Compartir a través de


SecurityEvent

Eventos de seguridad recopilados de máquinas Windows por Azure Security Center o Azure Sentinel.

Atributos de tabla

Attribute Valor
Tipos de recursos microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categorías Seguridad
Soluciones Seguridad, SecurityInsights
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
AccessMask string Máscara hexadecimal para la operación solicitada o realizada.
Cuenta string Contexto de seguridad para servicios o usuarios.
AccountDomain string Nombre de dominio o equipo del firmante.
AccountExpires string Fecha en que expira la cuenta.
AccountName string Nombre de la cuenta que solicitó la operación "quitar confianza de dominio".
AccountSessionIdentifier string Identificador único generado por la máquina cuando se crea la sesión.
AccountType string Identifica si la cuenta es una cuenta de equipo (máquina) o la de un usuario.
Actividad string Título descriptivo del evento.
AdditionalInfo string Información adicional proporcionada por el origen, que no está asignada a otros campos, representada por lista.
AdditionalInfo2 string Información adicional proporcionada por el origen, que no está asignada a otros campos, representada por lista.
AllowedToDelegateTo string Lista de SPN a las que esta cuenta puede presentar credenciales delegadas.
Atributos string Información adicional sobre el evento.
AuditPolicyChanges string Eventos que se generan cuando se realizan cambios en la directiva de auditoría del sistema o la configuración de auditoría en un archivo o clave del Registro.
AuditsDiscarded int Número de mensajes de auditoría descartados.
AuthenticationLevel int Número de mensajes de auditoría descartados.
AuthenticationPackageName string el nombre del paquete de autenticación cargado. El formato es: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME.
AuthenticationProvider string La identidad del proveedor responsable del proceso de autenticación (puede incluir una entidad de certificación, un nombre de usuario, un sistema de autenticación de contraseña, etc.).
AuthenticationServer string Servidor en el que se encuentra el proveedor de autenticación.
AuthenticationService int Servicio en el que se encuentra el proveedor de autenticación.
AuthenticationType string el tipo de autenticación que se usó para el evento (autenticación en dos fases, autenticación biométrica, etc.).
AzureDeploymentID string Id. de implementación de Azure del servicio en la nube al que pertenece el registro.
_BilledSize real Tamaño del registro en bytes
CACertificateHash string Valor hash del certificado (CA) de la entidad de certificación que se usó para autenticar al usuario que realizó el evento.
LlamadoStationID string Información sobre el identificador de la estación que inició la acción que llevó al evento de seguridad.
CallerProcessId string Identificador de proceso hexadecimal del proceso que intentó iniciar sesión. El identificador de proceso (PID) es un número utilizado por el sistema operativo para identificar de forma única un proceso activo.
CallerProcessName string Ruta de acceso completa y el nombre del archivo ejecutable para el proceso.
CallingStationID string Información sobre el identificador de la estación que inició la acción que llevó al evento de seguridad.
CAPublicKeyHash string Valor hash que identifica la clave pública de una entidad de certificación (CA) que emitió un certificado.
CategoryId string Categoría del evento de seguridad que se produjo (intento de inicio de sesión, vulneración de datos, etc.).
CertificateDatabaseHash string Valor hash que identifica la base de datos que emitió un certificado.
Channel string Canal al que se registró el evento.
ClassId string Atributo "Guid de clase" del dispositivo.
ClassName string Atributo "Class" del dispositivo.
ClientAddress string Dirección IP del equipo desde el que se recibió la solicitud TGT.
ClientIPAddress string Dirección IP del equipo que inició la acción que llevó al evento.
ClientName string nombre de equipo desde el que se reconectaba el usuario. Tiene el valor "Unknown" para la sesión de consola.
CommandLine string Argumentos de línea de comandos que se pasaron a una aplicación o proceso implicados en el evento.
CompatibleIds string Atributo "Ids compatibles" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles":
Computer string nombre del equipo en el que se produjo el evento.
Correlation string Identificadores de actividad que los consumidores pueden usar para agrupar eventos relacionados.
DCDNSName string Nombre DNS del controlador de dominio implicado en el evento.
DeviceDescription string la descripción del dispositivo implicado en el evento.
DeviceId string Identificador único del dispositivo implicado en el evento.
Nombre para mostrar string Es un nombre, que se muestra en la libreta de direcciones de una cuenta determinada. Normalmente, esta es la combinación del nombre del usuario, la inicial intermedia y el apellido.
Disposición string Resultado o resolución del evento, como si el evento se resolvió o si se realizó alguna acción en respuesta al evento.
DomainBehaviorVersion string Se modificó el atributo de dominio msDS-Behavior-Version. Valor numérico.
