Azure 資訊安全中心 或 Azure Sentinel 從 Windows 計算機收集的安全性事件。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines、 microsoft.scvmm/virtualmachines、 microsoft.compute/virtualmachinescalesets |
| 類別 | 安全性 |
| 方案 | Security、SecurityInsights |
| 基本記錄 | 是的 |
| 擷取時間轉換 | 是的 |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| 訪問屏蔽 (AccessMask) | 字串 | 所要求或已執行作業的十六進位遮罩。 |
| 帳戶 | 字串 | 服務或使用者的安全性背景。 |
| 帳號領域 | 字串 | 主體的網域或計算機名稱。 |
| 帳戶到期 | 字串 | 帳戶到期的日期。 |
| 帳戶名稱 | 字串 | 要求「移除網域信任」作業的帳戶名稱。 |
| 帳戶會話識別碼 | 字串 | 建立工作階段時電腦所產生的唯一識別碼。 |
| 帳戶類型 | 字串 | 識別帳戶是電腦帳戶 (電腦) 或使用者的 。 |
| 活動 | 字串 | 事件發生的描述性標題。 |
| 附加資訊 | 字串 | 來源所提供的其他資訊,不會對應至清單所代表的其他欄位。 |
| 附加資訊2 | 字串 | 來源所提供的其他資訊,不會對應至清單所代表的其他欄位。 |
| 授權委託給 | 字串 | 此帳戶可以呈現委派認證的 SPN 清單。 |
| 屬性 | 字串 | 有關事件的其他資訊。 |
| 稽核政策變更 | 字串 | 對檔案或登錄機碼上的系統審核策略或稽核設定進行變更時所產生的事件。 |
| 稽核已丟棄 | 整數 (int) | 捨棄的稽核訊息數目。 |
| 驗證層級 | 整數 (int) | 捨棄的稽核訊息數目。 |
| 驗證套件名稱 | 字串 | 載入的驗證套件名稱。 格式為:DLL_PATH_AND_NAME:AUTHENTICATION_PACKAGE_NAME。 |
| 身份驗證提供者 | 字串 | 負責驗證程式的提供者身分識別(可以包含證書頒發機構單位、使用者名稱、密碼驗證系統等)。 |
| 認證伺服器 (AuthenticationServer) | 字串 | 驗證提供者所在的伺服器。 |
| AuthenticationService | 整數 (int) | 尋找驗證提供者的服務。 |
| 驗證類型 | 字串 | 用於事件的驗證類型(雙因素驗證、生物特徵辨識驗證等)。 |
| AzureDeploymentID | 字串 | 記錄所屬之雲端服務的 Azure 部署識別碼。 |
| _BilledSize (帳單大小) | 真實 | 以位元組為單位的記錄大小 |
| CACertificateHash | 字串 | 用來驗證執行事件之使用者的證書頒發機構單位 (CA) 憑證哈希值。 |
| CalledStationID(被叫站識別碼) | 字串 | 起始導致安全性事件之動作的站台識別碼相關資訊。 |
| CallerProcessId | 字串 | 嘗試登入之進程的十六進位進程標識碼。 進程識別碼 (PID) 是操作系統用來唯一識別使用中進程的數位。 |
| 呼叫者進程名稱 | 字串 | 進程的完整路徑和可執行檔名稱。 |
| CallingStationID | 字串 | 起始導致安全性事件之動作的站台識別碼相關資訊。 |
| CAPublicKeyHash | 字串 | 哈希值,識別核發憑證之證書頒發機構單位 (CA) 的公鑰。 |
| 類別編號 | 字串 | 發生的安全性事件類別(登入嘗試、數據外泄等)。 |
| 憑證資料庫哈希 | 字串 | 識別簽發憑證之資料庫的哈希值。 |
| 通路 | 字串 | 記錄事件的通道。 |
