SecurityEvent
Události zabezpečení shromážděné z počítačů s Windows službou Azure Security Center nebo Azure Sentinel.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpečení |
| Řešení | Zabezpečení, SecurityInsights |
| Základní protokol | No |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | Ano |
Sloupce
| Column | Type | Popis |
|---|---|---|
| AccessMask | string | Šestnáctková maska požadované nebo provedené operace. |
| Obchodní vztah | string | Kontext zabezpečení pro služby nebo uživatele |
| AccountDomain | string | Název domény nebo počítače subjektu. |
| AccountExpires | string | Datum vypršení platnosti účtu. |
| AccountName | string | Název účtu, který požadoval operaci odebrání důvěryhodnosti domény. |
| AccountSessionIdentifier | string | Jedinečný identifikátor vygenerovaný počítačem při vytvoření relace. |
| AccountType | string | Určuje, jestli je účet počítačovým účtem (počítačem) nebo uživatelem. |
| Aktivita | string | Došlo k popisném názvu události. |
| AdditionalInfo | string | Další informace poskytované zdrojem, které nejsou mapovány na jiná pole reprezentovaná seznamem. |
| AdditionalInfo2 | string | Další informace poskytované zdrojem, které nejsou mapovány na jiná pole reprezentovaná seznamem. |
| AllowedToDelegateTo | string | Seznam hlavních názvů služeb( SPN), ke kterým může tento účet prezentovat delegovaná pověření. |
| Atributy | string | Další informace o události. |
| AuditPolicyChanges | string | Události, které se generují při změnách zásad auditu systému nebo nastavení auditu v souboru nebo klíči registru. |
| AudityDiscarded | int | Počet zpráv auditu, které byly zahozeny. |
| Úroveň ověřování | int | Počet zpráv auditu, které byly zahozeny. |
| AuthenticationPackageName | string | název načteného ověřovacího balíčku. Formát je: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | Identita zprostředkovatele zodpovědného za proces ověřování (může zahrnovat certifikační autoritu, uživatelské jméno, ověřovací systém hesel atd.). |
| AuthenticationServer | string | Server, ve kterém se nachází zprostředkovatel ověřování. |
| AuthenticationService | int | Služba, ve které se nachází zprostředkovatel ověřování. |
| AuthenticationType | string | typ ověřování, který byl použit pro událost (dvojúrovňové ověřování, biometrické ověřování atd.). |
| AzureDeploymentID | string | ID nasazení Azure cloudové služby, do které protokol patří. |
| _BilledSize | real | Velikost záznamu v bajtech |
| CACertificateHash | string | Hodnota hash certifikátu certifikační autority,která byla použita k ověření uživatele, který událost provedl. |
| CalledStationID | string | Informace o ID stanice, která iniciovala akci, která vedla k události zabezpečení. |
| CallerProcessId | string | Šestnáctkové ID procesu, který se pokusil o přihlášení. ID procesu (PID) je číslo, které operační systém používá k jednoznačné identifikaci aktivního procesu. |
| CallerProcessName | string | Úplná cesta a název spustitelného souboru procesu. |
| CallStationID | string | Informace o ID stanice, která iniciovala akci, která vedla k události zabezpečení. |
| CAPublicKeyHash | string | Hodnota hash, která identifikuje veřejný klíč certifikační autority (CA), která vydala certifikát. |
| Id kategorie | string | Kategorie události zabezpečení, ke které došlo (pokus o přihlášení, porušení zabezpečení dat atd.). |
| CertificateDatabaseHash | string | Hodnota hash, která identifikuje databázi, která vydala certifikát. |
| Kanál | string | Kanál, do kterého byla událost zaznamenána. |
| ClassId | string | Atribut Guid třídy zařízení. |
| ClassName | string | Atribut Class zařízení. |
| ClientAddress | string | IP adresa počítače, ze kterého byl přijat požadavek TGT. |
