SecurityEvent
Azure 資訊安全中心 或 Azure Sentinel 從 Windows 計算機收集的安全性事件。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 類別 | 安全性 |
| 方案 | Security、SecurityInsights |
| 基本記錄檔 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | Description |
|---|---|---|
| AccessMask | 字串 | 所要求或已執行作業的十六進位遮罩。 |
| 帳戶 | 字串 | 服務或使用者的安全性內容。 |
| AccountDomain | 字串 | 主體的網域或計算機名稱。 |
| AccountExpires | 字串 | 帳戶到期的日期。 |
| AccountName | 字串 | 要求「移除網域信任」作業的帳戶名稱。 |
| AccountSessionIdentifier | 字串 | 建立工作階段時電腦所產生的唯一標識碼。 |
| AccountType | 字串 | 識別帳戶是電腦帳戶 (計算機) 或使用者的帳戶。 |
| 活動 | 字串 | 發生事件的描述性標題。 |
| AdditionalInfo | 字串 | 來源所提供的其他資訊,該資訊不會對應至清單所代表的其他欄位。 |
| AdditionalInfo2 | 字串 | 來源所提供的其他資訊,該資訊不會對應至清單所代表的其他欄位。 |
| AllowedToDelegateTo | 字串 | 此帳戶可以呈現委派認證的SPN清單。 |
| 屬性 | 字串 | 事件的其他資訊。 |
| AuditPolicyChanges | 字串 | 對檔案或登錄機碼上的系統審核策略或稽核設定進行變更時所產生的事件。 |
| AuditsDiscarded | int | 已捨棄的稽核訊息數目。 |
| AuthenticationLevel | int | 已捨棄的稽核訊息數目。 |
| AuthenticationPackageName | 字串 | 已載入的驗證套件名稱。 格式為:DLL_PATH_AND_NAME:AUTHENTICATION_PACKAGE_NAME。 |
| AuthenticationProvider | 字串 | 負責驗證程式的提供者身分識別 (可以包含證書頒發機構單位、使用者名稱、密碼驗證系統等) 。 |
| AuthenticationServer | 字串 | 位於驗證提供者的伺服器。 |
| AuthenticationService | int | 位於驗證提供者的服務。 |
| AuthenticationType | 字串 | 用於事件 (雙因素驗證、生物特徵辨識驗證等) 的驗證類型。 |
| AzureDeploymentID | 字串 | 記錄所屬之雲端服務的 Azure 部署識別碼。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CACertificateHash | 字串 | 證書頒發機構單位 (CA 的哈希值) 憑證,用來驗證執行事件的使用者。 |
| CalledStationID | 字串 | 起始導致安全性事件之動作之月臺標識碼的相關信息。 |
| CallerProcessId | 字串 | 嘗試登入之進程的十六進位進程標識碼。 進程標識碼 (PID) 是作業系統用來唯一識別作用中進程的數位。 |
| CallerProcessName | 字串 | 進程的完整路徑和可執行檔名稱。 |
| CallingStationID | 字串 | 起始導致安全性事件之動作之月臺標識碼的相關信息。 |
| CAPublicKeyHash | 字串 | 哈希值,識別發行憑證的證書頒發機構單位 (CA) 公鑰。 |
| CategoryId | 字串 | (登入嘗試、數據外泄等) 發生的安全性事件類別。 |
| CertificateDatabaseHash | 字串 | 識別發行憑證之資料庫的哈希值。 |
| 管道 | 字串 | 記錄事件的通道。 |
| ClassId | 字串 | 裝置的 『Class Guid』 屬性。 |
| ClassName | 字串 | 裝置的 『Class』 屬性。 |
| ClientAddress | 字串 | 收到 TGT 要求的電腦 IP 位址。 |
| ClientIPAddress | 字串 | 起始導致事件之動作的電腦IP位址。 |
| ClientName | 字串 | 使用者重新連線的計算機名稱。 主控台工作階段的 「未知」值。 |
| CommandLine | 字串 | 傳遞給事件相關應用程式或進程的命令行自變數。 |