| ClassId(類別識別碼) | 字串 | 裝置的 'Class Guid' 屬性。 |
| 課程名稱 | 字串 | 裝置的 『Class』 屬性。 |
| 客戶地址 | 字串 | 收到 TGT 要求的電腦 IP 位址。 |
| ClientIPAddress | 字串 | 起始導致事件之動作的電腦IP位址。 |
| 客戶名稱 | 字串 | 使用者重新連線到的電腦名稱。 主控台工作階段的 'Unknown' 值。 |
| 命令列 | 字串 | 傳遞至事件所涉及的應用程式或進程的命令行自變數。 |
| 相容ID | 字串 | 裝置的 'Compatible Ids' 屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| 電腦 | 字串 | 發生事件之電腦的名稱。 |
| 相互關聯 | 字串 | 取用者可用來將相關事件分組在一起的活動識別碼。 |
| DCDNSName | 字串 | 與事件相關的域控制器 DNS 名稱。 |
| 裝置描述 | 字串 | 事件中涉及之裝置的描述。 |
| DeviceId | 字串 | 事件中涉及之裝置的唯一標識符。 |
| 顯示名稱 | 字串 | 這是一個名稱,顯示在特定帳戶的通訊簿中。 這通常是使用者名字、中間縮寫和姓氏的組合。 |
| 配置 | 字串 | 事件結果/解決方式,例如事件是否已解決,或是否已採取任何動作來回應事件。 |
| DomainBehaviorVersion | 字串 | msDS-Behavior-Version 網域屬性已修改。 數值。 |
| 網域名稱 | 字串 | 已移除受信任的網域名稱。 |
| 網域政策已變更 | 字串 | 指出事件中是否有任何網域原則已變更(密碼原則、安全策略等)。 |
| DomainSid | 字串 | 信任合作夥伴的 SID。 這個參數可能不會在 事件中擷取,在此情況下會顯示為 『NULL SID』。 |
| EAPType | 字串 | 用於事件驗證程式的可延伸驗證通訊協定 (EAP) 類型。 |
| ElevatedToken | 字串 | 「是」或「否」旗標。 如果為 'Yes',則此事件所代表的工作階段會提升權限,且具有系統管理員權限。 |
| 錯誤代碼 | 整數 (int) | 包含失敗事件的錯誤碼。 對於 Success 事件,此參數具有 『0x0』 值。 |
| 活動數據 | 字串 | 與事件相關聯的事件特定數據。 |
| EventID | 整數 (int) | 提供者用來識別事件的標識碼。 |
| 事件層級名稱 | 字串 | 事件中所指定層級的轉譯訊息字串。 |
| EventRecordId | 字串 | 記錄時指派給事件的記錄號碼。 |
| 事件來源名稱 | 字串 | 記錄事件的軟體名稱(應用程式或子元件)。 |
| 延長隔離狀態 | 字串 | 如果適用,網路隔離程序的狀態。 網路隔離是一個過程,用於防止未經授權的設備存取網路,直到它們符合特定的安全需求或已檢查是否存在惡意軟體為止。 |
| 失敗原因 | 字串 | 狀態欄位值的文字描述。 在此事件中,它通常會有 'Account locked out' 值。 |
| FileHash | 字串 | 在事件中存取或修改之任何檔案的哈希值,或驗證或授權程式中使用的任何檔案。 |
| FilePath | 字串 | 執行作業之金鑰檔案的完整路徑和檔名。 |
| 檔案路徑無使用者 | 字串 | 與事件相關的任何檔案路徑,不包括用戶名稱或其他使用者特定資訊。 |
| 篩選器 | 字串 | 用於已執行事件的篩選條件。 |
| ForceLogoff | 字串 | 「\安全性設定\本機原則\安全性選項\網路安全性:登入時數到期時強制登出」群組原則。 |
| Fqbn | 字串 | 與事件相關之任何檔案的完整二進位名稱 (FQBN)。 |
| 完全限定主機名稱 | 字串 | 發起事件的機器的完整網域名稱(FQDN)。 |
| 完全合格的主主題使用者名稱 | 字串 | 以 FQDN 格式起始事件之用戶或服務的用戶名稱。 |