| ClientIPAddress | string | IP adresa počítače, který inicioval akci, která vedla k události. |
| Název klienta | string | název počítače, ze kterého byl uživatel znovu připojen. Má hodnotu Unknown (Neznámá) pro relaci konzoly. |
| CommandLine | string | Argumenty příkazového řádku, které byly předány aplikaci nebo procesu, který byl součástí události. |
| CompatibleIds | string | Atribut Kompatibilní ID zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| Počítač | string | Název počítače, na kterém došlo k události. |
| Korelace | string | Identifikátory aktivit, které uživatelé můžou použít k seskupení souvisejících událostí. |
| DCDNSName | string | Název DNS řadiče domény, který byl součástí události. |
| Popis zařízení | string | popis zařízení, které bylo součástí události. |
| DeviceId | string | Jedinečný identifikátor zařízení, které bylo součástí události. |
| DisplayName | string | Jedná se o jméno, které se zobrazuje v adresáři pro konkrétní účet. Obvykle se jedná o kombinaci křestního jména uživatele, prostředního iniciály a příjmení. |
| Dispozice | string | Výsledek události nebo řešení, například jestli byla událost vyřešena nebo jestli byla provedena nějaká akce v reakci na událost. |
| DomainBehaviorVersion | string | Byl změněn atribut domény msDS-Behavior-Version. Číselná hodnota |
| DomainName | string | Název odebrané důvěryhodné domény. |
| DomainPolicyChanged | string | Označuje, jestli se v rámci události změnily nějaké zásady domény (zásady hesel, zásady zabezpečení atd.). |
| DomainSid | string | IDENTIFIKÁTOR SID důvěryhodného partnera. Tento parametr nemusí být zachycen v události a v takovém případě se zobrazí jako IDENTIFIKÁTOR SID s hodnotou NULL. |
| EAPType | string | Typ protokolu EAP (Extensible Authentication Protocol), který byl použit pro proces ověřování událostí. |
| Zvýšených oprávnění | string | Příznak Ano nebo Ne. Pokud ano, pak relace, která tato událost představuje, je zvýšená a má oprávnění správce. |
| ErrorCode | int | Obsahuje kód chyby pro události selhání. U událostí Úspěchu má tento parametr hodnotu 0x0. |
| EventData | string | Data specifická pro událost přidružená k události. |
| EventID | int | Identifikátor, který zprostředkovatel použil k identifikaci události. |
| EventLevelName | string | Vykreslený řetězec zprávy úrovně zadané v události. |
| EventRecordId | string | Číslo záznamu přiřazené události, když byla zaznamenána. |
| EventSourceName | string | Název softwaru, který protokoluje událost (applicationor a succomponent). |
| ExtendedQuarantineState | string | Stav procesu karantény sítě, pokud je to možné. Karanténa sítě je proces, pomocí kterého se neoprávněným zařízením brání v přístupu k síti, dokud nebudou splňovat určité požadavky na zabezpečení nebo se nekontrolují malware. |
| FailureReason | string | textové vysvětlení hodnoty pole Stav. U této události má obvykle hodnotu Účet je uzamčen. |
| FileHash | string | Hodnota hash pro všechny soubory, které byly v rámci události přístupné nebo změněny, nebo všechny soubory použité při ověřování nebo autorizačním procesu. |
| Cesta k souboru | string | Úplná cesta a název souboru klíče, na kterém byla operace provedena. |
| FilePathNoUser | string | Cesta ke všem souborům, které souvisejí s událostí, s výjimkou uživatelského jména nebo jiných informací specifických pro uživatele. |
| Filtrovat | string | Filtry, které se používají v provedené události. |
| ForceLogoff | string | '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire' group policy. |
| Fqbn | string | Plně kvalifikovaný binární název (FQBN) pro všechny soubory, které souvisejí s událostí. |
| FullyQualifiedSubjectMachineName | string | Plně kvalifikovaný název domény (FQDN) počítače, který událost inicioval. |
