SecurityEvent
Sicherheitsereignisse, die von Windows-Computern von Azure Security Center oder Azure Sentinel gesammelt werden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Kategorien | Sicherheit |
Lösungen | Sicherheit, SecurityInsights |
Standardprotokoll | No |
Erfassungszeittransformation | Ja |
Beispielabfragen | Ja |
Spalten
Spalte | Type | Beschreibung |
---|---|---|
AccessMask | Zeichenfolge | Hexadezimalmaske für den angeforderten oder ausgeführten Vorgang. |
Konto | Zeichenfolge | Der Sicherheitskontext für Dienste oder Benutzer. |
AccountDomain | Zeichenfolge | Der Domänen- oder Computername des Betreffs. |
AccountExpires | Zeichenfolge | Das Datum, an dem das Konto abläuft. |
AccountName | Zeichenfolge | Der Name des Kontos, das den Vorgang "Domänenvertrauensstellung entfernen" angefordert hat. |
AccountSessionIdentifier | Zeichenfolge | Ein eindeutiger Bezeichner, der beim Erstellen der Sitzung vom Computer generiert wird. |
AccountType | Zeichenfolge | Gibt an, ob es sich bei dem Konto um ein Computerkonto (Computer) oder um ein Benutzer handelt. |
Aktivität | Zeichenfolge | Der beschreibende Titel des Ereignisses ist aufgetreten. |
AdditionalInfo | Zeichenfolge | Zusätzliche Informationen, die von der Quelle bereitgestellt werden, die nicht anderen Feldern zugeordnet sind, dargestellt durch die Liste. |
AdditionalInfo2 | Zeichenfolge | Zusätzliche Informationen, die von der Quelle bereitgestellt werden, die nicht anderen Feldern zugeordnet sind, dargestellt durch die Liste. |
AllowedToDelegateTo | Zeichenfolge | Die Liste der SPNs, für die dieses Konto delegierte Anmeldeinformationen darstellen kann. |
Attribute | Zeichenfolge | Weitere Informationen zum Ereignis. |
AuditPolicyChanges | Zeichenfolge | Ereignisse, die generiert werden, wenn Änderungen an der Systemüberwachungsrichtlinie oder den Überwachungseinstellungen für eine Datei oder einen Registrierungsschlüssel vorgenommen werden. |
AuditsDiscarded | int | Anzahl der Überwachungsnachrichten, die verworfen wurden. |
AuthenticationLevel | int | Anzahl der Überwachungsnachrichten, die verworfen wurden. |
AuthenticationPackageName | Zeichenfolge | der Name des geladenen Authentifizierungspakets. Das Format lautet: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
AuthenticationProvider | Zeichenfolge | Die Identität des anbieters, der für den Authentifizierungsprozess verantwortlich ist (kann eine Zertifizierungsstelle, einen Benutzernamen, ein Kennwortauthentifizierungssystem usw.) umfassen. |
AuthenticationServer | Zeichenfolge | Der Server, auf dem sich der Authentifizierungsanbieter befindet. |
AuthenticationService | int | Der Dienst, in dem sich der Authentifizierungsanbieter befindet. |
AuthenticationType | Zeichenfolge | Der Typ der Authentifizierung, die für das Ereignis verwendet wurde (zweistufige Authentifizierung, biometrische Authentifizierung usw.). |
AzureDeploymentID | Zeichenfolge | Die Azure-Bereitstellungs-ID des Clouddiensts, zu dem das Protokoll gehört |
_BilledSize | real | Die Datensatzgröße in Bytes. |
CACertificateHash | Zeichenfolge | Der Hashwert des Zertifikats der Zertifizierungsstelle, das verwendet wurde, um den Benutzer zu authentifizieren, der das Ereignis ausgeführt hat. |
CalledStationID | Zeichenfolge | Informationen zur ID der Station, die die Aktion initiiert hat, die zum Sicherheitsereignis führte. |
CallerProcessId | Zeichenfolge | Hexadezimale Prozess-ID des Prozesses, der die Anmeldung versucht hat. Die Prozess-ID (PROCESS ID, PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren. |
CallerProcessName | Zeichenfolge | Vollständiger Pfad und der Name der ausführbaren Datei für den Prozess. |
CallingStationID | Zeichenfolge | Informationen zur ID der Station, die die Aktion initiiert hat, die zum Sicherheitsereignis führte. |