DomainName string Nombre del dominio de confianza quitado.
DomainPolicyChanged string Indica si se han cambiado las directivas de dominio como parte del evento (directivas de contraseña, directivas de seguridad, etc.).
DomainSid string SID del asociado de confianza. Este parámetro podría no capturarse en el evento y, en ese caso, aparece como "SID NULL".
EAPType string Tipo de protocolo de autenticación extensible (EAP) que se usó para el proceso de autenticación de eventos.
ElevatedToken string Una marca "Sí" o "No". Si es "Sí", la sesión que representa este evento se eleva y tiene privilegios de administrador.
ErrorCode int Contiene código de error para eventos de error. Para los eventos Success, este parámetro tiene el valor "0x0".
EventData string Datos específicos del evento asociados al evento.
Id. de evento int Identificador que el proveedor usó para identificar el evento.
EventLevelName string Cadena de mensaje representada del nivel especificado en el evento.
EventRecordId string Número de registro asignado al evento cuando se registró.
EventSourceName string Nombre del software que registra el evento (aplicación o succomponent).
ExtendedQuarantineState string Estado del proceso de cuarentena de red, si procede. La cuarentena de red es un proceso por el que se impide que los dispositivos no autorizados accedan a una red hasta que cumplan ciertos requisitos de seguridad o se hayan comprobado el malware.
FailureReason string explicación textual del valor del campo Estado. Para este evento, normalmente tiene el valor "Cuenta bloqueada".
FileHash string Valor hash de los archivos a los que se ha accedido o modificado como parte del evento, o cualquier archivo que se haya usado en el proceso de autenticación o autorización.
FilePath string Ruta de acceso completa y nombre de archivo del archivo de clave en el que se realizó la operación.
FilePathNoUser string Ruta de acceso de los archivos relacionados con el evento, excepto el nombre de usuario u otra información específica del usuario.
Filtro string Filtros que se usan en el evento realizado.
ForceLogoff string '\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad seguridad: forzar el inicio de sesión cuando expiren las horas de inicio de sesión' directiva de grupo.
Fqbn string Nombre binario completo (FQBN) para los archivos relacionados con el evento.
FullyQualifiedSubjectMachineName string Nombre de dominio completo (FQDN) de la máquina que inició el evento.
FullyQualifiedSubjectUserName string Nombre de usuario o servicio que inició el evento en formato FQDN.
GroupMembership string Lista de SID de grupo a los que pertenece la cuenta registrada (miembro de). Visor de eventos intenta resolver automáticamente los SID y mostrar el nombre de la cuenta. Si el SID no se puede resolver, verá los datos de origen en el evento.
HandleId string Valor hexadecimal de un identificador en Nombre de objeto. Este campo se puede usar para la correlación con otros eventos.
HardwareIds string Atributo "Hardware Ids" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles":
HomeDirectory string Directorio principal del usuario. Si se establece el atributo homeDrive y especifica una letra de unidad, homeDirectory debe ser una ruta de acceso UNC. La ruta de acceso debe ser unC de red con el formato \Server\Share\Directory.
HomePath string Ruta de acceso principal del usuario. La ruta de acceso debe ser unC de red con el formato \Server\Share\Directory.
InterfaceUuid string Identificador único (UUID) de la interfaz de red que se usó para el evento.
IpAddress string la dirección de red (normalmente IPv4 o IPv6) asociada al evento.
IpPort string Número de puerto de red asociado al evento.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
KeyLength int Longitud de la clave de seguridad de sesión NTLM. Normalmente tiene una longitud de 128 o 56 bits.
Palabras clave string Máscara de bits de las palabras clave definidas en el evento.
Nivel string Windows clasifica cada evento con un nivel de gravedad. Los niveles en orden de gravedad son información, detallado, advertencia, error y crítico expresados en números.
LmPackageName string Nombre del paquete o componente de software que usa actualmente la autoridad de seguridad local (LSA) en el equipo donde se genera el evento.
LocationInformation string Atributo "Información de ubicación" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles":
LockoutDuration string '\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Directiva de bloqueo de cuenta\Duración del bloqueo de cuenta' directiva de grupo. Valor numérico.
LockoutObservationWindow string '\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Restablecer contador de bloqueo de cuenta después de' directiva de grupo. Valor numérico.
LockoutThreshold string '\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Directiva de bloqueo de cuenta\Directiva de grupo umbral de bloqueo de cuenta'. Valor numérico.
LoggingResult string Resultado del proceso de inicio de sesión.
LogonGuid string GUID que puede ayudarle a correlacionar este evento con otro evento que puede contener el mismo GUID de inicio de sesión.
