Freigeben über


SecurityEvent

Sicherheitsereignisse, die von Windows-Computern von Azure Security Center oder Azure Sentinel gesammelt werden.

Tabellenattribute

attribute Wert
Ressourcentypen microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Kategorien Sicherheit
Lösungen Sicherheit, SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
AccessMask Zeichenfolge Hexadezimalmaske für den angeforderten oder ausgeführten Vorgang.
Konto Zeichenfolge Der Sicherheitskontext für Dienste oder Benutzer.
AccountDomain Zeichenfolge Der Domänen- oder Computername des Betreffs.
AccountExpires Zeichenfolge Das Datum, an dem das Konto abläuft.
AccountName Zeichenfolge Der Name des Kontos, das den Vorgang "Domänenvertrauensstellung entfernen" angefordert hat.
AccountSessionIdentifier Zeichenfolge Ein eindeutiger Bezeichner, der beim Erstellen der Sitzung vom Computer generiert wird.
AccountType Zeichenfolge Gibt an, ob es sich bei dem Konto um ein Computerkonto (Computer) oder um ein Benutzer handelt.
Aktivität Zeichenfolge Der beschreibende Titel des Ereignisses ist aufgetreten.
AdditionalInfo Zeichenfolge Zusätzliche Informationen, die von der Quelle bereitgestellt werden, die nicht anderen Feldern zugeordnet sind, dargestellt durch die Liste.
AdditionalInfo2 Zeichenfolge Zusätzliche Informationen, die von der Quelle bereitgestellt werden, die nicht anderen Feldern zugeordnet sind, dargestellt durch die Liste.
AllowedToDelegateTo Zeichenfolge Die Liste der SPNs, für die dieses Konto delegierte Anmeldeinformationen darstellen kann.
Attribute Zeichenfolge Weitere Informationen zum Ereignis.
AuditPolicyChanges Zeichenfolge Ereignisse, die generiert werden, wenn Änderungen an der Systemüberwachungsrichtlinie oder den Überwachungseinstellungen für eine Datei oder einen Registrierungsschlüssel vorgenommen werden.
AuditsDiscarded int Anzahl der Überwachungsnachrichten, die verworfen wurden.
AuthenticationLevel int Anzahl der Überwachungsnachrichten, die verworfen wurden.
AuthenticationPackageName Zeichenfolge der Name des geladenen Authentifizierungspakets. Das Format lautet: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME.
AuthenticationProvider Zeichenfolge Die Identität des anbieters, der für den Authentifizierungsprozess verantwortlich ist (kann eine Zertifizierungsstelle, einen Benutzernamen, ein Kennwortauthentifizierungssystem usw.) umfassen.
AuthenticationServer Zeichenfolge Der Server, auf dem sich der Authentifizierungsanbieter befindet.
AuthenticationService int Der Dienst, in dem sich der Authentifizierungsanbieter befindet.
AuthenticationType Zeichenfolge Der Typ der Authentifizierung, die für das Ereignis verwendet wurde (zweistufige Authentifizierung, biometrische Authentifizierung usw.).
AzureDeploymentID Zeichenfolge Die Azure-Bereitstellungs-ID des Clouddiensts, zu dem das Protokoll gehört
_BilledSize real Die Datensatzgröße in Bytes.
CACertificateHash Zeichenfolge Der Hashwert des Zertifikats der Zertifizierungsstelle, das verwendet wurde, um den Benutzer zu authentifizieren, der das Ereignis ausgeführt hat.
CalledStationID Zeichenfolge Informationen zur ID der Station, die die Aktion initiiert hat, die zum Sicherheitsereignis führte.
CallerProcessId Zeichenfolge Hexadezimale Prozess-ID des Prozesses, der die Anmeldung versucht hat. Die Prozess-ID (PROCESS ID, PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren.
CallerProcessName Zeichenfolge Vollständiger Pfad und der Name der ausführbaren Datei für den Prozess.
CallingStationID Zeichenfolge Informationen zur ID der Station, die die Aktion initiiert hat, die zum Sicherheitsereignis führte.
CAPublicKeyHash Zeichenfolge Hashwert, der den öffentlichen Schlüssel einer Zertifizierungsstelle identifiziert, die ein Zertifikat ausgestellt hat.
CategoryId Zeichenfolge Die Kategorie des aufgetretenen Sicherheitsereignisses (Anmeldeversuch, Datenschutzverletzung usw.).