CAPublicKeyHash | Zeichenfolge | Hashwert, der den öffentlichen Schlüssel einer Zertifizierungsstelle identifiziert, die ein Zertifikat ausgestellt hat. |
CategoryId | Zeichenfolge | Die Kategorie des aufgetretenen Sicherheitsereignisses (Anmeldeversuch, Datenschutzverletzung usw.). |
CertificateDatabaseHash | Zeichenfolge | Hashwert, der die Datenbank identifiziert, die ein Zertifikat ausgestellt hat. |
Kanal | Zeichenfolge | Der Kanal, in dem das Ereignis protokolliert wurde. |
ClassId | Zeichenfolge | 'Class Guid'-Attribut des Geräts. |
ClassName | Zeichenfolge | 'Class'-Attribut des Geräts. |
ClientAddress | Zeichenfolge | IP-Adresse des Computers, von dem die TGT-Anforderung empfangen wurde. |
ClientIPAddress | Zeichenfolge | IP-Adresse des Computers, der die Aktion initiiert hat, die zum Ereignis geführt hat. |
ClientName | Zeichenfolge | Computername, von dem der Benutzer erneut verbunden wurde. Hat den Wert "Unbekannt" für konsolensitzung. |
CommandLine | Zeichenfolge | Die Befehlszeilenargumente, die an eine Anwendung oder einen Prozess übergeben wurden, die an das Ereignis beteiligt waren. |
CompatibleIds | Zeichenfolge | Attribut "Kompatible IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details": |
Computer | Zeichenfolge | Der Name des Computers, auf dem das Ereignis aufgetreten ist. |
Correlation | Zeichenfolge | Die Aktivitäts-IDs, die Consumer zum Gruppieren verwandter Ereignisse verwenden können. |
DCDNSName | Zeichenfolge | Der DNS-Name des Domänencontrollers, der an dem Ereignis beteiligt war. |
DeviceDescription | Zeichenfolge | die Beschreibung des Geräts, das an dem Ereignis beteiligt war. |
DeviceId | Zeichenfolge | Der eindeutige Bezeichner des Geräts, das an dem Ereignis beteiligt war. |
DisplayName | Zeichenfolge | Es handelt sich um einen Namen, der im Adressbuch für ein bestimmtes Konto angezeigt wird. Dies ist in der Regel die Kombination aus vornamen, vornamen und nachname des Benutzers. |
Disposition | Zeichenfolge | Das Ereignisergebnis/die Auflösung, z. B. ob das Ereignis aufgelöst wurde oder ob eine Aktion als Reaktion auf das Ereignis ausgeführt wurde. |
DomainBehaviorVersion | Zeichenfolge | msDS-Behavior-Version-Domänenattribut wurde geändert. Ein numerischer Wert. |
DomainName | Zeichenfolge | Der Name der entfernten vertrauenswürdigen Domäne. |
DomainPolicyChanged | Zeichenfolge | Gibt an, ob Domänenrichtlinien im Rahmen des Ereignisses geändert wurden (Kennwortrichtlinien, Sicherheitsrichtlinien usw.). |
DomainSid | Zeichenfolge | SID des Vertrauenspartners. Dieser Parameter wird möglicherweise nicht im Ereignis erfasst und in diesem Fall als "NULL SID" angezeigt. |
EAPType | Zeichenfolge | Der Typ des Extensible Authentication Protocol (EAP), der für den Ereignisauthentifizierungsprozess verwendet wurde. |
ElevatedToken | Zeichenfolge | Ein Flag "Ja" oder "Nein". Wenn "Ja" lautet, wird die Sitzung dieses Ereignis mit erhöhten Rechten versehen und verfügt über Administratorrechte. |
ErrorCode | int | Enthält Fehlercode für Fehlerereignisse. Für Erfolgsereignisse hat dieser Parameter den Wert "0x0". |
EventData | Zeichenfolge | Ereignisspezifische Daten, die dem Ereignis zugeordnet sind. |
EventID | int | Der Bezeichner, den der Anbieter zum Identifizieren des Ereignisses verwendet hat. |
EventLevelName | Zeichenfolge | Die gerenderte Nachrichtenzeichenfolge der im Ereignis angegebenen Ebene. |
EventRecordId | Zeichenfolge | Die Datensatznummer, die dem Ereignis zugewiesen wurde, als es protokolliert wurde. |
EventSourceName | Zeichenfolge | Der Name der Software, die das Ereignis protokolliert (applicationor a succomponent). |
ExtendedQuarantineState | Zeichenfolge | Der Status des Netzwerkquarantäneprozesses, falls zutreffend. Die Netzwerkquarantäne ist ein Prozess, bei dem nicht autorisierte Geräte nicht auf ein Netzwerk zugreifen können, bis sie bestimmte Sicherheitsanforderungen erfüllen oder auf Schadsoftware überprüft wurden. |