LogonHours string Horas en las que se permite que la cuenta inicie sesión en el dominio.
LogonID string Valor hexadecimal que puede ayudarle a correlacionar este evento con eventos recientes que podrían contener el mismo identificador de inicio de sesión.
LogonProcessName string Nombre del proceso de inicio de sesión registrado.
LogonType int Tipo de inicio de sesión que se realizó.
LogonTypeName string El tipo de evento de inicio de sesión o autenticación que captura el registro de eventos (valores comunes:Interactive, Network, RemoteInteractive, Unlock).
MachineAccountQuota string Se modificó el atributo de dominio ms-DS-MachineAccountQuota. Valor numérico.
MachineInventory string Información sobre la configuración de hardware y el entorno de software del equipo donde se genera el evento. Puede incluir diferentes puntos de datos, por ejemplo: la marca y el modelo del equipo, la cantidad de RAM o espacio de almacenamiento disponible, los números de versión de varias aplicaciones de software, etc.
MachineLogon string Información sobre un evento de inicio de sesión correcto en la máquina.
ManagementGroupName string Información adicional basada en el tipo de recurso.
MandatoryLabel string Identificador de la etiqueta de integridad que se asignó al nuevo proceso.
MaxPasswordAge string El período de tiempo (en días) que se puede usar una contraseña antes de que el sistema requiera que el usuario lo cambie.
MemberName string La cuenta de usuario implicada en el evento.
MemberSid string Identificador de seguridad (SID) asociado a la cuenta de usuario implicada en el evento.
MinPasswordAge string Período de tiempo (en días) que se debe usar una contraseña antes de que el sistema requiera que el usuario lo cambie.
MinPasswordLength string El menor número de caracteres que pueden crear una contraseña para una cuenta de usuario.
MixedDomainMode string Modo de dominio de un sistema o controlador de dominio.
NASIdentifier string Identificador del servidor de acceso a la red (NAS) implicado en el evento.
NASIPv4Address string IPv4Address del servidor de acceso a la red (NAS) implicado en el evento, si procede.
NASIPv6Address string IPv6Address del servidor de acceso a la red (NAS) implicado en el evento, si procede.
NASPort string puerto en el servidor de acceso a la red que se usó en el evento .
NASPortType string el tipo de servidor de acceso a la red (NAS) usado en el evento.
NetworkPolicyName string Nombre de la directiva de red asociada al evento.
NewDate string Nueva fecha en la zona horaria UTC. El formato es AAAA-MM-DD.
NewMaxUsers string El nuevo número máximo de usuarios permitidos para un recurso en el evento.
NewProcessId string Id. de proceso hexadecimal del nuevo proceso. El identificador de proceso (PID) es un número utilizado por el sistema operativo para identificar de forma única un proceso activo.
NewProcessName string Ruta de acceso completa y el nombre del archivo ejecutable para el nuevo proceso.
NewRemark string Nuevo valor del campo "Comments:" del recurso compartido de red. Tiene el valor "N/A" si no está establecido.
NewShareFlags string Las marcas de recurso compartido asociadas a un recurso en el evento, por ejemplo: información sobre si el recurso es de solo lectura o de lectura y escritura, ya sea oculto y otros parámetros que pueden afectar al acceso y a los permisos.
NewTime string Nueva hora establecida en la zona horaria UTC. El formato es AAAA-MM-DDThh:mm:ss.nnnnnnZ
NewUacValue string Especifica marcas que controlan la contraseña, el bloqueo, la deshabilitación o habilitación, el script y otro comportamiento de la cuenta de usuario.
NewValue string Nuevo valor para el valor de clave del Registro cambiado.
NewValueType string Nuevo tipo de valor de clave del Registro cambiado.
ObjectName string Nombre y otra información de identificación del objeto para el que se solicitó el acceso. Por ejemplo, para un archivo, se incluiría la ruta de acceso.
ObjectServer string Contiene el nombre del subsistema de Windows que llama a la rutina.
ObjectType string Tipo de un objeto al que se tuvo acceso durante la operación.
ObjectValueName string Nombre del valor de clave del Registro modificado.
OemInformation string El fabricante de equipos originales (OEM) asociado a un dispositivo o sistema en el evento.
OldMaxUsers string Número máximo anterior de usuarios permitidos para un recurso en el evento.
OldRemark string el valor anterior del campo "Comments:" del recurso compartido de red. Tiene el valor "N/A" si no está establecido.
OldShareFlags string Las marcas de recurso compartido anteriores asociadas a un recurso en el evento, por ejemplo: información sobre si el recurso es de solo lectura o de lectura y escritura, ya sea oculto y otros parámetros que pueden afectar al acceso y a los permisos.