CertificateDatabaseHash Zeichenfolge Hashwert, der die Datenbank identifiziert, die ein Zertifikat ausgestellt hat.
Kanal Zeichenfolge Der Kanal, in dem das Ereignis protokolliert wurde.
ClassId Zeichenfolge 'Class Guid'-Attribut des Geräts.
ClassName Zeichenfolge 'Class'-Attribut des Geräts.
ClientAddress Zeichenfolge IP-Adresse des Computers, von dem die TGT-Anforderung empfangen wurde.
ClientIPAddress Zeichenfolge IP-Adresse des Computers, der die Aktion initiiert hat, die zum Ereignis geführt hat.
ClientName Zeichenfolge Computername, von dem der Benutzer erneut verbunden wurde. Hat den Wert "Unbekannt" für konsolensitzung.
CommandLine Zeichenfolge Die Befehlszeilenargumente, die an eine Anwendung oder einen Prozess übergeben wurden, die an das Ereignis beteiligt waren.
CompatibleIds Zeichenfolge Attribut "Kompatible IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details":
Computer Zeichenfolge Der Name des Computers, auf dem das Ereignis aufgetreten ist.
Correlation Zeichenfolge Die Aktivitäts-IDs, die Consumer zum Gruppieren verwandter Ereignisse verwenden können.
DCDNSName Zeichenfolge Der DNS-Name des Domänencontrollers, der an dem Ereignis beteiligt war.
DeviceDescription Zeichenfolge die Beschreibung des Geräts, das an dem Ereignis beteiligt war.
DeviceId Zeichenfolge Der eindeutige Bezeichner des Geräts, das an dem Ereignis beteiligt war.
DisplayName Zeichenfolge Es handelt sich um einen Namen, der im Adressbuch für ein bestimmtes Konto angezeigt wird. Dies ist in der Regel die Kombination aus vornamen, vornamen und nachname des Benutzers.
Disposition Zeichenfolge Das Ereignisergebnis/die Auflösung, z. B. ob das Ereignis aufgelöst wurde oder ob eine Aktion als Reaktion auf das Ereignis ausgeführt wurde.
DomainBehaviorVersion Zeichenfolge msDS-Behavior-Version-Domänenattribut wurde geändert. Ein numerischer Wert.
DomainName Zeichenfolge Der Name der entfernten vertrauenswürdigen Domäne.
DomainPolicyChanged Zeichenfolge Gibt an, ob Domänenrichtlinien im Rahmen des Ereignisses geändert wurden (Kennwortrichtlinien, Sicherheitsrichtlinien usw.).
DomainSid Zeichenfolge SID des Vertrauenspartners. Dieser Parameter wird möglicherweise nicht im Ereignis erfasst und in diesem Fall als "NULL SID" angezeigt.
EAPType Zeichenfolge Der Typ des Extensible Authentication Protocol (EAP), der für den Ereignisauthentifizierungsprozess verwendet wurde.
ElevatedToken Zeichenfolge Ein Flag "Ja" oder "Nein". Wenn "Ja" lautet, wird die Sitzung dieses Ereignis mit erhöhten Rechten versehen und verfügt über Administratorrechte.
ErrorCode int Enthält Fehlercode für Fehlerereignisse. Für Erfolgsereignisse hat dieser Parameter den Wert "0x0".
EventData Zeichenfolge Ereignisspezifische Daten, die dem Ereignis zugeordnet sind.
EventID int Der Bezeichner, den der Anbieter zum Identifizieren des Ereignisses verwendet hat.
EventLevelName Zeichenfolge Die gerenderte Nachrichtenzeichenfolge der im Ereignis angegebenen Ebene.
EventRecordId Zeichenfolge Die Datensatznummer, die dem Ereignis zugewiesen wurde, als es protokolliert wurde.
EventSourceName Zeichenfolge Der Name der Software, die das Ereignis protokolliert (applicationor a succomponent).
ExtendedQuarantineState Zeichenfolge Der Status des Netzwerkquarantäneprozesses, falls zutreffend. Die Netzwerkquarantäne ist ein Prozess, bei dem nicht autorisierte Geräte nicht auf ein Netzwerk zugreifen können, bis sie bestimmte Sicherheitsanforderungen erfüllen oder auf Schadsoftware überprüft wurden.