FailureReason | Zeichenfolge | Texterklärung des Status-Feldwerts. Für dieses Ereignis weist es in der Regel den Wert "Konto gesperrt" auf. |
Dateihash | Zeichenfolge | Der Hashwert für alle Dateien, auf die als Teil des Ereignisses zugegriffen oder geändert wurde, oder dateien, die im Authentifizierungs- oder Autorisierungsprozess verwendet wurden. |
FilePath | Zeichenfolge | Vollständiger Pfad und Dateiname der Schlüsseldatei, für die der Vorgang ausgeführt wurde. |
FilePathNoUser | Zeichenfolge | Der Pfad aller Dateien, die sich auf das Ereignis beziehen, mit Ausnahme des Benutzernamens oder anderer benutzerspezifischer Informationen. |
Filter | Zeichenfolge | Filter, die im ausgeführten Ereignis verwendet werden. |
ForceLogoff | Zeichenfolge | "\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Abmelden beim Ablauf der Anmeldezeiten erzwingen" Gruppenrichtlinie. |
Fqbn | Zeichenfolge | Der vollqualifizierte Binärname (FQBN) für alle Dateien, die mit dem Ereignis zusammenhängen. |
FullyQualifiedSubjectMachineName | Zeichenfolge | Der vollqualifizierte Domänenname (FQDN) des Computers, der das Ereignis initiiert hat. |
FullyQualifiedSubjectUserName | Zeichenfolge | Der Benutzername des Benutzers oder Diensts, der das Ereignis im FQDN-Format initiiert hat. |
GroupMembership | Zeichenfolge | Die Liste der Gruppen-SIDs, zu denen das protokollierte Konto gehört (Mitglied). Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten im Ereignis angezeigt. |
HandleId | Zeichenfolge | Hexadezimalwert eines Handles für den Objektnamen. Dieses Feld kann für die Korrelation mit anderen Ereignissen verwendet werden. |
HardwareIds | Zeichenfolge | Attribut "Hardware-IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details": |
HomeDirectory | Zeichenfolge | Das Startverzeichnis des Benutzers. Wenn das HomeDrive-Attribut festgelegt ist und einen Laufwerkbuchstaben angibt, sollte homeDirectory ein UNC-Pfad sein. Der Pfad muss ein Netzwerk-UNC des Formulars \Server\Share\Directory sein. |
HomePath | Zeichenfolge | Der Startpfad des Benutzers. Der Pfad muss ein Netzwerk-UNC des Formulars \Server\Share\Directory sein. |
InterfaceUuid | Zeichenfolge | Der eindeutige Bezeichner (UUID) für die Netzwerkschnittstelle, die für das Ereignis verwendet wurde. |
IP-Adresse | Zeichenfolge | die dem Ereignis zugeordnete Netzwerkadresse (in der Regel IPv4 oder IPv6). |
IpPort | Zeichenfolge | Die dem Ereignis zugeordnete Netzwerkportnummer. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
KeyLength | int | Die Länge des NTLM-Sitzungssicherheitsschlüssels. In der Regel hat es 128 Bit oder 56 Bit Länge. |
Schlüsselwörter | Zeichenfolge | Eine Bitmaske der im Ereignis definierten Schlüsselwörter. |
Ebene | Zeichenfolge | Windows kategorisiert jedes Ereignis mit einem Schweregrad. Die Ebenen in der Reihenfolge des Schweregrads sind Informationen, ausführliche, Warnungen, Fehler und kritisch, die in Zahlen ausgedrückt werden. |
LmPackageName | Zeichenfolge | Der Name der Paket- oder Softwarekomponente, die derzeit die lokale Sicherheitsbehörde (Local Security Authority, LSA) auf dem Computer verwendet, auf dem das Ereignis generiert wird. |
LocationInformation | Zeichenfolge | Attribut "Standortinformationen" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details": |
LockoutDuration | Zeichenfolge | "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Kontosperrdauer" Gruppenrichtlinie. Ein numerischer Wert. |
LockoutObservationWindow | Zeichenfolge | "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Kontosperrungsindikator zurücksetzen nach" Gruppenrichtlinie. Ein numerischer Wert. |
LockoutThreshold | Zeichenfolge | Gruppenrichtlinie "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Schwellenwert für Kontosperrung". Ein numerischer Wert. |