| FullyQualifiedSubjectUserName | string | Uživatelské jméno uživatele nebo služby, která událost iniciovala ve formátu plně kvalifikovaného názvu domény. |
| Členství ve skupině | string | Seznam identifikátorů SID skupin, které protokolovaný účet patří (člena). Prohlížeč událostí se automaticky pokusí přeložit identifikátory SID a zobrazit název účtu. Pokud identifikátor SID nelze přeložit, zobrazí se zdrojová data v události. |
| HandleId | string | Šestnáctková hodnota popisovače pro název objektu. Toto pole lze použít pro korelaci s jinými událostmi. |
| Id hardwaru | string | Atribut Id hardwaru zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| HomeDirectory | string | Domovský adresář uživatele. Pokud je nastaven atribut homeDrive a určuje písmeno jednotky, homeDirectory by měla být cesta UNC. Cesta musí být síť UNC formuláře \Server\Share\Directory. |
| HomePath | string | Domovská cesta uživatele. Cesta musí být síť UNC formuláře \Server\Share\Directory. |
| InterfaceUuid | string | Jedinečný identifikátor (UUID) pro síťové rozhraní, které se použilo pro událost. |
| IpAddress | string | síťová adresa (obvykle IPv4 nebo IPv6) přidružená k události. |
| IpPort | string | Číslo síťového portu přidruženého k události. |
| _IsBillable | string | Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure |
| KeyLength | int | Délka klíče zabezpečení relace NTLM. Obvykle má 128bitovou nebo 56bitovou délku. |
| Klíčová slova | string | Bitová maska klíčových slov definovaných v události. |
| Level | string | Systém Windows kategorizuje každou událost s úrovní závažnosti. Úrovně v pořadí závažnosti jsou informace, podrobné, varování, chyba a kritické hodnoty vyjádřené čísly. |
| LmPackageName | string | Název komponenty balíčku nebo softwaru, která aktuálně používá místní autoritu zabezpečení (LSA) na počítači, ve kterém se událost generuje. |
| Informace o poloze | string | Atribut Informace o poloze zařízení Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti: |
| LockoutDuration | string | Zásady skupiny \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Doba trvání uzamčení účtu. Číselná hodnota |
| LockoutObservationWindow | string | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' group policy. Číselná hodnota |
| LockoutThreshold | string | Zásady skupiny \Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu\Prahová hodnota uzamčení účtu. Číselná hodnota |
| LoggingResult | string | Výsledek procesu přihlášení. |
| LogonGuid | string | Identifikátor GUID, který vám může pomoct s korelací této události s jinou událostí, která může obsahovat stejný identifikátor GUID přihlášení. |
| Přihlašovací údaje | string | Hodiny, kdy se účet může přihlásit k doméně. |
| LogonID | string | Šestnáctková hodnota, která vám může pomoct korelovat tuto událost s nedávnými událostmi, které můžou obsahovat stejné přihlašovací ID. |
| LogonProcessName | string | Název registrovaného procesu přihlášení. |
| LogonType | int | Typ přihlášení, který byl proveden. |
| LogonTypeName | string | Typ události přihlášení nebo ověřování zachycené protokolem událostí (společné hodnoty: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | Atribut domény ms-DS-MachineAccountQuota byl změněn. Číselná hodnota |
| MachineInventory | string | Informace o konfiguraci hardwaru a softwarovém prostředí počítače, ve kterém se událost generuje. Může obsahovat různé datové body, například make a model počítače, množství dostupné paměti RAM nebo úložného prostoru, čísla verzí různých softwarových aplikací atd. |
| MachineLogon | string | Informace o úspěšné události přihlášení v počítači. |
| ManagementGroupName | string | Další informace založené na typu prostředku |
| Povinná znaméčka | string | ID popisku integrity, který byl přiřazen k novému procesu. |