OldUacValue string Especifica marcas que controlan la contraseña, el bloqueo, la deshabilitación o habilitación, el script y otro comportamiento de la cuenta de usuario. Este parámetro contiene el valor anterior del atributo userAccountControl del objeto user.
OldValue string Valor anterior para el valor de clave del Registro cambiado.
OldValueType string Tipo antiguo de valor de clave del Registro cambiado.
Código de operación string El elemento opcode se define mediante el tipo complejo SystemPropertiesType.
OperationType string Tipo de operación que se realizó en un objeto
PackageName string Nombre del sub package de LAN Manager (ntlm-family protocol name) que se usó durante el inicio de sesión.
ParentProcessName string Nombre del proceso primario asociado al evento.
PasswordHistoryLength string \Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\Aplicar historial de contraseñas" directiva de grupo. Valor numérico.
PasswordLastSet string Última vez que se modificó la contraseña de la cuenta.
PasswordProperties string Las propiedades o directivas de contraseña asociadas al evento, por ejemplo: longitud de contraseña, complejidad y fecha de expiración.
PreviousDate string Fecha anterior asociada al evento.
PreviousTime string Hora anterior en la zona horaria UTC. El formato es AAAA-MM-DDThh:mm:ss.nnnnnnZ.
PrimaryGroupId string Identificador relativo (RID) del grupo principal de objetos del usuario.
PrivateKeyUsageCount string Número de veces que se ha usado una clave privada.
PrivilegeList string Los privilegios, incluidos los privilegios de usuario, grupo o sistema asociados al evento.
Proceso string Nombre del proceso que genera el evento.
ProcessId string Identifica el proceso que ha generado el evento.
ProcessName string Ruta de acceso completa y el nombre del archivo ejecutable para el proceso.
ProfilePath string Especifica una ruta de acceso al perfil de la cuenta. Este valor puede ser una cadena nula, una ruta de acceso absoluta local o una ruta de acceso UNC.
Propiedades string Depende del tipo de objeto. Este campo puede estar vacío o contener la lista de las propiedades del objeto a las que se ha accedido.
ProtocolSequence string Información sobre el protocolo usado para un intento de autenticación.
ProxyPolicyName string Nombre de la directiva que se usó para configurar el servidor proxy para conectarse a la red.
QuarantineHelpURL string Dirección URL que proporciona ayuda para solucionar un problema de cuarentena de red.
QuarantineSessionID string Identificador de la sesión en la que se evaluó el archivo para la cuarentena.
QuarantineSessionIdentifier string Identificador de la sesión en la que se evaluó el archivo para la cuarentena.
QuarantineState string Muestra si el archivo está en cuarentena.
QuarantineSystemHealthResult string Informe que muestra el estado de los archivos que se han puesto en cuarentena.
RelativeTargetName string Nombre relativo del archivo o carpeta de destino al que se tiene acceso. Esta ruta de acceso de archivo es relativa al recurso compartido de red. Si se solicitó acceso para el propio recurso compartido, este campo aparece como "".
RemoteIpAddress string Dirección IP del equipo que inició una conexión remota.
RemotePort string Número de puerto del equipo remoto que inició una conexión.
Solicitante string Identificador del solicitante de eventos.
RequestId string Identificador único asociado a determinadas solicitudes, como las realizadas a través de HTTP.
_ResourceId string Identificador único del recurso al que está asociado el registro.
RestrictedAdminMode string Solo se rellena para sesiones de tipo de inicio de sesión RemoteInteractive. Se trata de una marca Sí/No que indica si las credenciales proporcionadas se pasaron mediante el modo de administración restringida. El modo de administrador restringido se agregó en Win8.1/2012R2, pero esta marca se agregó al evento en Win10.
RowsDeleted string Número de filas que se eliminaron como parte de una operación determinada.
SamAccountName string nombre de inicio de sesión de la cuenta que se usa para admitir clientes y servidores de versiones anteriores de Windows (nombre de inicio de sesión anterior a Windows 2000).
scriptPath string Especifica la ruta de acceso del script de inicio de sesión de la cuenta.
SecurityDescriptor string Información sobre la configuración de seguridad y los permisos de un objeto o recurso concretos.
ServiceAccount string Contexto de seguridad que el servicio se ejecutará como cuando se inició.
ServiceFileName string Indica el tipo de servicio que se registró con service Control Manager.
Nombre del servicio string Nombre del servicio instalado.
ServiceStartType int Contiene información sobre cómo se debe iniciar un servicio determinado, independientemente de si se debe iniciar automáticamente o manualmente.