| 群組成員資格 | 字串 | 記錄帳戶 (成員) 所屬的群組 SID 清單。 事件檢視器 會自動嘗試解析 SID 並顯示帳戶名稱。 如果無法解析 SID,您會看到事件中的源數據。 |
| HandleId | 字串 | 物件名稱控制代碼的十六進位值。 此欄位可用來與其他事件相互關聯。 |
| HardwareIds | 字串 | 裝置的「硬體識別碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| 主目錄 | 字串 | 使用者的主目錄。 如果 homeDrive 屬性已設定並指定驅動器號,homeDirectory 應該是 UNC 路徑。 路徑必須是網路 UNC 格式,即形式為 \Server\Share\Directory。 |
| HomePath | 字串 | 使用者的首頁路徑。 路徑必須是網路 UNC 格式,即形式為 \Server\Share\Directory。 |
| InterfaceUuid | 字串 | 用於事件之網路介面的唯一標識碼 (UUID)。 |
| IP地址 | 字串 | 與事件相關聯的網路位址(通常是 IPv4 或 IPv6)。 |
| IpPort | 字串 | 與事件相關聯的網路埠號碼。 |
| _IsBillable // 是否可計費 | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,資料引入不會向您的 Azure 帳戶收費 |
| 密钥長度 | 整數 (int) | NTLM 會話安全性密鑰的長度。 一般而言,它有 128 位或 56 位長度。 |
| 關鍵字 | 字串 | 事件中定義的關鍵字位元遮罩。 |
| 層級 | 字串 | Windows 會將每個事件分類為嚴重性層級。 嚴重性順序的層級依次為:情報、詳細資訊、警告、錯誤和緊急狀況,並且用數字表示。 |
| LmPackageName | 字串 | 目前正在產生事件之電腦上的本機安全性授權單位 (LSA) 的套件或軟體元件名稱。 |
| 位置信息 | 字串 | 裝置的「位置資訊」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| 封鎖持續時間 | 字串 | '\安全設置\帳戶策略\帳戶鎖定策略\帳戶鎖定時間' 組策略。 數值。 |
| 鎖定觀察窗口 | 字串 | 「\安全性設定\帳戶原則\帳戶鎖定原則\之後重設帳戶鎖定計數器」群組原則。 數值。 |
| 鎖定閾值 | 字串 | \安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定閾值\ 組策略。 數值。 |
| 記錄結果 | 字串 | 登入程序的結果。 |
| 登入指南 (LogonGuid) | 字串 | GUID 可協助您將此事件與另一個可以包含相同登入 GUID 的事件相互關聯。 |
| 登入時間 | 字串 | 允許帳戶登入網域的時數。 |
| 登入ID | 字串 | 十六進位值,可協助您將此事件與可能包含相同登入標識碼的最近事件相互關聯。 |
| 登入處理程序名稱 | 字串 | 已註冊登入程式的名稱。 |
| 登入類型 | 整數 (int) | 執行的登入類型。 |
| 登入類型名稱 | 字串 | 事件記錄檔所擷取的登入或驗證事件類型(通用值:Interactive、Network、RemoteInteractive、Unlock)。 |
| MachineAccountQuota | 字串 | 已修改 ms-DS-MachineAccountQuota 網域屬性。 數值。 |
| 機器清單 | 字串 | 產生事件之計算機的硬體組態和軟體環境相關信息。 例如,它可以包含不同的數據點:計算機的製造和模型、可用的 RAM 或儲存空間量、各種軟體應用程式的版本號碼等等。 |
| MachineLogon | 字串 | 計算機中成功登入事件的相關信息。 |