| CompatibleIds | 字串 | 裝置的 'Compatible Ids' 屬性。 若要查看裝置屬性,請啟動 裝置管理員,開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| 電腦 | 字串 | 發生事件之電腦的名稱。 |
| DCDNSName | 字串 | 事件中涉及之域控制器的 DNS 名稱。 |
| DeviceDescription | 字串 | 事件中涉及之裝置的描述。 |
| DeviceId | 字串 | 事件中涉及之裝置的唯一標識符。 |
| DisplayName | 字串 | 這是一個名稱,顯示在特定帳戶的通訊簿中。 這通常是使用者的名字、中間名字和姓氏的組合。 |
| Disposition | 字串 | 事件結果/解決方式,例如事件是否已解決,或是否採取任何動作來回應事件。 |
| DomainBehaviorVersion | 字串 | msDS-Behavior-Version 網域屬性已修改。 數值。 |
| DomainName | 字串 | 已移除受信任網域的名稱。 |
| DomainPolicyChanged | 字串 | 指出是否已變更任何網域原則,作為事件 (密碼原則、安全策略等) 的一部分。 |
| DomainSid | 字串 | 信任夥伴的 SID。 此參數可能不會在 事件中擷取,在此情況下會顯示為 'NULL SID'。 |
| EAPType | 字串 | 用於事件驗證程式的可延伸驗證通訊協定類型 (EAP) 。 |
| ElevatedToken | 字串 | 'Yes' 或 'No' 旗標。 如果為 「是」,則此事件所代表的會話已提高,且具有系統管理員許可權。 |
| ErrorCode | int | 包含失敗事件的錯誤碼。 針對 Success 事件,此參數具有 『0x0』 值。 |
| EventData | 字串 | 與事件相關聯的事件特定數據。 |
| EventID | int | 提供者用來識別事件的標識碼。 |
| EventSourceName | 字串 | 記錄事件 (應用程式或) 的軟體名稱。 |
| ExtendedQuarantineState | 字串 | 如果適用,網路隔離程序的狀態。 網路隔離是防止未經授權的裝置存取網路的程式,直到它們符合特定安全性需求或已檢查是否有惡意代碼為止。 |
| FailureReason | string | 狀態域值的文字說明。 針對此事件,它通常會有「帳戶已鎖定」值。 |
| FileHash | 字串 | 在事件中存取或修改之任何檔案的哈希值,或驗證或授權程式中使用的任何檔案。 |
| FilePath | 字串 | 執行作業之金鑰檔案的完整路徑和檔名。 |
| FilePathNoUser | 字串 | 與事件相關的任何檔案路徑,不包括用戶名稱或其他使用者特定資訊。 |
| 篩選 | 字串 | 執行事件中使用的篩選。 |
| ForceLogoff | 字串 | '\Security Settings\Local Policies\Security Options\Network Security: Force logoff when logon hours expire' group policy. |
| Fqbn | 字串 | 與事件相關之任何檔案的完整二進位名稱 (FQBN) 。 |
| FullyQualifiedSubjectMachineName | 字串 | 起始事件之電腦的完整功能變數名稱 (FQDN) 。 |
| FullyQualifiedSubjectUserName | 字串 | 以 FQDN 格式起始事件的用戶或服務用戶名稱。 |
| GroupMembership | 字串 | 記錄帳戶所屬的群組 SID 清單 (成員) 。 事件檢視器 會自動嘗試解析 SID 並顯示帳戶名稱。 如果無法解析 SID,您將會在事件中看到源數據。 |
| HandleId | 字串 | 物件名稱句柄的十六進位值。 此欄位可用來與其他事件相互關聯。 |
| HardwareIds | 字串 | 裝置的 「硬體識別碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員,開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| HomeDirectory | 字串 | 使用者的主目錄。 如果 homeDrive 屬性已設定並指定驅動器號,homeDirectory 應該是 UNC 路徑。 路徑必須是格式為 \Server\Share\Directory 的網路 UNC。 |
| HomePath | 字串 | 使用者的首頁路徑。 路徑必須是格式為 \Server\Share\Directory 的網路 UNC。 |
| InterfaceUuid | 字串 | 用於事件之網路介面的唯一標識碼 (UUID) 。 |