FailureReason Zeichenfolge Texterklärung des Status-Feldwerts. Für dieses Ereignis weist es in der Regel den Wert "Konto gesperrt" auf.
Dateihash Zeichenfolge Der Hashwert für alle Dateien, auf die als Teil des Ereignisses zugegriffen oder geändert wurde, oder dateien, die im Authentifizierungs- oder Autorisierungsprozess verwendet wurden.
FilePath Zeichenfolge Vollständiger Pfad und Dateiname der Schlüsseldatei, für die der Vorgang ausgeführt wurde.
FilePathNoUser Zeichenfolge Der Pfad aller Dateien, die sich auf das Ereignis beziehen, mit Ausnahme des Benutzernamens oder anderer benutzerspezifischer Informationen.
Filter Zeichenfolge Filter, die im ausgeführten Ereignis verwendet werden.
ForceLogoff Zeichenfolge "\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Abmelden beim Ablauf der Anmeldezeiten erzwingen" Gruppenrichtlinie.
Fqbn Zeichenfolge Der vollqualifizierte Binärname (FQBN) für alle Dateien, die mit dem Ereignis zusammenhängen.
FullyQualifiedSubjectMachineName Zeichenfolge Der vollqualifizierte Domänenname (FQDN) des Computers, der das Ereignis initiiert hat.
FullyQualifiedSubjectUserName Zeichenfolge Der Benutzername des Benutzers oder Diensts, der das Ereignis im FQDN-Format initiiert hat.
GroupMembership Zeichenfolge Die Liste der Gruppen-SIDs, zu denen das protokollierte Konto gehört (Mitglied). Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten im Ereignis angezeigt.
HandleId Zeichenfolge Hexadezimalwert eines Handles für den Objektnamen. Dieses Feld kann für die Korrelation mit anderen Ereignissen verwendet werden.
HardwareIds Zeichenfolge Attribut "Hardware-IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details":
HomeDirectory Zeichenfolge Das Startverzeichnis des Benutzers. Wenn das HomeDrive-Attribut festgelegt ist und einen Laufwerkbuchstaben angibt, sollte homeDirectory ein UNC-Pfad sein. Der Pfad muss ein Netzwerk-UNC des Formulars \Server\Share\Directory sein.
HomePath Zeichenfolge Der Startpfad des Benutzers. Der Pfad muss ein Netzwerk-UNC des Formulars \Server\Share\Directory sein.
InterfaceUuid Zeichenfolge Der eindeutige Bezeichner (UUID) für die Netzwerkschnittstelle, die für das Ereignis verwendet wurde.
IP-Adresse Zeichenfolge die dem Ereignis zugeordnete Netzwerkadresse (in der Regel IPv4 oder IPv6).
IpPort Zeichenfolge Die dem Ereignis zugeordnete Netzwerkportnummer.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
KeyLength int Die Länge des NTLM-Sitzungssicherheitsschlüssels. In der Regel hat es 128 Bit oder 56 Bit Länge.
Schlüsselwörter Zeichenfolge Eine Bitmaske der im Ereignis definierten Schlüsselwörter.
Ebene Zeichenfolge Windows kategorisiert jedes Ereignis mit einem Schweregrad. Die Ebenen in der Reihenfolge des Schweregrads sind Informationen, ausführliche, Warnungen, Fehler und kritisch, die in Zahlen ausgedrückt werden.
LmPackageName Zeichenfolge Der Name der Paket- oder Softwarekomponente, die derzeit die lokale Sicherheitsbehörde (Local Security Authority, LSA) auf dem Computer verwendet, auf dem das Ereignis generiert wird.
LocationInformation Zeichenfolge Attribut "Standortinformationen" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details":
LockoutDuration Zeichenfolge "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Kontosperrdauer" Gruppenrichtlinie. Ein numerischer Wert.
LockoutObservationWindow Zeichenfolge "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Kontosperrungsindikator zurücksetzen nach" Gruppenrichtlinie. Ein numerischer Wert.
LockoutThreshold Zeichenfolge Gruppenrichtlinie "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Schwellenwert für Kontosperrung". Ein numerischer Wert.
LoggingResult Zeichenfolge Das Ergebnis des Anmeldevorgangs.
LogonGuid Zeichenfolge Eine GUID, die Ihnen dabei helfen kann, dieses Ereignis mit einem anderen Ereignis zu korrelieren, das dieselbe Anmelde-GUID enthalten kann.