| 管理群組名稱 | 字串 | 根據資源類型的其他資訊。 |
| 強制標籤 | 字串 | 指派給新程序的完整性標籤識別碼。 |
| 最大密碼有效期 | 字串 | 在系統要求使用者變更密碼之前,可以使用密碼的期間(以天為單位)。 |
| 成員名稱 | 字串 | 參與事件的用戶帳戶。 |
| If no translation is necessary, retain "MemberSid" as is. | 字串 | 與事件相關用戶帳戶相關聯的安全性標識碼 (SID)。 |
| 密碼最小使用期限 (MinPasswordAge) | 字串 | 在系統要求使用者變更密碼之前,必須使用密碼的期間(以天為單位)。 |
| 最低密碼長度 | 字串 | 可構成用戶帳戶密碼的最少字元數。 |
| 混合域模式 | 字串 | 系統或域控制器的網域模式。 |
| NASIdentifier | 字串 | 與事件相關的網路存取伺服器 (NAS) 識別碼。 |
| NAS IPv4 地址 | 字串 | 涉及事件的網路存取伺服器之 IPv4 位址(如果適用)。 |
| NASIPv6Address(NAS IPv6位址) | 字串 | 事件中涉及的網路存取伺服器的 IPv6 位址,如果適用的話。 |
| NASPort | 字串 | 事件中所使用網路存取伺服器上的連接埠。 |
| NAS端口類型 | 字串 | 事件中使用的網路存取伺服器類型。 |
| 網路政策名稱 | 字串 | 與事件相關聯的網路原則名稱。 |
| 新日期 | 字串 | UTC 時區的新日期。 格式為 YYYY-MM-DD。 |
| NewMaxUsers | 字串 | 事件中資源允許的新使用者數目上限。 |
| NewProcessId | 字串 | 新進程的十六進位進程標識碼。 進程識別碼 (PID) 是操作系統用來唯一識別使用中進程的數位。 |
| NewProcessName | 字串 | 新進程的完整路徑和可執行檔名稱。 |
| 新備註 | 字串 | 網路共用 [註解:] 欄位的新值。 如果未設定 ,則具有 『N/A』 值。 |
| NewShareFlags | 字串 | 例如,事件中與資源相關聯的共用旗標,包括:資源是否為唯讀或讀寫、是否隱藏,以及可能影響存取和權限的其他參數的詳細信息。 |
| NewTime | 字串 | 以 UTC 時區設定的新時間。 格式為YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | 字串 | 指定旗標,控制用戶帳戶的密碼、鎖定、停用/啟用、腳本和其他行為。 |
| NewValue | 字串 | 已變更登錄機碼值的新值。 |
| 新數值類型 | 字串 | 新類型的已變更登錄機碼值。 |
| 物件名稱 | 字串 | 要求存取的物件名稱和其他識別資訊。 例如,對於檔案來說,路徑會被包含在內。 |
| ObjectServer | 字串 | 包含呼叫例程的 Windows 子系統名稱。 |
| 物件類型 | 字串 | 作業期間所存取之物件的型別。 |
| 物件值名稱 | 字串 | 已修改註冊表項值的名稱。 |
| 原廠資訊 | 字串 | 在事件中與裝置或系統相關聯的原始設備製造商(OEM)。 |
| OldMaxUsers | 字串 | 事件中資源所允許的先前使用者數目上限。 |
| 舊備註 | 字串 | 網路共用 [註解] 欄位的的舊值。 如果未設定 ,則具有 『N/A』 值。 |
| 舊分享標誌 | 字串 | 與事件中資源相關聯的上一個共用旗標,例如:資源是否為唯讀或讀取/寫入、隱藏,以及可能會影響存取權和權限的其他參數相關資訊。 |
| OldUacValue | 字串 | 指定旗標,控制用戶帳戶的密碼、鎖定、停用/啟用、腳本和其他行為。 此參數包含用戶物件的userAccountControl屬性先前的值。 |
| OldValue | 字串 | 已變更登錄機碼值的舊值。 |