| MaxPasswordAge | string | Časové období (ve dnech), po které může být heslo použito před tím, než systém vyžaduje, aby ho uživatel změnil. |
| Název člena | string | Uživatelský účet, který byl součástí události. |
| Id člena | string | Identifikátor zabezpečení (SID) přidružený k uživatelskému účtu, který byl součástí události. |
| MinPasswordAge | string | Časové období (ve dnech), po které musí být heslo použito před tím, než systém vyžaduje, aby ho uživatel změnil. |
| MinPasswordLength | string | Nejmenší počet znaků, které můžou vytvořit heslo pro uživatelský účet. |
| MixedDomainMode | string | Režim domény systému nebo řadiče domény. |
| NASIdentifier | string | Identifikátor serveru pro přístup k síti (NAS), který byl součástí události. |
| NASIPv4Address | string | IPv4Address serveru síťového přístupu (NAS), který byl v případě potřeby zapojen do události. |
| NASIPv6Address | string | IPv6Address serveru síťového přístupu (NAS), který byl v případě potřeby zapojen do události. |
| NASPort | string | port na serveru síťového přístupu, který byl použit v události. |
| NASPortType | string | typ serveru pro přístup k síti (NAS) použitý v události. |
| NetworkPolicyName | string | Název zásady sítě přidružené k události. |
| NewDate | string | Nové datum v časovém pásmu UTC Formát je RRRR-MM-DD. |
| NewMaxUsers | string | Nový maximální počet uživatelů povolených pro prostředek v události. |
| NewProcessId | string | Šestnáctkové ID procesu nového procesu. ID procesu (PID) je číslo, které operační systém používá k jednoznačné identifikaci aktivního procesu. |
| NewProcessName | string | Úplná cesta a název spustitelného souboru pro nový proces. |
| NewRemark | string | Nová hodnota pole Komentář:. Má hodnotu N/A, pokud není nastavená. |
| NewShareFlags | string | Sdílená složka označuje příznak přidružený k prostředku v události, například: informace o tom, jestli je prostředek jen pro čtení nebo pro čtení/zápis, jestli je skrytý, a další parametry, které můžou ovlivnit přístup a oprávnění. |
| NewTime | string | Nový čas nastavený v časovém pásmu UTC Formát je RRRR-MM-DDThh:mm:ss.nnnnnnnnnZ |
| NewUacValue | string | Určuje příznaky, které řídí heslo, uzamčení, zakázání/povolení, skript a další chování uživatelského účtu. |
| NewValue | string | Nová hodnota pro změněnou hodnotu klíče registru |
| NewValueType | string | Nový typ změněné hodnoty klíče registru |
| ObjectName | string | Název a další identifikační informace pro objekt, pro který byl požadován přístup. Například pro soubor by byla zahrnuta cesta. |
| ObjectServer | string | Obsahuje název subsystému Windows, který volá rutinu. |
| ObjectType | string | Typ objektu, ke kterému došlo během operace. |
| ObjectValueName | string | Název změněné hodnoty klíče registru. |
| OemInformation | string | Výrobce původního zařízení (OEM) přidružený k zařízení nebo systému v události. |
| OldMaxUsers | string | Předchozí maximální počet uživatelů povolených pro prostředek v události. |
| OldRemark | string | stará hodnota pole Komentář:. Má hodnotu N/A, pokud není nastavená. |
| OldShareFlags | string | Předchozí sdílená složka příznaky přidružené k prostředku v události, například: informace o tom, jestli je prostředek jen pro čtení nebo pro čtení/zápis, zda je skrytý, a další parametry, které můžou ovlivnit přístup a oprávnění. |
| OldUacValue | string | Určuje příznaky, které řídí heslo, uzamčení, zakázání/povolení, skript a další chování uživatelského účtu. Tento parametr obsahuje předchozí hodnotu atributu userAccountControl objektu uživatele. |
| OldValue | string | Stará hodnota pro změněnou hodnotu klíče registru. |
| OldValueType | string | Starý typ změněné hodnoty klíče registru. |
| Opcode | string | Element opcode je definován komplexním typem SystemPropertiesType. |