LogonHours Zeichenfolge Stunden, zu denen das Konto sich bei der Domäne anmelden darf.
LogonID Zeichenfolge Hexadezimalwert, der Ihnen dabei helfen kann, dieses Ereignis mit aktuellen Ereignissen zu korrelieren, die möglicherweise dieselbe Anmelde-ID enthalten.
LogonProcessName Zeichenfolge Der Name des registrierten Anmeldevorgangs.
LogonType int Der Typ der Anmeldung, die ausgeführt wurde.
LogonTypeName Zeichenfolge Der Typ des Anmelde- oder Authentifizierungsereignisses, das vom Ereignisprotokoll erfasst wird (allgemeine Werte: Interactive, Network, RemoteInteractive, Unlock).
MachineAccountQuota Zeichenfolge ms-DS-MachineAccountQuota domain attribute was modified. Ein numerischer Wert.
MachineInventory Zeichenfolge Informationen zur Hardwarekonfiguration und Softwareumgebung des Computers, auf dem das Ereignis generiert wird. Es kann verschiedene Datenpunkte enthalten, z. B. die Herstellung und das Modell des Computers, die Menge des verfügbaren RAM oder Speicherplatzes, die Versionsnummern verschiedener Softwareanwendungen usw.
MachineLogon Zeichenfolge Informationen zu einem erfolgreichen Anmeldeereignis auf dem Computer.
ManagementGroupName Zeichenfolge Zusätzliche Informationen basierend auf dem Ressourcentyp.
ObligatorLabel Zeichenfolge ID der Integritätsbezeichnung, die dem neuen Prozess zugewiesen wurde.
MaxPasswordAge Zeichenfolge Der Zeitraum (in Tagen), in dem ein Kennwort verwendet werden kann, bevor der Benutzer es ändern muss.
MemberName Zeichenfolge Das Benutzerkonto, das an dem Ereignis beteiligt war.
MemberSid Zeichenfolge Die Sicherheits-ID (SID), die dem Benutzerkonto zugeordnet ist, das an dem Ereignis beteiligt war.
MinPasswordAge Zeichenfolge Der Zeitraum (in Tagen), für den ein Kennwort verwendet werden muss, bevor der Benutzer es ändern muss.
MinPasswordLength Zeichenfolge Die geringste Anzahl von Zeichen, aus denen ein Kennwort für ein Benutzerkonto bestehen kann.
MixedDomainMode Zeichenfolge Der Domänenmodus eines Systems oder Domänencontrollers.
NASIdentifier Zeichenfolge Der Bezeichner des Netzwerkzugriffsservers (NAS), der an dem Ereignis beteiligt war.
NASIPv4Address Zeichenfolge Die IPv4Address des Netzwerkzugriffsservers (NAS), der ggf. an dem Ereignis beteiligt war.
NASIPv6Address Zeichenfolge Die IPv6Address des Netzwerkzugriffsservers (NAS), der ggf. an dem Ereignis beteiligt war.
NASPort Zeichenfolge den Port auf dem Netzwerkzugriffsserver, der im Ereignis verwendet wurde.
NASPortType Zeichenfolge der Typ des netzwerkzugriffsservers (NAS), der im Ereignis verwendet wird.
NetworkPolicyName Zeichenfolge Der Name der Netzwerkrichtlinie, die dem Ereignis zugeordnet ist.
NewDate Zeichenfolge Neues Datum in UTC-Zeitzone. Das Format lautet JJJJ-MM-TT.
NewMaxUsers Zeichenfolge Die neue maximale Anzahl von Benutzern, die für eine Ressource im Ereignis zulässig sind.
NewProcessId Zeichenfolge Hexadezimale Prozess-ID des neuen Prozesses. Die Prozess-ID (PROCESS ID, PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren.
NewProcessName Zeichenfolge Vollständiger Pfad und der Name der ausführbaren Datei für den neuen Prozess.
NewRemark Zeichenfolge Der neue Wert der Netzwerkfreigabe "Comments:" field. Hat den Wert "N/A", wenn er nicht festgelegt ist.
NewShareFlags Zeichenfolge Die Freigabekennzeichnungen, die einer Ressource im Ereignis zugeordnet sind, z. B.: Informationen dazu, ob die Ressource schreibgeschützt oder schreibgeschützt ist, ob sie ausgeblendet ist, und andere Parameter, die sich auf Zugriff und Berechtigungen auswirken können.