| OldValueType | 字串 | 已變更登錄機碼值的舊類型。 |
| OpCode | 字串 | opcode 元素是由 SystemPropertiesType 複雜類型所定義。 |
| 操作類型 | 字串 | 在物件上執行的作業類型 |
| 套件名稱 | 字串 | 登入期間使用的 LAN Manager 子套件名稱(NTLM 系列通訊協定名稱)。 |
| 父程序名稱 | 字串 | 與事件相關聯的父程序名稱。 |
| 密碼歷史長度 | 字串 | 「\安全性設定\帳戶原則\密碼原則\強制使用密碼歷程記錄」群組原則。 數值。 |
| 密碼最後設定時間 | 字串 | 上次修改帳戶的密碼。 |
| 密碼屬性 | 字串 | 與事件相關聯的密碼原則或屬性,例如:密碼長度、複雜度和到期日。 |
| 上一個日期 | 字串 | 與事件相關聯的上一個日期。 |
| 前次時間 | 字串 | 先前的 UTC 時區時間。 格式為YYYY-MM-DDThh:mm:ss.nnnnnnnNZ。 |
| 主群組 ID | 字串 | 用戶物件主要群組的相對標識碼(RID)。 |
| 私鑰使用次數 | 字串 | 使用私鑰的次數。 |
| 權限列表 | 字串 | 許可權,包括與事件相關聯的使用者、群組或系統許可權。 |
| 流程 | 字串 | 產生事件的進程名稱。 |
| ProcessId | 字串 | 識別已產生事件的處理序。 |
| ProcessName | 字串 | 進程的完整路徑和可執行檔名稱。 |
| ProfilePath | 字串 | 指定帳號個人檔案的路徑。 這個值可以是空字串、本機絕對路徑或 UNC 路徑。 |
| 屬性 | 字串 | 取決於物件類型。 此欄位可以是空的,或包含已存取的物件屬性清單。 |
| 協議序列 | 字串 | 用於驗證嘗試的通訊協議相關信息。 |
| 代理政策名稱 | 字串 | 用來設定 Proxy 伺服器以連線到網路的原則名稱。 |
| 隔離幫助URL | 字串 | 提供網路隔離問題疑難解答協助的URL。 |
| QuarantineSessionID | 字串 | 評估檔案隔離之工作階段的識別碼。 |
| 隔離會話識別碼 | 字串 | 評估檔案隔離之工作階段的識別碼。 |
| QuarantineState | 字串 | 它會顯示檔案是否已隔離。 |
| 隔離系統健康結果 | 字串 | 顯示已隔離之檔案狀態的報告。 |
| 相對目標名稱 | 字串 | 存取的目標檔案或資料夾的相對名稱。 這個檔案路徑相對於網路共用。 如果是對共用資源本身請求存取權限,那麼此欄位會顯示為 ""。 |
| 遠端IP地址 | 字串 | 起始遠端連線之電腦的IP位址。 |
| RemotePort | 字串 | 起始連線之遠端電腦的埠號碼。 |
| 要求者 | 字串 | 事件要求者標識碼。 |
| 請求識別碼 (RequestId) | 字串 | 與特定要求相關聯的唯一標識符,例如透過 HTTP 進行的要求。 |
| _ResourceId (資源識別碼) | 字串 | 與記錄相關資源的唯一識別碼 |
| 受限管理模式 | 字串 | 僅填入 RemoteInteractive 登入類型工作階段。 這是 [是/否] 旗標,指出所提供的認證是否使用受限制管理員模式傳遞。 在 Win8.1/2012R2 中新增了受限制的系統管理模式,但此標記已在 Win10 中的事件中新增。 |
| 刪除的行數 | 字串 | 作為特定作業一部分刪除的數據列數目。 |
| SamAccountName | 字串 | 用來支援舊版 Windows 之用戶端和伺服器的帳戶登入名稱(Windows 2000 前登入名稱)。 |
| ScriptPath | 字串 | 指定帳戶登入腳本的路徑。 |
| 安全描述符 | 字串 | 特定物件或資源的安全性設定和許可權的相關信息。 |
| 服務帳戶 | 字串 | 服務會在啟動時執行的安全性內容。 |
| 服務檔案名稱 | 字串 | 指出已向服務控制管理員註冊的服務類型。 |