| OperationType | string | Typ operace, která byla provedena u objektu |
| PackageName | string | Název dílčího balíčku LAN Manageru (NTLM-family protocol name), který byl použit při přihlášení. |
| ParentProcessName | string | Název nadřazeného procesu přidruženého k události. |
| PasswordHistoryLength | string | \Nastavení zabezpečení\Zásady účtu\Zásady hesel\Vynutit historii hesel" zásady skupiny. Číselná hodnota |
| PasswordLastSet | string | Čas poslední změny hesla účtu |
| PasswordProperties | string | Zásady hesel nebo vlastnosti přidružené k události, například délka hesla, složitost a datum vypršení platnosti. |
| PreviousDate | string | Předchozí datum přidružené k události. |
| PreviousTime | string | Předchozí čas v časovém pásmu UTC Formát je RRRR-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | Relativní identifikátor (RID) primární skupiny objektů uživatele |
| PrivateKeyUsageCount | string | Počet použití privátního klíče. |
| PrivilegeList | string | Oprávnění, včetně oprávnění uživatele, skupiny nebo systému přidružených k události. |
| Zpracovat | string | Název procesu, který vygeneruje událost. |
| ProcessId | string | Identifikuje proces, který událost vygeneroval. |
| ProcessName | string | Úplná cesta a název spustitelného souboru procesu. |
| ProfilePath | string | Určuje cestu k profilu účtu. Tato hodnota může být řetězec null, místní absolutní cesta nebo cesta UNC. |
| Vlastnosti | string | Závisí na typu objektu. Toto pole může být prázdné nebo může obsahovat seznam vlastností objektu, ke kterým došlo. |
| ProtocolSequence | string | Informace o protokolu použitém k pokusu o ověření |
| ProxyPolicyName | string | Název zásady použité ke konfiguraci proxy serveru pro připojení k síti. |
| QuarantineHelpURL | string | Adresa URL, která poskytuje pomoc s řešením potíží s karanténou sítě. |
| QuarantineSessionID | string | Identifikátor relace, ve které byl soubor vyhodnocen jako karanténní. |
| QuarantineSessionIdentifier | string | Identifikátor relace, ve které byl soubor vyhodnocen jako karanténní. |
| QuarantineState | string | Zobrazuje, jestli je soubor v karanténě. |
| QuarantineSystemHealthResult | string | Sestava znázorňující stav souborů, které byly v karanténě |
| RelativeTargetName | string | Relativní název přístupového cílového souboru nebo složky Tato cesta k souboru je relativní vzhledem ke sdílené síťové složce. Pokud byl pro samotnou sdílenou složku požadován přístup, zobrazí se toto pole jako "". |
| RemoteIpAddress | string | IP adresa počítače, který inicioval vzdálené připojení. |
| RemotePort | string | Číslo portu vzdáleného počítače, který inicioval připojení. |
| Žadatel | string | Identifikátor žadatele o událost. |
| RequestId | string | Jedinečný identifikátor, který je přidružený k určitým požadavkům, například identifikátory provedené přes protokol HTTP. |
| _ResourceId | string | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| RestrictedAdminMode | string | Vyplněné pouze pro relace typu přihlášení RemoteInteractive. Jedná se o příznak Ano/Ne označující, jestli byly zadané přihlašovací údaje předány pomocí režimu omezeného správce. Režim omezeného správce byl přidán ve Win8.1/2012R2, ale tento příznak byl přidán do události ve Win10. |
| RowsDeleted | string | Počet řádků, které byly odstraněny jako součást konkrétní operace. |
| SamAccountName | string | přihlašovací jméno pro účet používaný k podpoře klientů a serverů z předchozích verzí Systému Windows (před přihlašovacím jménem systému Windows 2000). |
| ScriptPath | string | Určuje cestu přihlašovacího skriptu účtu. |
| SecurityDescriptor | string | Informace o nastavení zabezpečení a oprávněních konkrétního objektu nebo prostředku |