NewTime Zeichenfolge Neue Zeit, die in der UTC-Zeitzone festgelegt wurde. Das Format ist JJJJ-MM-DDThh:mm:ss.nnnZ
NewUacValue Zeichenfolge Gibt Kennzeichnungen an, die Kennwort, Sperrung, Deaktivierung/Aktivierung, Skript und anderes Verhalten für das Benutzerkonto steuern.
NewValue Zeichenfolge Neuer Wert für den geänderten Registrierungsschlüsselwert.
NewValueType Zeichenfolge Neuer Typ des geänderten Registrierungsschlüsselwerts.
ObjectName Zeichenfolge Name und andere identifizierende Informationen für das Objekt, für das der Zugriff angefordert wurde. For example, for a file, the path would be included.
ObjectServer Zeichenfolge Enthält den Namen des Windows-Subsystems, das die Routine aufruft.
ObjectType Zeichenfolge Der Typ eines Objekts, auf das während des Vorgangs zugegriffen wurde.
ObjectValueName Zeichenfolge Der Name des geänderten Registrierungsschlüsselwerts.
OemInformation Zeichenfolge Der Originalgerätehersteller (OEM), der einem Gerät oder System zugeordnet ist, im Ereignis.
OldMaxUsers Zeichenfolge Die vorherige maximale Anzahl von Benutzern, die für eine Ressource im Ereignis zulässig sind.
OldRemark Zeichenfolge der alte Wert der Netzwerkfreigabe "Comments:" field. Hat den Wert "N/A", wenn er nicht festgelegt ist.
OldShareFlags Zeichenfolge Die vorherigen Freigabekennzeichnungen, die einer Ressource im Ereignis zugeordnet sind, z. B.: Informationen dazu, ob die Ressource schreibgeschützt oder schreibgeschützt ist, ob sie ausgeblendet ist, und andere Parameter, die sich auf Zugriff und Berechtigungen auswirken können.
OldUacValue Zeichenfolge Gibt Kennzeichnungen an, die Kennwort, Sperrung, Deaktivierung/Aktivierung, Skript und anderes Verhalten für das Benutzerkonto steuern. Dieser Parameter enthält den vorherigen Wert des UserAccountControl-Attributs des Benutzerobjekts.
OldValue Zeichenfolge Alter Wert für geänderten Registrierungsschlüsselwert.
OldValueType Zeichenfolge Alter Typ des geänderten Registrierungsschlüsselwerts.
Opcode Zeichenfolge Das opcode-Element wird vom komplexen Typ "SystemPropertiesType" definiert.
OperationType Zeichenfolge Der Typ des Vorgangs, der für ein Objekt ausgeführt wurde
PackageName Zeichenfolge Der Name des LAN Manager-Unterpakets (NTLM-Family-Protokollname), das bei der Anmeldung verwendet wurde.
ParentProcessName Zeichenfolge Der Name des übergeordneten Prozesses, der dem Ereignis zugeordnet ist.
PasswordHistoryLength Zeichenfolge \Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwortverlauf erzwingen" Gruppenrichtlinie. Ein numerischer Wert.
PasswordLastSet Zeichenfolge Zeitpunkt der letzten Änderung des Kennworts des Kontos.
PasswordProperties Zeichenfolge Die Kennwortrichtlinien oder Eigenschaften, die dem Ereignis zugeordnet sind, z. B. Kennwortlänge, Komplexität und Ablaufdatum.
Vorheriges Datum Zeichenfolge Das vorherige Datum, das dem Ereignis zugeordnet ist.
PreviousTime Zeichenfolge Vorherige Zeit in UTC-Zeitzone. Das Format ist JJJJ-MM-DDThh:mm:ss.nnnZ.
PrimaryGroupId Zeichenfolge Relative Id (RID) der primären Gruppe des Objekts des Benutzers.
PrivateKeyUsageCount Zeichenfolge Die Häufigkeit, mit der ein privater Schlüssel verwendet wurde.
PrivilegeList Zeichenfolge Die Berechtigungen, einschließlich Benutzer-, Gruppen- oder Systemberechtigungen, die dem Ereignis zugeordnet sind.
Prozess Zeichenfolge Der Name des Prozesses, der das Ereignis generiert.
ProcessId Zeichenfolge Gibt den Prozess an, der das Ereignis generiert hat
ProcessName Zeichenfolge Vollständiger Pfad und der Name der ausführbaren Datei für den Prozess.