| IpAddress | 字串 | 網路位址 (通常與事件相關聯的 IPv4 或 IPv6) 。 |
| IpPort | 字串 | 與事件相關聯的網路埠號碼。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| KeyLength | int | NTLM 會話安全性密鑰的長度。 一般而言,其長度為128位或56位。 |
| 層級 | 字串 | Windows 會將每個事件分類為嚴重性層級。 嚴重性順序的層級為以數位表示的信息、詳細資訊、警告、錯誤和嚴重性。 |
| LmPackageName | 字串 | 目前正在產生事件之電腦上的本機安全性授權單位 (LSA) 的套件或軟體元件名稱。 |
| LocationInformation | 字串 | 裝置的 [位置資訊] 屬性。 若要查看裝置屬性,請啟動 裝置管理員,開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| LockoutDuration | 字串 | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration' 組策略。 數值。 |
| LockoutObservationWindow | 字串 | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' 組策略。 數值。 |
| LockoutThreshold | 字串 | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold' 組策略。 數值。 |
| LoggingResult | 字串 | 登入程序的結果。 |
| LogonGuid | 字串 | GUID 可協助您將此事件與另一個可包含相同登入 GUID 的事件相互關聯。 |
| LogonHours | 字串 | 允許帳戶登入網域的時數。 |
| LogonID | 字串 | 十六進位值,可協助您將此事件與可能包含相同登入標識碼的最新事件相互關聯。 |
| LogonProcessName | 字串 | 已註冊登入程式的名稱。 |
| LogonType | int | 已執行的登入類型。 |
| LogonTypeName | 字串 | 事件記錄檔所擷取的登入或驗證事件類型 (常見值:Interactive、Network、RemoteInteractive、Unlock) 。 |
| MachineAccountQuota | 字串 | ms-DS-MachineAccountQuota 網域屬性已修改。 數值。 |
| MachineInventory | 字串 | 產生事件之計算機的硬體組態和軟體環境相關信息。 它可以包含不同的數據點,例如:計算機的製造和模型、可用的 RAM 或儲存空間數量、各種軟體應用程式的版本號碼等) 。 |
| MachineLogon | 字串 | 計算機中成功登入事件的相關信息。 |
| ManagementGroupName | 字串 | 根據資源類型的其他資訊。 |
| MandatoryLabel | 字串 | 指派給新進程的完整性標籤標識碼。 |
| MaxPasswordAge | 字串 | ) 系統要求使用者變更密碼之前, (天數 (。 |
| MemberName | 字串 | 事件中涉及的用戶帳戶。 |
| MemberSid | 字串 | 安全性標識子 (SID) 與事件所涉及的使用者帳戶相關聯。 |
| MinPasswordAge | 字串 | ) 系統要求使用者變更密碼之前, (天數 (一段時間。 |
| MinPasswordLength | 字串 | 可組成用戶帳戶密碼的最少字元數。 |
| MixedDomainMode | 字串 | 系統或域控制器的網域模式。 |
| NASIdentifier | 字串 | 與事件相關的網路存取伺服器標識碼 (NAS) 。 |
| NASIPv4Address | 字串 | 如果適用的話,網路存取伺服器的 IPv4Address (NAS) 。 |
| NASIPv6Address | 字串 | 如果適用的話,網路存取伺服器的 IPv6Address (NAS) 。 |
| NASPort | 字串 | 事件中使用的網路存取伺服器上的埠。 |
| NASPortType | 字串 | 事件中使用的網路存取伺服器類型 (NAS) 。 |
| NetworkPolicyName | 字串 | 與事件相關聯的網路原則名稱。 |
| NewDate | 字串 | UTC 時區的新日期。 格式為YYYY-MM-DD。 |
| NewMaxUsers | 字串 | 事件中資源允許的新用戶數目上限。 |
| NewProcessId | 字串 | 新進程的十六進位進程標識碼。 進程標識碼 (PID) 是作業系統用來唯一識別作用中進程的數位。 |