LoggingResult | Zeichenfolge | Das Ergebnis des Anmeldevorgangs. |
LogonGuid | Zeichenfolge | Eine GUID, die Ihnen dabei helfen kann, dieses Ereignis mit einem anderen Ereignis zu korrelieren, das dieselbe Anmelde-GUID enthalten kann. |
LogonHours | Zeichenfolge | Stunden, zu denen das Konto sich bei der Domäne anmelden darf. |
LogonID | Zeichenfolge | Hexadezimalwert, der Ihnen dabei helfen kann, dieses Ereignis mit aktuellen Ereignissen zu korrelieren, die möglicherweise dieselbe Anmelde-ID enthalten. |
LogonProcessName | Zeichenfolge | Der Name des registrierten Anmeldevorgangs. |
LogonType | int | Der Typ der Anmeldung, die ausgeführt wurde. |
LogonTypeName | Zeichenfolge | Der Typ des Anmelde- oder Authentifizierungsereignisses, das vom Ereignisprotokoll erfasst wird (allgemeine Werte: Interactive, Network, RemoteInteractive, Unlock). |
MachineAccountQuota | Zeichenfolge | ms-DS-MachineAccountQuota domain attribute was modified. Ein numerischer Wert. |
MachineInventory | Zeichenfolge | Informationen zur Hardwarekonfiguration und Softwareumgebung des Computers, auf dem das Ereignis generiert wird. Es kann verschiedene Datenpunkte enthalten, z. B. die Herstellung und das Modell des Computers, die Menge des verfügbaren RAM oder Speicherplatzes, die Versionsnummern verschiedener Softwareanwendungen usw. |
MachineLogon | Zeichenfolge | Informationen zu einem erfolgreichen Anmeldeereignis auf dem Computer. |
ManagementGroupName | Zeichenfolge | Zusätzliche Informationen basierend auf dem Ressourcentyp. |
ObligatorLabel | Zeichenfolge | ID der Integritätsbezeichnung, die dem neuen Prozess zugewiesen wurde. |
MaxPasswordAge | Zeichenfolge | Der Zeitraum (in Tagen), in dem ein Kennwort verwendet werden kann, bevor der Benutzer es ändern muss. |
MemberName | Zeichenfolge | Das Benutzerkonto, das an dem Ereignis beteiligt war. |
MemberSid | Zeichenfolge | Die Sicherheits-ID (SID), die dem Benutzerkonto zugeordnet ist, das an dem Ereignis beteiligt war. |
MinPasswordAge | Zeichenfolge | Der Zeitraum (in Tagen), für den ein Kennwort verwendet werden muss, bevor der Benutzer es ändern muss. |
MinPasswordLength | Zeichenfolge | Die geringste Anzahl von Zeichen, aus denen ein Kennwort für ein Benutzerkonto bestehen kann. |
MixedDomainMode | Zeichenfolge | Der Domänenmodus eines Systems oder Domänencontrollers. |
NASIdentifier | Zeichenfolge | Der Bezeichner des Netzwerkzugriffsservers (NAS), der an dem Ereignis beteiligt war. |
NASIPv4Address | Zeichenfolge | Die IPv4Address des Netzwerkzugriffsservers (NAS), der ggf. an dem Ereignis beteiligt war. |
NASIPv6Address | Zeichenfolge | Die IPv6Address des Netzwerkzugriffsservers (NAS), der ggf. an dem Ereignis beteiligt war. |
NASPort | Zeichenfolge | den Port auf dem Netzwerkzugriffsserver, der im Ereignis verwendet wurde. |
NASPortType | Zeichenfolge | der Typ des netzwerkzugriffsservers (NAS), der im Ereignis verwendet wird. |
NetworkPolicyName | Zeichenfolge | Der Name der Netzwerkrichtlinie, die dem Ereignis zugeordnet ist. |
NewDate | Zeichenfolge | Neues Datum in UTC-Zeitzone. Das Format lautet JJJJ-MM-TT. |
NewMaxUsers | Zeichenfolge | Die neue maximale Anzahl von Benutzern, die für eine Ressource im Ereignis zulässig sind. |
NewProcessId | Zeichenfolge | Hexadezimale Prozess-ID des neuen Prozesses. Die Prozess-ID (PROCESS ID, PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren. |
NewProcessName | Zeichenfolge | Vollständiger Pfad und der Name der ausführbaren Datei für den neuen Prozess. |
NewRemark | Zeichenfolge | Der neue Wert der Netzwerkfreigabe "Comments:" field. Hat den Wert "N/A", wenn er nicht festgelegt ist. |