ProfilePath Zeichenfolge Gibt einen Pfad zum Profil des Kontos an. Dieser Wert kann eine NULL-Zeichenfolge, ein lokaler absoluter Pfad oder ein UNC-Pfad sein.
Eigenschaften Zeichenfolge Hängt vom Objekttyp ab. Dieses Feld kann leer sein oder die Liste der Objekteigenschaften enthalten, auf die zugegriffen wurde.
ProtocolSequence Zeichenfolge Informationen zum Protokoll, das für einen Authentifizierungsversuch verwendet wird.
ProxyPolicyName Zeichenfolge Name der Richtlinie, die zum Konfigurieren des Proxyservers für die Verbindung mit dem Netzwerk verwendet wurde.
QuarantineHelpURL Zeichenfolge URL, die Hilfe bei der Problembehandlung eines Netzwerkquarantäneproblems bietet.
QuarantineSessionID Zeichenfolge Bezeichner der Sitzung, in der die Datei zur Quarantäne bewertet wurde.
QuarantineSessionIdentifier Zeichenfolge Bezeichner der Sitzung, in der die Datei zur Quarantäne bewertet wurde.
QuarantineState Zeichenfolge Es wird angezeigt, ob die Datei unter Quarantäne gestellt wird.
QuarantineSystemHealthResult Zeichenfolge Bericht, der den Status der Dateien anzeigt, die unter Quarantäne gestellt wurden.
RelativeTargetName Zeichenfolge Relativer Name der Zieldatei oder des Ordners, auf die zugegriffen wird. Dieser Dateipfad ist relativ zur Netzwerkfreigabe. Wenn der Zugriff für die Freigabe selbst angefordert wurde, wird dieses Feld als "" angezeigt.
RemoteIpAddress Zeichenfolge Die IP-Adresse des Computers, der eine Remoteverbindung initiiert hat.
RemotePort Zeichenfolge Die Portnummer des Remotecomputers, der eine Verbindung initiiert hat.
Name der anfordernden Person Zeichenfolge Der Ereignisanforderungsbezeichner.
RequestId Zeichenfolge Ein eindeutiger Bezeichner, der bestimmten Anforderungen zugeordnet ist, z. B. solche, die über HTTP vorgenommen wurden.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
RestrictedAdminMode Zeichenfolge Wird nur für RemoteInteractive-Anmeldetypsitzungen aufgefüllt. Dies ist ein Ja/Nein-Flag, das angibt, ob die bereitgestellten Anmeldeinformationen im Eingeschränkten Administratormodus übergeben wurden. Der eingeschränkte Administratormodus wurde in Win8.1/2012R2 hinzugefügt, dieses Flag wurde jedoch dem Ereignis in Win10 hinzugefügt.
RowsDeleted Zeichenfolge Die Anzahl der Zeilen, die als Teil eines bestimmten Vorgangs gelöscht wurden.
SamAccountName Zeichenfolge Anmeldename für konto, der zur Unterstützung von Clients und Servern aus früheren Versionen von Windows verwendet wird (Vor-Windows 2000-Anmeldename).
scriptPath Zeichenfolge Gibt den Pfad des Anmeldeskripts des Kontos an.
SecurityDescriptor Zeichenfolge Informationen zu den Sicherheitseinstellungen und Berechtigungen eines bestimmten Objekts oder einer bestimmten Ressource.
ServiceAccount Zeichenfolge Der Sicherheitskontext, den der Dienst beim Starten ausführt.
ServiceFileName Zeichenfolge Gibt den Diensttyp an, der beim Dienststeuerungs-Manager registriert wurde.
ServiceName Zeichenfolge Der Name des installierten Diensts.
ServiceStartType int Enthält Informationen dazu, wie ein bestimmter Dienst gestartet werden soll, unabhängig davon, ob er automatisch oder manuell gestartet werden soll.
ServiceType Zeichenfolge Gibt den Diensttyp an, der beim Dienststeuerungs-Manager registriert wurde.
SessionName Zeichenfolge Der Name der Sitzung, mit der der Benutzer erneut verbunden wurde.
ShareLocalPath Zeichenfolge Der lokale Pfad der Netzwerkfreigabe.
ShareName Zeichenfolge Der Name der netzwerkfreigabe, auf die zugegriffen wird. Das Format lautet: \*\SHARE_NAME.