| NewProcessName | 字串 | 新進程的完整路徑和可執行檔名稱。 |
| NewRemark | 字串 | 網络共用 [批注:] 欄位的新值。 如果未設定 ,則具有 『N/A』 值。 |
| NewShareFlags | 字串 | 例如,事件中與資源相關聯的共用旗標:資源是只讀還是可擦寫的資訊、是否隱藏,以及可能會影響存取權和許可權的其他參數。 |
| NewTime | 字串 | 以UTC時區設定的新時間。 格式為YYYY-MM-DDThh:mm:ss.nnnnnnnNZ |
| NewUacValue | 字串 | 指定旗標,控制用戶帳戶的密碼、鎖定、停用/啟用、腳本和其他行為。 |
| NewValue | 字串 | 已變更登錄機碼值的新值。 |
| NewValueType | 字串 | 新類型的已變更登錄機碼值。 |
| ObjectName | 字串 | 要求存取之物件的名稱和其他識別資訊。 例如,針對檔案,會包含路徑。 |
| ObjectServer | 字串 | 包含呼叫例程的 Windows 子系統名稱。 |
| ObjectType | 字串 | 作業期間存取的物件型別。 |
| ObjectValueName | 字串 | 已修改登錄機碼值的名稱。 |
| OemInformation | 字串 | 原始設備製造商 (OEM) 與事件中的裝置或系統相關聯。 |
| OldMaxUsers | 字串 | 事件中允許資源的用戶數目上限。 |
| OldRemark | 字串 | 網路共用 'Comments:' 字段的舊值。 如果未設定 ,則具有 『N/A』 值。 |
| OldShareFlags | 字串 | 前一個與事件中資源相關聯的共用旗標,例如:資源是只讀還是可擦寫、是否隱藏,以及可能影響存取和許可權的其他參數的相關信息。 |
| OldUacValue | 字串 | 指定旗標,控制用戶帳戶的密碼、鎖定、停用/啟用、腳本和其他行為。 此參數包含用戶物件的userAccountControl屬性先前的值。 |
| OldValue | 字串 | 已變更登錄機碼值的舊值。 |
| OldValueType | 字串 | 舊類型的已變更登錄機碼值。 |
| OperationType | 字串 | 對象上執行的作業類型 |
| PackageName | 字串 | LAN Manager 子套件的名稱 (NTLM 系列通訊協定名稱,) 登入期間使用的名稱。 |
| ParentProcessName | 字串 | 與事件相關聯的父進程名稱。 |
| PasswordHistoryLength | 字串 | \Security Settings\Account Policies\Password Policy\Enforce password history“ 組策略。 數值。 |
| PasswordLastSet | 字串 | 上次修改帳戶的密碼。 |
| PasswordProperties | 字串 | 與事件相關聯的密碼原則或屬性,例如:密碼長度、複雜度和到期日。 |
| PreviousDate | 字串 | 與事件相關聯的上一個日期。 |
| PreviousTime | 字串 | 上一次 UTC 時區的時間。 格式為YYYY-MM-DDThh:mm:ss.nnnnnnnNZ。 |
| PrimaryGroupId | 字串 | 用戶物件主要群組的相對標識碼 (RID) 。 |
| PrivateKeyUsageCount | 字串 | 已使用私鑰的次數。 |
| PrivilegeList | 字串 | 許可權,包括與事件相關聯的使用者、群組或系統許可權。 |
| 流程 | 字串 | 產生事件的進程名稱。 |
| ProcessId | 字串 | 識別已產生事件的處理序。 |
| ProcessName | 字串 | 進程的完整路徑和可執行檔名稱。 |
| ProfilePath | 字串 | 指定帳戶配置檔的路徑。 這個值可以是 Null 字串、本機絕對路徑或 UNC 路徑。 |
| 屬性 | 字串 | 取決於物件類型。 此欄位可以是空的,或包含已存取的物件屬性清單。 |
| ProtocolSequence | 字串 | 用於驗證嘗試的通訊協議相關信息。 |
| ProxyPolicyName | 字串 | 用來設定 Proxy 伺服器以連線到網路的原則名稱。 |
| QuarantineHelpURL | 字串 | 提供網路隔離問題疑難解答協助的URL。 |
| QuarantineSessionID | 字串 | 評估檔案隔離之會話的標識碼。 |
| QuarantineSessionIdentifier | 字串 | 評估檔案隔離之會話的標識碼。 |
| QuarantineState | 字串 | 它會顯示檔案是否已隔離。 |
| QuarantineSystemHealthResult | 字串 | 顯示已隔離之檔案狀態的報告。 |
