısıdır. En yaygın olarak bir ön uç web sitesi tarafından kullanıcı adına bir iç kaynağa erişim sağlanır. S4U hakkında daha fazla bilgi için bkz https://msdn.microsoft.com/library/cc246072.aspx. . |
| Türü | String | Tablonun adı |
| KullanıcıHesabıDenetimi | String | userAccountControl özniteliğindeki değişikliklerin listesini gösterir. Her değişiklik için bir metin satırı görürsünüz. |
| Kullanıcı Parametreleri | String | Kullanıcının hesap özelliklerinin Arayarak bağlan sekmesinde Active Directory Kullanıcıları ve Bilgisayarları yönetim konsolunu kullanarak herhangi bir ayarı değiştirirseniz, değerin değiştiğini ancak bu alanda görüntülenmediğini< görürsünüz>. Yerel hesaplar için bu alan geçerli değildir ve her zaman <değer belirlenmedi>. |
| KullanıcıAnaAdı | String | Hesap için İnternet standart RFC 822'yi temel alan internet stili oturum açma adı. Kural gereği bu, hesabın e-posta adıyla eşlenmelidir. |
| Kullanıcı Çalışma İstasyonları | String | Kullanıcının oturum açabileceği bilgisayarların NetBIOS veya DNS adlarının listesini içerir. Her bilgisayar adı virgülle ayrılır. Bilgisayarın adı, bir bilgisayar nesnesinin sAMAccountName özelliğidir. |
| Satıcı Kimlikleri | String | Cihazın 'Donanım Kimlikleri' özniteliği. Cihaz özelliklerini görmek için Aygıt Yöneticisi başlatın, belirli cihaz özelliklerini açın ve 'Ayrıntılar'a tıklayın. |
| Sürüm | Int | Olay tanımının sürüm numarasını içerir. |
| VirtualAccount | String | Hesabın yalnızca 'NetworkService' kullanmak yerine belirli bir Hizmetin kullandığı hesabı tanımlama olanağı sağlamak için Windows 7 ve Windows Server 2008 R2'de tanıtılan bir sanal hesap (örneğin, 'Yönetilen Hizmet Hesabı') olup olmadığını gösteren 'Evet' veya 'Hayır' bayrağı. |
| İş istasyonu | String | Olayı gerçekleştirmek için kullanılan makinenin adı. |
| İş İstasyonu Adı | String | Oturum açma girişiminin gerçekleştirildiği makine adı. |