SidHistory Zeichenfolge Enthält vorherige SIDs, die für das Objekt verwendet werden, wenn das Objekt aus einer anderen Domäne verschoben wurde.
SourceComputerId Zeichenfolge Eindeutiger Bezeichner, der jedem Computer in einer Windows-Domäne zugewiesen ist.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
Status Zeichenfolge Der Grund, warum die Anmeldung fehlgeschlagen ist. Für dieses Ereignis weist es in der Regel den Wert "0xC0000234" auf. Die häufigsten Statuscodes sind in Tabelle 12 aufgeführt. Windows-Anmeldestatuscodes.
StorageAccount Zeichenfolge Legt den Zugriffsschlüssel für das Speicherkonto fest.
SubcategoryGuid Zeichenfolge Die eindeutige GUID der geänderten Unterkategorie.
SubcategoryId Zeichenfolge Ein eindeutiger Bezeichner für einen bestimmten Typ des Ereignisses.
Betreff Zeichenfolge Informationen zum Sicherheitsprinzipal (z. B. Benutzerkonto), das das Ereignis initiiert hat.
SubjectAccount Zeichenfolge Informationen zum Konto, das das Ereignis initiiert.
SubjectDomainName Zeichenfolge Informationen zur Domäne oder Arbeitsgruppe, zu der das Betreffkonto gehört.
SubjectKeyIdentifier Zeichenfolge Ein eindeutiger Bezeichner für einen bestimmten Zertifikatantragsteller.
SubjectLogonId Zeichenfolge Ein eindeutiger Bezeichner für die Anmeldesitzung, die dem Betreffkonto zugeordnet ist.
SubjectMachineName Zeichenfolge Informationen zum Computer oder System, von dem das Ereignis erstellt wurde.
SubjectMachineSID Zeichenfolge Die Sicherheits-ID (SID) für den Computer, auf dem das Ereignis generiert wurde.
SubjectUserName Zeichenfolge Der Name des Benutzerkontos, das das Ereignis generiert hat.
SubjectUserSid Zeichenfolge Die Sicherheits-ID (SID) für das Benutzerkonto, das das Ereignis generiert hat.
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
SubStatus Zeichenfolge Zusätzliche Informationen zum Anmeldefehler. Die häufigsten Unterstatuscodes, die in der Tabelle 12 aufgeführt sind. Windows-Anmeldestatuscodes'.
SystemProcessId int Gibt den Prozess an, der das Ereignis generiert hat
SystemThreadId int Gibt den Thread an, der das Ereignis generiert hat
SystemUserId Zeichenfolge Die ID des Benutzers, der für das Ereignis verantwortlich ist.
TableId Zeichenfolge Die spezifische Datentabelle bezeichner, in der die Ereignisdaten gespeichert werden.
TargetAccount Zeichenfolge Das Konto, das auf das Ereignis abzielt (Benutzername, Computername usw.).
TargetDomainName Zeichenfolge Der Name der Domäne, zu der das Zielkonto gehört.
TargetInfo Zeichenfolge Zusätzliche Informationen zum Ereignisziel (z. B. der Pfad zu einer Datei oder einem Ordner, der Name eines Registrierungsschlüssels usw.).
TargetLinkedLogonId Zeichenfolge Informationen, die dazu beiträgt, verwandte Ereignisse anhand ihrer Anmeldeversuchs-IDs miteinander zu verknüpfen. Es kann hilfreich sein, alle relevanten Ereignisse organisiert zu halten, Aktivitäten über mehrere Sitzungen hinweg zu verfolgen und die Angriffsquelle zu identifizieren.
TargetLogonGuid Zeichenfolge Eine GUID (Globally Unique Identifier), die der Anmeldesitzung im Zusammenhang mit dem Ereignis zugeordnet ist.
TargetLogonId Zeichenfolge Ein eindeutiger Bezeichner, der der Anmeldesitzung im Zusammenhang mit dem Ereignis zugeordnet ist.
TargetOutboundDomainName Zeichenfolge Die Domäne, für die das im Feld "TargetAccount" angegebene Konto bei einem ausgehenden Authentifizierungsversuch authentifiziert wurde.
TargetOutboundUserName Zeichenfolge Der Name des Benutzerkontos, das bei einem ausgehenden Authentifizierungsversuch authentifiziert wurde.
TargetServerName Zeichenfolge Der Name des Servers, auf dem der neue Prozess ausgeführt wurde. Hat den Wert "localhost", wenn der Prozess lokal ausgeführt wurde.