| ServiceAccount | string | Kontext zabezpečení, který bude služba spouštět jako při spuštění. |
| Název_souboru_služby | string | Určuje typ služby, která byla zaregistrována ve Správci řízení služeb. |
| ServiceName | string | Název nainstalované služby. |
| ServiceStartType | int | Obsahuje informace o tom, jak se má konkrétní služba spustit, ať už se má spustit automaticky nebo ručně. |
| ServiceType | string | Určuje typ služby, která byla zaregistrována ve Správci řízení služeb. |
| Název relace | string | Název relace, ke které se uživatel znovu připojil. |
| ShareLocalPath | string | Místní cesta ke sdílené síťové složce. |
| Název_sdílené složky | string | Název přístupové síťové sdílené složky. Formát je: \*\SHARE_NAME. |
| SidHistory | string | Obsahuje předchozí identifikátory SID použité pro objekt, pokud byl objekt přesunut z jiné domény. |
| SourceComputerId | string | Jedinečný identifikátor přiřazený každému počítači v doméně Windows. |
| SourceSystem | string | Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Průběh | string | Důvod, proč se přihlášení nezdařilo. Pro tuto událost má obvykle hodnotu 0xC0000234. Nejběžnější stavové kódy jsou uvedeny v tabulce 12. Stavové kódy přihlášení systému Windows. |
| StorageAccount | string | Nastaví přístupový klíč účtu úložiště. |
| SubcategoryGuid | string | Jedinečný identifikátor GUID změněných podkategorií. |
| SubcategoryId | string | Jedinečný identifikátor konkrétního typu události. |
| Předmět | string | Informace o objektu zabezpečení (například uživatelském účtu), který událost inicioval. |
| SubjectAccount | string | Informace o účtu, který spouští událost. |
| SubjectDomainName | string | Informace o doméně nebo pracovní skupině, do které patří účet subjektu. |
| SubjectKeyIdentifier | string | Jedinečný identifikátor konkrétního subjektu certifikátu. |
| SubjectLogonId | string | Jedinečný identifikátor pro přihlašovací relaci přidruženou k účtu subjektu. |
| SubjectMachineName | string | Informace o počítači nebo systému, ze kterého byla událost vytvořena. |
| SubjectMachineSID | string | Identifikátor zabezpečení (SID) pro počítač, který událost vygeneroval. |
| SubjectUserName | string | Název uživatelského účtu, který událost vygeneroval. |
| SubjectUserSid | string | Identifikátor zabezpečení (SID) pro uživatelský účet, který událost vygeneroval. |
| _SubscriptionId | string | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Dílčí stav | string | Další informace o selhání přihlášení Nejběžnější kódy dílčích statistik uvedených v tabulce 12. Stavové kódy přihlášení systému Windows. |
| SystemProcessId | int | Identifikuje proces, který událost vygeneroval. |
| SystemThreadId | int | Identifikuje vlákno, které vygenerovalo událost. |
| SystemUserId | string | ID uživatele, který je zodpovědný za událost. |
| TableId | string | Identifikátor konkrétní tabulky dat, ve které jsou data události uložená. |
| TargetAccount | string | Účet cílený událostí (uživatelské jméno, název počítače atd.). |
| TargetDomainName | string | Název domény, do které cílový účet patří. |
| TargetInfo | string | Další informace o cíli události (například cesta k souboru nebo složce, název klíče registru atd.). |
| TargetLinkedLogonId | string | Informace, které pomáhají propojit související události pomocí ID pokusů o přihlášení. Může být užitečné udržovat všechny relevantní události uspořádané, sledovat aktivitu napříč několika relacemi a identifikovat zdroj útoků. |
| TargetLogonGuid | string | Globálně jedinečný identifikátor (GUID) přidružený k přihlašovací relaci související s událostí. |
| TargetLogonId | string | Jedinečný identifikátor přidružený k přihlašovací relaci související s událostí. |