| 服務名稱 | 字串 | 已安裝的服務名稱。 |
| 服務啟動類型 | 整數 (int) | 包含應該如何啟動特定服務的相關信息,無論是應該自動啟動還是手動啟動。 |
| 服務類型 | 字串 | 指出已向服務控制管理員註冊的服務類型。 |
| SessionName | 字串 | 使用者重新連線的工作階段名稱。 |
| 分享本地路徑 | 字串 | 存取網路共享所使用的本地路徑。 |
| ShareName | 字串 | 存取的網路共用名稱。 格式為:\*\SHARE_NAME。 |
| Sid 歷史記錄 | 字串 | 如果物件已從另一個定義域移動,則包含用於物件的先前 SID。 |
| 來源計算機ID | 字串 | 指派給 Windows 網域中每部電腦的唯一標識碼。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,對於 Windows 代理程式,可使用 OpsManager、直接連線或 Operations Manager,對於所有 Linux 代理程式使用 Linux,或對於 Azure 診斷使用 Azure。 |
| 狀態 | 字串 | 登入失敗的原因。 在此事件中,它通常具有 「0xC0000234」值。 最常見的狀態代碼列在表 12 中。 Windows 登入狀態代碼。 |
| 儲存帳戶 | 字串 | 設定記憶體帳戶存取金鑰。 |
| 子類別識別碼SubcategoryGuid | 字串 | 已變更子類別的唯一 GUID。 |
| 子類別編號 | 字串 | 特定事件類型的唯一標識符。 |
| 主旨 | 字串 | 起始事件之安全性主體的相關信息(例如:用戶帳戶)。 |
| 主體帳戶 | 字串 | 起始事件之帳戶的相關信息。 |
| 主題網域名稱 | 字串 | 主體帳戶所屬網域或工作組的相關信息。 |
| 主體金鑰識別符 | 字串 | 特定憑證主體的唯一標識符。 |
| 使用者登入識別碼 | 字串 | 與主體帳戶相關聯之登入工作階段的唯一識別碼。 |
| SubjectMachineName | 字串 | 建立事件的電腦或系統相關信息。 |
| 主機SID識別碼 | 字串 | 產生事件之計算機的安全性識別碼 (SID)。 |
| 主題使用者名稱 | 字串 | 產生事件的用戶帳戶名稱。 |
| SubjectUserSid | 字串 | 產生事件之用戶帳戶的安全性標識碼 (SID)。 |
| _SubscriptionId(訂閱識別碼) | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
| 子狀態 | 字串 | 有關登入失敗的其他資訊。 'Table 12' 中列出的最常見子狀態代碼。 Windows 登入狀態代碼』。 |
| 系統進程識別碼 | 整數 (int) | 識別已產生事件的處理序。 |
| 系统线程标识符 (SystemThreadId) | 整數 (int) | 識別已產生事件的執行緒。 |
| SystemUserId | 字串 | 負責事件之使用者的標識碼。 |
| 表格編號 | 字串 | 事件資料儲存所在的特定運算列表識別碼。 |
| 目標帳戶 | 字串 | 事件所針對的帳戶(使用者名稱、電腦名稱等)。 |
| 目標網域名稱 | 字串 | 目標帳戶所屬的網域名稱。 |
| 目標資訊 | 字串 | 事件目標的其他資訊(例如:檔案或資料夾的路徑、登錄機碼的名稱等等)。 |
| TargetLinkedLogonId | 字串 | 有助於透過登入嘗試識別碼將相關事件連結在一起的資訊。 它有助於組織所有相關事件、追蹤多個會話中的活動,以及識別攻擊來源。 |
| TargetLogonGuid | 字串 | 與事件相關登入會話相關聯的全域唯一標識碼 (GUID)。 |
| TargetLogonId | 字串 | 與與事件相關的登入會話相關聯的唯一標識符。 |