| RelativeTargetName | 字串 | 存取的目標檔案或資料夾的相對名稱。 這個檔案路徑相對於網路共用。 如果要求共用本身的存取權,則此字段會顯示為 “\”。 |
| RemoteIpAddress | 字串 | 起始遠端連線之電腦的IP位址。 |
| 遠端連接埠 | 字串 | 起始連線之遠端電腦的埠號碼。 |
| 要求者 | 字串 | 事件要求者標識碼。 |
| RequestId | 字串 | 與特定要求相關聯的唯一標識碼,例如透過 HTTP 進行的要求。 |
| _ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
| RestrictedAdminMode | 字串 | 僅針對 RemoteInteractive 登入類型會話填入。 這是 [是/否] 旗標,指出提供的認證是否使用 Restricted 管理員 模式傳遞。 在 Win8.1/2012R2 中新增了受限制的 管理員 模式,但此旗標已新增至 Win10 中的事件。 |
| RowsDeleted | 字串 | 刪除為特定作業一部分的數據列數目。 |
| SamAccountName | 字串 | 用來支援舊版 Windows (windows 2000 前登入名稱) 用戶端和伺服器的帳戶登入名稱。 |
| ScriptPath | 字串 | 指定帳戶登入文稿的路徑。 |
| SecurityDescriptor | 字串 | 特定物件或資源的安全性設定和許可權的相關信息。 |
| ServiceAccount | 字串 | 服務在啟動時將執行的安全性內容。 |
| ServiceFileName | 字串 | 指出向服務控制管理員註冊的服務類型。 |
| ServiceName | 字串 | 已安裝的服務名稱。 |
| ServiceStartType | int | 包含如何啟動特定服務的相關信息,無論是應該自動或手動啟動。 |
| ServiceType | 字串 | 指出向服務控制管理員註冊的服務類型。 |
| SessionName | 字串 | 使用者重新連線的會話名稱。 |
| ShareLocalPath | 字串 | 存取網路共用的本機路徑。 |
| ShareName | 字串 | 存取的網路共享名稱。 格式為:\*\SHARE_NAME。 |
| SidHistory | 字串 | 如果物件從另一個定義域移動,則包含先前用於物件的SID。 |
| SourceComputerId | 字串 | 指派給 Windows 網域中每部電腦的唯一標識碼。 |
| SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| 狀態 | 字串 | 登入失敗的原因。 在此事件中,它通常會有 『0xC0000234』 值。 最常見的狀態代碼列在表 12 中。 Windows 登入狀態代碼。 |
| StorageAccount | 字串 | 設定記憶體帳戶存取金鑰。 |
| SubcategoryGuid | 字串 | 已變更子類別目錄的唯一 GUID。 |
| SubcategoryId | 字串 | 事件特定類型的唯一標識符。 |
| 主旨 | 字串 | 例如,安全性主體 (的相關信息:起始事件的用戶帳戶) 。 |
| SubjectAccount | 字串 | 起始事件之帳戶的相關信息。 |
| SubjectDomainName | 字串 | 主旨帳戶所屬網域或工作組的相關信息。 |
| SubjectKeyIdentifier | 字串 | 特定憑證主體的唯一標識符。 |
| SubjectLogonId | 字串 | 與主體帳戶相關聯的登入會話的唯一標識符。 |
| SubjectMachineName | 字串 | 建立事件的電腦或系統相關信息。 |
| SubjectMachineSID | 字串 | 產生事件之計算機的安全性標識碼 (SID) 。 |
| SubjectUserName | 字串 | 產生事件的用戶帳戶名稱。 |
| SubjectUserSid | 字串 | 產生事件之用戶帳戶的安全性標識碼 (SID) 。 |
| _SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
| SubStatus | 字串 | 登入失敗的其他資訊。 'Table 12] 中列出的最常見子狀態代碼。 Windows 登入狀態代碼』。 |
| TableId | 字串 | 事件數據儲存所在的特定數據表標識碼。 |
| TargetAccount | 字串 | 事件的目標帳戶 (用戶名稱、計算機名稱等) 。 |
| TargetDomainName | 字串 | 目標帳戶所屬的功能變數名稱。 |