NewShareFlags | Zeichenfolge | Die Freigabekennzeichnungen, die einer Ressource im Ereignis zugeordnet sind, z. B.: Informationen dazu, ob die Ressource schreibgeschützt oder schreibgeschützt ist, ob sie ausgeblendet ist, und andere Parameter, die sich auf Zugriff und Berechtigungen auswirken können. |
NewTime | Zeichenfolge | Neue Zeit, die in der UTC-Zeitzone festgelegt wurde. Das Format ist JJJJ-MM-DDThh:mm:ss.nnnZ |
NewUacValue | Zeichenfolge | Gibt Kennzeichnungen an, die Kennwort, Sperrung, Deaktivierung/Aktivierung, Skript und anderes Verhalten für das Benutzerkonto steuern. |
NewValue | Zeichenfolge | Neuer Wert für den geänderten Registrierungsschlüsselwert. |
NewValueType | Zeichenfolge | Neuer Typ des geänderten Registrierungsschlüsselwerts. |
ObjectName | Zeichenfolge | Name und andere identifizierende Informationen für das Objekt, für das der Zugriff angefordert wurde. For example, for a file, the path would be included. |
ObjectServer | Zeichenfolge | Enthält den Namen des Windows-Subsystems, das die Routine aufruft. |
ObjectType | Zeichenfolge | Der Typ eines Objekts, auf das während des Vorgangs zugegriffen wurde. |
ObjectValueName | Zeichenfolge | Der Name des geänderten Registrierungsschlüsselwerts. |
OemInformation | Zeichenfolge | Der Originalgerätehersteller (OEM), der einem Gerät oder System zugeordnet ist, im Ereignis. |
OldMaxUsers | Zeichenfolge | Die vorherige maximale Anzahl von Benutzern, die für eine Ressource im Ereignis zulässig sind. |
OldRemark | Zeichenfolge | der alte Wert der Netzwerkfreigabe "Comments:" field. Hat den Wert "N/A", wenn er nicht festgelegt ist. |
OldShareFlags | Zeichenfolge | Die vorherigen Freigabekennzeichnungen, die einer Ressource im Ereignis zugeordnet sind, z. B.: Informationen dazu, ob die Ressource schreibgeschützt oder schreibgeschützt ist, ob sie ausgeblendet ist, und andere Parameter, die sich auf Zugriff und Berechtigungen auswirken können. |
OldUacValue | Zeichenfolge | Gibt Kennzeichnungen an, die Kennwort, Sperrung, Deaktivierung/Aktivierung, Skript und anderes Verhalten für das Benutzerkonto steuern. Dieser Parameter enthält den vorherigen Wert des UserAccountControl-Attributs des Benutzerobjekts. |
OldValue | Zeichenfolge | Alter Wert für geänderten Registrierungsschlüsselwert. |
OldValueType | Zeichenfolge | Alter Typ des geänderten Registrierungsschlüsselwerts. |
Opcode | Zeichenfolge | Das opcode-Element wird vom komplexen Typ "SystemPropertiesType" definiert. |
OperationType | Zeichenfolge | Der Typ des Vorgangs, der für ein Objekt ausgeführt wurde |
PackageName | Zeichenfolge | Der Name des LAN Manager-Unterpakets (NTLM-Family-Protokollname), das bei der Anmeldung verwendet wurde. |
ParentProcessName | Zeichenfolge | Der Name des übergeordneten Prozesses, der dem Ereignis zugeordnet ist. |
PasswordHistoryLength | Zeichenfolge | \Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwortverlauf erzwingen" Gruppenrichtlinie. Ein numerischer Wert. |
PasswordLastSet | Zeichenfolge | Zeitpunkt der letzten Änderung des Kennworts des Kontos. |
PasswordProperties | Zeichenfolge | Die Kennwortrichtlinien oder Eigenschaften, die dem Ereignis zugeordnet sind, z. B. Kennwortlänge, Komplexität und Ablaufdatum. |
Vorheriges Datum | Zeichenfolge | Das vorherige Datum, das dem Ereignis zugeordnet ist. |
PreviousTime | Zeichenfolge | Vorherige Zeit in UTC-Zeitzone. Das Format ist JJJJ-MM-DDThh:mm:ss.nnnZ. |
PrimaryGroupId | Zeichenfolge | Relative Id (RID) der primären Gruppe des Objekts des Benutzers. |
PrivateKeyUsageCount | Zeichenfolge | Die Häufigkeit, mit der ein privater Schlüssel verwendet wurde. |
PrivilegeList | Zeichenfolge | Die Berechtigungen, einschließlich Benutzer-, Gruppen- oder Systemberechtigungen, die dem Ereignis zugeordnet sind. |
Prozess | Zeichenfolge | Der Name des Prozesses, der das Ereignis generiert. |
ProcessId | Zeichenfolge | Gibt den Prozess an, der das Ereignis generiert hat |