| 目標外部域名 | 字串 | 在輸出驗證嘗試期間,TargetAccount 欄位中指定的帳戶已對其進行驗證的網域。 |
| 目標外部用戶名 | 字串 | 在輸出驗證嘗試期間驗證的用戶帳戶名稱。 |
| 目標伺服器名稱 | 字串 | 執行新進程之伺服器的名稱。 如果進程是在本機執行,則具有 「localhost」 值。 |
| TargetSid | 字串 | 執行新進程之伺服器的安全性識別碼 (SID)。 |
| 目標用戶 | 字串 | 產生新進程的用戶帳戶標識碼。 |
| 目標使用者名稱 | 字串 | 產生新進程的用戶帳戶名稱。 |
| TargetUserSid | 字串 | 與事件相關使用者或資源相關聯的安全性標識碼 (SID)。 |
| 任務 | 整數 (int) | 事件中定義的工作。 |
| 範本內容 | 字串 | 結構化格式的事件訊息或通知內容。 |
| TemplateDSObjectFQDN | 字串 | 代表 GPO 範本之 DS 物件的 FQDN。 |
| 範本內部名稱 | 字串 | GPO 範本的內部名稱。 |
| TemplateOID | 字串 | 用來建立事件之範本的唯一標識符。 |
| 範本結構版本 | 字串 | 範本架構的版本,用於定義要包含在事件中的數據。 |
| 範本版本 | 字串 | 定義事件中包含的資料的模板版本。 |
| 租戶識別碼 (TenantId) | 字串 | Log Analytics 工作區識別碼 |
| TimeGenerated | Datetime | 在電腦上產生事件的時間戳。 |
| TokenElevationType | 字串 | 根據用戶帳戶控制原則指派給新程式的令牌類型。 |
| TransmittedServices | 字串 | 傳輸的服務清單。 如果登入是 S4U (使用者服務) 登入程序的結果,則會填入傳輸的服務。 S4U 是 Kerberos 通訊協定的Microsoft延伸模組,可讓應用程式服務代表使用者取得 Kerberos 服務票證-最常由前端網站代表使用者存取內部資源。 如需 S4U 的詳細資訊,請參閱 https://msdn.microsoft.com/library/cc246072.aspx。 |
| 類型 | 字串 | 資料表的名稱 |
| 使用者帳戶控制 | 字串 | 顯示userAccountControl屬性中的變更清單。 您會看到每個變更的文字行。 |
| 使用者參數 | 字串 | 如果您在使用者帳戶屬性的 [撥入] 索引標籤中,透過 Active Directory 使用者與電腦管理主控台變更任何設定,那麼您會看到<值已經變更,但這個變更不會顯示在>此欄位中。 針對本機帳戶,此欄位不適用,且一律有<值未設定>值。 |
| 使用者主要名稱 (UserPrincipalName) | 字串 | 帳戶的因特網樣式登入名稱,以因特網標準 RFC 822 為基礎。 依照慣例,這應該對應至帳戶的電子郵件名稱。 |
| 使用者工作站 | 字串 | 包含使用者可以登入之電腦的 NetBIOS 或 DNS 名稱清單。 每部計算機名稱都會以逗號分隔。 計算機的名稱是計算機物件的 sAMAccountName 屬性。 |
| 供應商識別碼 | 字串 | 裝置的「硬體識別碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]。 |
| 版本 | 整數 (int) | 包含事件定義的版本號碼。 |
| VirtualAccount | 字串 | 「是」或「否」旗標,指出帳戶是否為虛擬帳戶(例如「受控服務帳戶」),這是在 Windows 7 和 Windows Server 2008 R2 中引進,以提供識別指定服務所使用的帳戶的能力,而不只是使用 'NetworkService'。 |
| 工作站 | 字串 | 用來執行事件的計算機名稱。 |
| 工作站名稱 (WorkstationName) | 字串 | 執行登入嘗試的計算機名稱。 |