| TargetOutboundDomainName | string | Doména, pro kterou byl účet zadaný v poli TargetAccount ověřen při pokusu o odchozí ověření. |
| TargetOutboundUserName | string | Název uživatelského účtu, který byl ověřen během pokusu o odchozí ověření. |
| Název cílového serveru | string | Název serveru, na kterém byl nový proces spuštěn. Má hodnotu localhost, pokud byl proces spuštěn místně. |
| TargetSid | string | Identifikátor zabezpečení (SID) serveru, na kterém byl nový proces spuštěn. |
| TargetUser | string | Identifikátor uživatelského účtu, který vygeneroval nový proces. |
| TargetUserName | string | Název uživatelského účtu, který vygeneroval nový proces. |
| TargetUserSid | string | Identifikátor zabezpečení (SID) přidružený k uživateli nebo prostředku, který je součástí události. |
| Úloha | int | Úkol definovaný v události. |
| TemplateContent | string | Obsah zprávy události nebo oznámení ve strukturovaném formuláři |
| TemplateDSObjectFQDN | string | Plně kvalifikovaný název domény objektu DS, který představuje šablonu objektu zásad skupiny. |
| TemplateInternalName | string | Interní název šablony objektu zásad skupiny. |
| TemplateOID | string | jedinečný identifikátor šablony, která byla použita k vytvoření události. |
| TemplateSchemaVersion | string | Verze schématu šablony, která definuje data, která se mají zahrnout do události. |
| TemplateVersion | string | Verze šablony, která definuje data, která se mají zahrnout do události. |
| TenantId | string | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Časové razítko, kdy byla událost vygenerována v počítači. |
| TokenElevationType | string | Typ tokenu, který byl přiřazen k novému procesu v souladu se zásadami řízení uživatelských účtů |
| Přenášené služby | string | Seznam přenášených služeb. Přenášené služby jsou naplněny, pokud přihlášení bylo výsledkem procesu přihlášení S4U (Služba pro uživatele). S4U je rozšíření protokolu Kerberos od Microsoftu, které umožňuje aplikační službě získat lístek služby Kerberos jménem uživatele – nejčastěji to dělá front-endový web pro přístup k internímu prostředku jménem uživatele. Další informace o S4U naleznete v tématu https://msdn.microsoft.com/library/cc246072.aspx. |
| Typ | string | Název tabulky |
| UserAccountControl | string | Zobrazuje seznam změn v atributu userAccountControl. Pro každou změnu se zobrazí řádek textu. |
| UserParameters | string | Pokud změníte jakékoli nastavení pomocí konzoly pro správu Uživatelé a počítače služby Active Directory na kartě Vytáčení vlastností účtu uživatele, zobrazí <se hodnota změněná>, ale nezobrazí se v tomto poli. U místních účtů se toto pole nedá použít a vždy nemá <nastavenou> hodnotu. |
| UserPrincipalName | string | Přihlašovací jméno pro účet ve stylu internetu založené na internetovém standardu RFC 822. Podle konvence by se mělo namapovat na e-mailové jméno účtu. |
| UserWorkstations | string | Obsahuje seznam názvů NetBIOS nebo DNS počítačů, ze kterých se uživatel může přihlásit. Každý název počítače je oddělený čárkou. Název počítače je vlastnost sAMAccountName objektu počítače. |
| Id dodavatele | string | Atribut Id hardwaru zařízení. Pokud chcete zobrazit vlastnosti zařízení, spusťte Správce zařízení, otevřete konkrétní vlastnosti zařízení a klikněte na Podrobnosti. |
| Verze | int | Obsahuje číslo verze definice události. |
| VirtualAccount | string | Příznak Ano nebo Ne, který označuje, jestli je účet virtuálním účtem (např. Účet spravované služby), který byl zaveden v systémech Windows 7 a Windows Server 2008 R2, aby bylo možné identifikovat účet, který daná služba používá, místo pouhého použití NetworkService. |
| Pracovní stanice | string | Název počítače, který byl použit k provedení události. |
| Název pracovní stanice | string | Název počítače, ze kterého byl proveden pokus o přihlášení. |