ProcessName | Zeichenfolge | Vollständiger Pfad und der Name der ausführbaren Datei für den Prozess. |
ProfilePath | Zeichenfolge | Gibt einen Pfad zum Profil des Kontos an. Dieser Wert kann eine NULL-Zeichenfolge, ein lokaler absoluter Pfad oder ein UNC-Pfad sein. |
Eigenschaften | Zeichenfolge | Hängt vom Objekttyp ab. Dieses Feld kann leer sein oder die Liste der Objekteigenschaften enthalten, auf die zugegriffen wurde. |
ProtocolSequence | Zeichenfolge | Informationen zum Protokoll, das für einen Authentifizierungsversuch verwendet wird. |
ProxyPolicyName | Zeichenfolge | Name der Richtlinie, die zum Konfigurieren des Proxyservers für die Verbindung mit dem Netzwerk verwendet wurde. |
QuarantineHelpURL | Zeichenfolge | URL, die Hilfe bei der Problembehandlung eines Netzwerkquarantäneproblems bietet. |
QuarantineSessionID | Zeichenfolge | Bezeichner der Sitzung, in der die Datei zur Quarantäne bewertet wurde. |
QuarantineSessionIdentifier | Zeichenfolge | Bezeichner der Sitzung, in der die Datei zur Quarantäne bewertet wurde. |
QuarantineState | Zeichenfolge | Es wird angezeigt, ob die Datei unter Quarantäne gestellt wird. |
QuarantineSystemHealthResult | Zeichenfolge | Bericht, der den Status der Dateien anzeigt, die unter Quarantäne gestellt wurden. |
RelativeTargetName | Zeichenfolge | Relativer Name der Zieldatei oder des Ordners, auf die zugegriffen wird. Dieser Dateipfad ist relativ zur Netzwerkfreigabe. Wenn der Zugriff für die Freigabe selbst angefordert wurde, wird dieses Feld als "" angezeigt. |
RemoteIpAddress | Zeichenfolge | Die IP-Adresse des Computers, der eine Remoteverbindung initiiert hat. |
RemotePort | Zeichenfolge | Die Portnummer des Remotecomputers, der eine Verbindung initiiert hat. |
Name der anfordernden Person | Zeichenfolge | Der Ereignisanforderungsbezeichner. |
RequestId | Zeichenfolge | Ein eindeutiger Bezeichner, der bestimmten Anforderungen zugeordnet ist, z. B. solche, die über HTTP vorgenommen wurden. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
RestrictedAdminMode | Zeichenfolge | Wird nur für RemoteInteractive-Anmeldetypsitzungen aufgefüllt. Dies ist ein Ja/Nein-Flag, das angibt, ob die bereitgestellten Anmeldeinformationen im Eingeschränkten Administratormodus übergeben wurden. Der eingeschränkte Administratormodus wurde in Win8.1/2012R2 hinzugefügt, dieses Flag wurde jedoch dem Ereignis in Win10 hinzugefügt. |
RowsDeleted | Zeichenfolge | Die Anzahl der Zeilen, die als Teil eines bestimmten Vorgangs gelöscht wurden. |
SamAccountName | Zeichenfolge | Anmeldename für konto, der zur Unterstützung von Clients und Servern aus früheren Versionen von Windows verwendet wird (Vor-Windows 2000-Anmeldename). |
scriptPath | Zeichenfolge | Gibt den Pfad des Anmeldeskripts des Kontos an. |
SecurityDescriptor | Zeichenfolge | Informationen zu den Sicherheitseinstellungen und Berechtigungen eines bestimmten Objekts oder einer bestimmten Ressource. |
ServiceAccount | Zeichenfolge | Der Sicherheitskontext, den der Dienst beim Starten ausführt. |
ServiceFileName | Zeichenfolge | Gibt den Diensttyp an, der beim Dienststeuerungs-Manager registriert wurde. |
ServiceName | Zeichenfolge | Der Name des installierten Diensts. |
ServiceStartType | int | Enthält Informationen dazu, wie ein bestimmter Dienst gestartet werden soll, unabhängig davon, ob er automatisch oder manuell gestartet werden soll. |
ServiceType | Zeichenfolge | Gibt den Diensttyp an, der beim Dienststeuerungs-Manager registriert wurde. |
SessionName | Zeichenfolge | Der Name der Sitzung, mit der der Benutzer erneut verbunden wurde. |
ShareLocalPath | Zeichenfolge | Der lokale Pfad der Netzwerkfreigabe. |
ShareName | Zeichenfolge | Der Name der netzwerkfreigabe, auf die zugegriffen wird. Das Format lautet: \*\SHARE_NAME. |