| TargetInfo | 字串 | 例如,事件目標 (的其他資訊:檔案或資料夾的路徑、登錄機碼的名稱等) 。 |
| TargetLinkedLogonId | 字串 | 有助於透過登入嘗試標識符將相關事件連結在一起的資訊。 它有助於讓所有相關事件保持組織、追蹤跨多個會話的活動,以及識別攻擊來源。 |
| TargetLogonGuid | 字串 | 與事件相關的登入會話相關聯的全域唯一標識子 (GUID) 。 |
| TargetLogonId | 字串 | 與事件相關的登入會話相關聯的唯一標識符。 |
| TargetOutboundDomainName | 字串 | 在輸出驗證嘗試期間,在 TargetAccount 字段中指定的帳戶經過驗證的網域。 |
| TargetOutboundUserName | 字串 | 在輸出驗證嘗試期間驗證的用戶帳戶名稱。 |
| TargetServerName | 字串 | 執行新進程之伺服器的名稱。 如果進程是在本機執行,則具有 「localhost」 值。 |
| TargetSid | 字串 | 執行新進程之伺服器的安全性標識碼 (SID) 。 |
| TargetUser | 字串 | 產生新進程的用戶帳戶標識碼。 |
| TargetUserName | 字串 | 產生新進程的用戶帳戶名稱。 |
| TargetUserSid | 字串 | 與事件涉及的使用者或資源相關聯的安全標識碼 (SID) 。 |
| 工作 | int | 事件中定義的工作。 |
| TemplateContent | 字串 | 結構化格式的事件訊息或通知內容。 |
| TemplateDSObjectFQDN | 字串 | 代表 GPO 範本之 DS 物件的 FQDN。 |
| TemplateInternalName | 字串 | GPO 樣本的內部名稱。 |
| TemplateOID | 字串 | 用來建立事件的範本的唯一標識符。 |
| TemplateSchemaVersion | 字串 | 範本架構的版本,定義要包含在事件中的數據。 |
| TemplateVersion | 字串 | 範本的版本,定義要包含在事件中的數據。 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| TimeGenerated | Datetime | 在電腦上產生事件的時間戳。 |
| TokenElevationType | 字串 | 根據用戶帳戶控制原則指派給新進程的令牌類型。 |
| TransmittedServices | 字串 | 傳輸的服務清單。 如果登入是由 S4U (服務用於使用者) 登入程序的結果,則會填入傳輸的服務。 S4U 是 Kerberos 通訊協定的 Microsoft 延伸模組,可讓應用程式服務代表使用者取得 Kerberos 服務票證–最常由前端網站代表使用者存取內部資源。 如需 S4U 的詳細資訊,請參閱 https://msdn.microsoft.com/library/cc246072.aspx。 |
| 類型 | 字串 | 資料表的名稱 |
| UserAccountControl | 字串 | 顯示userAccountControl屬性中的變更清單。 您會看到每個變更的文字行。 |
| UserParameters | 字串 | 如果您在使用者帳戶屬性的 [撥入] 索引標籤中使用 Active Directory 使用者和電腦 管理主控台變更任何設定,則您會看到<值已變更,但不會在此欄位中顯示>。 對於本機帳戶,此字段不適用,且一律具有 <未設定> 值的值。 |
| UserPrincipalName | 字串 | 以因特網標準 RFC 822 為基礎的帳戶因特網樣式登入名稱。 依照慣例,這應該對應至帳戶的電子郵件名稱。 |
| UserWorkstations | 字串 | 包含使用者可以登入的電腦 NetBIOS 或 DNS 名稱清單。 每部計算機名稱都會以逗號分隔。 計算機的名稱是計算機物件的 sAMAccountName 屬性。 |
| VendorIds | 字串 | 裝置的 「硬體識別碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員,開啟特定的裝置屬性,然後按兩下 [詳細數據]。 |
| VirtualAccount | 字串 | 「是」或「否」旗標,指出帳戶是否為虛擬帳戶 (例如「受管理的服務帳戶」) ,這是在 Windows 7 和 Windows Server 2008 R2 中引進,以提供識別指定服務所使用的帳戶,而不只是使用 'NetworkService'。 |
| 工作站 | 字串 | 用來執行事件的計算機名稱。 |
| WorkstationName | 字串 | 執行登入嘗試的計算機名稱。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應