TargetSid Zeichenfolge Die Sicherheits-ID (SID) des Servers, auf dem der neue Prozess ausgeführt wurde.
TargetUser Zeichenfolge Der Benutzerkontobezeichner, der den neuen Prozess generiert hat.
TargetUserName Zeichenfolge Der Name des Benutzerkontos, das den neuen Prozess generiert hat.
TargetUserSid Zeichenfolge Die Sicherheits-ID (SID), die dem Benutzer oder der Ressource zugeordnet ist, der an dem Ereignis beteiligt ist.
Aufgabe int Die im Ereignis definierte Aufgabe.
TemplateContent Zeichenfolge Der Inhalt der Ereignisnachricht oder Benachrichtigung in einem strukturierten Formular.
TemplateDSObjectFQDN Zeichenfolge FQDN des DS-Objekts, das die GPO-Vorlage darstellt.
TemplateInternalName Zeichenfolge Der interne Name der GPO-Vorlage.
TemplateOID Zeichenfolge der eindeutige Bezeichner für die Vorlage, die zum Erstellen des Ereignisses verwendet wurde.
TemplateSchemaVersion Zeichenfolge Version des Vorlagenschemas, das die Daten definiert, die in ein Ereignis eingeschlossen werden sollen.
TemplateVersion Zeichenfolge Version der Vorlage, die die Daten definiert, die in ein Ereignis eingeschlossen werden sollen.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Der Zeitstempel, zu dem das Ereignis auf dem Computer generiert wurde.
TokenElevationType Zeichenfolge Typ des Tokens, das einem neuen Prozess gemäß der Richtlinie zur Benutzerkontensteuerung zugewiesen wurde.
Übertragene Dienste Zeichenfolge Die Liste der übertragenen Dienste. Übertragene Dienste werden aufgefüllt, wenn die Anmeldung ein Ergebnis eines S4U-Anmeldevorgangs (Service for User) war. S4U ist eine Microsoft-Erweiterung für das Kerberos-Protokoll, um einem Anwendungsdienst das Abrufen eines Kerberos-Diensttickets im Namen eines Benutzers zu ermöglichen . Dies geschieht am häufigsten von einer Front-End-Website für den Zugriff auf eine interne Ressource im Namen eines Benutzers. Weitere Informationen zu S4U finden Sie unter https://msdn.microsoft.com/library/cc246072.aspx.
type Zeichenfolge Der Name der Tabelle.
UserAccountControl Zeichenfolge Zeigt die Liste der Änderungen im UserAccountControl-Attribut an. Für jede Änderung wird eine Textzeile angezeigt.
UserParameters Zeichenfolge Wenn Sie eine Einstellung mithilfe von Active Directory-Benutzer und -Computer Verwaltungskonsole in der Registerkarte "Einwahl" der Kontoeigenschaften des Benutzers ändern, wird <der Wert geändert, aber in diesem Feld nicht angezeigt>. Für lokale Konten ist dieses Feld nicht anwendbar und hat <immer keinen Wert festgelegt> .
UserPrincipalName Zeichenfolge Anmeldename im Internetstil für das Konto, basierend auf dem Internetstandard RFC 822. In der Konvention sollte dies dem E-Mail-Namen des Kontos zugeordnet werden.
UserWorkstations Zeichenfolge Enthält die Liste der NetBIOS- oder DNS-Namen der Computer, von denen sich der Benutzer anmelden kann. Jeder Computername wird durch ein Komma getrennt. Der Name eines Computers ist die sAMAccountName-Eigenschaft eines Computerobjekts.
VendorIds Zeichenfolge Attribut "Hardware-IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details".
Version int Enthält die Versionsnummer der Ereignisdefinition.
VirtualAccount Zeichenfolge Ein Flag "Ja" oder "Nein", das angibt, ob das Konto ein virtuelles Konto ist (z. B. "Verwaltetes Dienstkonto"), das in Windows 7 und Windows Server 2008 R2 eingeführt wurde, um das Konto zu identifizieren, das ein bestimmter Dienst verwendet, anstatt nur "NetworkService" zu verwenden.
Arbeitsstation Zeichenfolge Der Name des Computers, der zum Ausführen des Ereignisses verwendet wurde.
WorkstationName Zeichenfolge Computername, von dem ein Anmeldeversuch ausgeführt wurde.