SidHistory | Zeichenfolge | Enthält vorherige SIDs, die für das Objekt verwendet werden, wenn das Objekt aus einer anderen Domäne verschoben wurde. |
SourceComputerId | Zeichenfolge | Eindeutiger Bezeichner, der jedem Computer in einer Windows-Domäne zugewiesen ist. |
SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
Status | Zeichenfolge | Der Grund, warum die Anmeldung fehlgeschlagen ist. Für dieses Ereignis weist es in der Regel den Wert "0xC0000234" auf. Die häufigsten Statuscodes sind in Tabelle 12 aufgeführt. Windows-Anmeldestatuscodes. |
StorageAccount | Zeichenfolge | Legt den Zugriffsschlüssel für das Speicherkonto fest. |
SubcategoryGuid | Zeichenfolge | Die eindeutige GUID der geänderten Unterkategorie. |
SubcategoryId | Zeichenfolge | Ein eindeutiger Bezeichner für einen bestimmten Typ des Ereignisses. |
Betreff | Zeichenfolge | Informationen zum Sicherheitsprinzipal (z. B. Benutzerkonto), das das Ereignis initiiert hat. |
SubjectAccount | Zeichenfolge | Informationen zum Konto, das das Ereignis initiiert. |
SubjectDomainName | Zeichenfolge | Informationen zur Domäne oder Arbeitsgruppe, zu der das Betreffkonto gehört. |
SubjectKeyIdentifier | Zeichenfolge | Ein eindeutiger Bezeichner für einen bestimmten Zertifikatantragsteller. |
SubjectLogonId | Zeichenfolge | Ein eindeutiger Bezeichner für die Anmeldesitzung, die dem Betreffkonto zugeordnet ist. |
SubjectMachineName | Zeichenfolge | Informationen zum Computer oder System, von dem das Ereignis erstellt wurde. |
SubjectMachineSID | Zeichenfolge | Die Sicherheits-ID (SID) für den Computer, auf dem das Ereignis generiert wurde. |
SubjectUserName | Zeichenfolge | Der Name des Benutzerkontos, das das Ereignis generiert hat. |
SubjectUserSid | Zeichenfolge | Die Sicherheits-ID (SID) für das Benutzerkonto, das das Ereignis generiert hat. |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
SubStatus | Zeichenfolge | Zusätzliche Informationen zum Anmeldefehler. Die häufigsten Unterstatuscodes, die in der Tabelle 12 aufgeführt sind. Windows-Anmeldestatuscodes'. |
SystemProcessId | int | Gibt den Prozess an, der das Ereignis generiert hat |
SystemThreadId | int | Gibt den Thread an, der das Ereignis generiert hat |
SystemUserId | Zeichenfolge | Die ID des Benutzers, der für das Ereignis verantwortlich ist. |
TableId | Zeichenfolge | Die spezifische Datentabelle bezeichner, in der die Ereignisdaten gespeichert werden. |
TargetAccount | Zeichenfolge | Das Konto, das auf das Ereignis abzielt (Benutzername, Computername usw.). |
TargetDomainName | Zeichenfolge | Der Name der Domäne, zu der das Zielkonto gehört. |
TargetInfo | Zeichenfolge | Zusätzliche Informationen zum Ereignisziel (z. B. der Pfad zu einer Datei oder einem Ordner, der Name eines Registrierungsschlüssels usw.). |
TargetLinkedLogonId | Zeichenfolge | Informationen, die dazu beiträgt, verwandte Ereignisse anhand ihrer Anmeldeversuchs-IDs miteinander zu verknüpfen. Es kann hilfreich sein, alle relevanten Ereignisse organisiert zu halten, Aktivitäten über mehrere Sitzungen hinweg zu verfolgen und die Angriffsquelle zu identifizieren. |
TargetLogonGuid | Zeichenfolge | Eine GUID (Globally Unique Identifier), die der Anmeldesitzung im Zusammenhang mit dem Ereignis zugeordnet ist. |
TargetLogonId | Zeichenfolge | Ein eindeutiger Bezeichner, der der Anmeldesitzung im Zusammenhang mit dem Ereignis zugeordnet ist. |
TargetOutboundDomainName | Zeichenfolge | Die Domäne, für die das im Feld "TargetAccount" angegebene Konto bei einem ausgehenden Authentifizierungsversuch authentifiziert wurde. |
TargetOutboundUserName | Zeichenfolge | Der Name des Benutzerkontos, das bei einem ausgehenden Authentifizierungsversuch authentifiziert wurde. |
TargetServerName | Zeichenfolge | Der Name des Servers, auf dem der neue Prozess ausgeführt wurde. Hat den Wert "localhost", wenn der Prozess lokal ausgeführt wurde. |
TargetSid | Zeichenfolge | Die Sicherheits-ID (SID) des Servers, auf dem der neue Prozess ausgeführt wurde. |
TargetUser | Zeichenfolge | Der Benutzerkontobezeichner, der den neuen Prozess generiert hat. |
TargetUserName | Zeichenfolge | Der Name des Benutzerkontos, das den neuen Prozess generiert hat. |
TargetUserSid | Zeichenfolge | Die Sicherheits-ID (SID), die dem Benutzer oder der Ressource zugeordnet ist, der an dem Ereignis beteiligt ist. |
Aufgabe | int | Die im Ereignis definierte Aufgabe. |
TemplateContent | Zeichenfolge | Der Inhalt der Ereignisnachricht oder Benachrichtigung in einem strukturierten Formular. |
TemplateDSObjectFQDN | Zeichenfolge | FQDN des DS-Objekts, das die GPO-Vorlage darstellt. |
TemplateInternalName | Zeichenfolge | Der interne Name der GPO-Vorlage. |
TemplateOID | Zeichenfolge | der eindeutige Bezeichner für die Vorlage, die zum Erstellen des Ereignisses verwendet wurde. |
TemplateSchemaVersion | Zeichenfolge | Version des Vorlagenschemas, das die Daten definiert, die in ein Ereignis eingeschlossen werden sollen. |
TemplateVersion | Zeichenfolge | Version der Vorlage, die die Daten definiert, die in ein Ereignis eingeschlossen werden sollen. |
TenantId | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
TimeGenerated | datetime | Der Zeitstempel, zu dem das Ereignis auf dem Computer generiert wurde. |
TokenElevationType | Zeichenfolge | Typ des Tokens, das einem neuen Prozess gemäß der Richtlinie zur Benutzerkontensteuerung zugewiesen wurde. |
Übertragene Dienste | Zeichenfolge | Die Liste der übertragenen Dienste. Übertragene Dienste werden aufgefüllt, wenn die Anmeldung ein Ergebnis eines S4U-Anmeldevorgangs (Service for User) war. S4U ist eine Microsoft-Erweiterung für das Kerberos-Protokoll, um einem Anwendungsdienst das Abrufen eines Kerberos-Diensttickets im Namen eines Benutzers zu ermöglichen . Dies geschieht am häufigsten von einer Front-End-Website für den Zugriff auf eine interne Ressource im Namen eines Benutzers. Weitere Informationen zu S4U finden Sie unter https://msdn.microsoft.com/library/cc246072.aspx. |
type | Zeichenfolge | Der Name der Tabelle. |
UserAccountControl | Zeichenfolge | Zeigt die Liste der Änderungen im UserAccountControl-Attribut an. Für jede Änderung wird eine Textzeile angezeigt. |
UserParameters | Zeichenfolge | Wenn Sie eine Einstellung mithilfe von Active Directory-Benutzer und -Computer Verwaltungskonsole in der Registerkarte "Einwahl" der Kontoeigenschaften des Benutzers ändern, wird <der Wert geändert, aber in diesem Feld nicht angezeigt>. Für lokale Konten ist dieses Feld nicht anwendbar und hat <immer keinen Wert festgelegt> . |
UserPrincipalName | Zeichenfolge | Anmeldename im Internetstil für das Konto, basierend auf dem Internetstandard RFC 822. In der Konvention sollte dies dem E-Mail-Namen des Kontos zugeordnet werden. |
UserWorkstations | Zeichenfolge | Enthält die Liste der NetBIOS- oder DNS-Namen der Computer, von denen sich der Benutzer anmelden kann. Jeder Computername wird durch ein Komma getrennt. Der Name eines Computers ist die sAMAccountName-Eigenschaft eines Computerobjekts. |
VendorIds | Zeichenfolge | Attribut "Hardware-IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details". |
Version | int | Enthält die Versionsnummer der Ereignisdefinition. |
VirtualAccount | Zeichenfolge | Ein Flag "Ja" oder "Nein", das angibt, ob das Konto ein virtuelles Konto ist (z. B. "Verwaltetes Dienstkonto"), das in Windows 7 und Windows Server 2008 R2 eingeführt wurde, um das Konto zu identifizieren, das ein bestimmter Dienst verwendet, anstatt nur "NetworkService" zu verwenden. |
Arbeitsstation | Zeichenfolge | Der Name des Computers, der zum Ausführen des Ereignisses verwendet wurde. |
WorkstationName | Zeichenfolge | Computername, von dem ein Anmeldeversuch ausgeführt wurde. |