ServiceType string Indica el tipo de servicio que se registró con service Control Manager.
SessionName string Nombre de la sesión a la que se volvió a conectar el usuario.
ShareLocalPath string Ruta de acceso local del recurso compartido de red al que se tiene acceso.
ShareName string Nombre del recurso compartido de red al que se tiene acceso. El formato es: \*\SHARE_NAME.
SidHistory string Contiene los SID anteriores usados para el objeto si el objeto se movió de otro dominio.
SourceComputerId string Identificador único asignado a cada equipo de un dominio de Windows.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
Estado string Motivo por el que se produjo un error en el inicio de sesión. Para este evento, normalmente tiene el valor "0xC0000234". Los códigos de estado más comunes se enumeran en la tabla 12. Códigos de estado de inicio de sesión de Windows.
StorageAccount string Establece la clave de acceso de la cuenta de almacenamiento.
SubcategoryGuid string Guid único de subcategoría modificada.
SubcategoryId string Identificador único para un tipo específico del evento.
Asunto string Información sobre la entidad de seguridad (por ejemplo: cuenta de usuario) que inició el evento.
SubjectAccount string Información sobre la cuenta que inicia el evento.
SubjectDomainName string Información sobre el dominio o grupo de trabajo al que pertenece la cuenta de sujeto.
SubjectKeyIdentifier string Un identificador único para un sujeto de certificado determinado.
SubjectLogonId string Identificador único de la sesión de inicio de sesión asociada a la cuenta de sujeto.
SubjectMachineName string Información sobre la máquina o el sistema desde el que se creó el evento.
SubjectMachineSID string Identificador de seguridad (SID) del equipo que generó el evento.
SubjectUserName string Nombre de la cuenta de usuario que generó el evento.
SubjectUserSid string Identificador de seguridad (SID) de la cuenta de usuario que generó el evento.
_SubscriptionId string Identificador único de la suscripción a la que está asociado el registro.
SubStatus string Información adicional sobre el error de inicio de sesión. Los códigos de subestados más comunes enumerados en la tabla 12. Códigos de estado de inicio de sesión de Windows".
SystemProcessId int Identifica el proceso que ha generado el evento.
SystemThreadId int Identifica el subproceso que ha generado el evento.
SystemUserId string Identificador del usuario responsable del evento.
TableId string Identificador de tabla de datos específico en el que se almacenan los datos del evento.
TargetAccount string La cuenta de destino del evento (nombre de usuario, nombre de equipo, etc.).
TargetDomainName string Nombre del dominio al que pertenece la cuenta de destino.
TargetInfo string Información adicional sobre el destino del evento (por ejemplo: la ruta de acceso a un archivo o carpeta, el nombre de una clave del Registro, etc.).
TargetLinkedLogonId string Información que ayuda a vincular eventos relacionados juntos por sus identificadores de intento de inicio de sesión. Puede ser útil para mantener todos los eventos pertinentes organizados, realizar un seguimiento de la actividad en varias sesiones e identificar el origen del ataque.
TargetLogonGuid string Identificador único global (GUID) asociado a la sesión de inicio de sesión relacionada con el evento.
TargetLogonId string Identificador único asociado a la sesión de inicio de sesión relacionada con el evento.
TargetOutboundDomainName string Dominio en el que se autenticó la cuenta especificada en el campo TargetAccount durante un intento de autenticación saliente.
TargetOutboundUserName string Nombre de la cuenta de usuario autenticada durante un intento de autenticación saliente.
TargetServerName string Nombre del servidor en el que se ejecutó el nuevo proceso. Tiene el valor "localhost" si el proceso se ejecutó localmente.
TargetSid string Identificador de seguridad (SID) del servidor en el que se ejecutó el nuevo proceso.
TargetUser string Identificador de cuenta de usuario que generó el nuevo proceso.
TargetUserName string Nombre de la cuenta de usuario que generó el nuevo proceso.
TargetUserSid string Identificador de seguridad (SID) asociado al usuario o al recurso implicado en el evento.
Tarea int Tarea definida en el evento .
TemplateContent string Contenido del mensaje de evento o notificación en un formulario estructurado.
TemplateDSObjectFQDN string FQDN del objeto DS que representa la plantilla de GPO.
TemplateInternalName string Nombre interno de la plantilla de GPO.
TemplateOID string identificador único de la plantilla que se usó para crear el evento.
TemplateSchemaVersion string Versión del esquema de plantilla que define los datos que se van a incluir con un evento.
TemplateVersion string Versión de la plantilla que define los datos que se van a incluir con un evento.
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Marca de tiempo cuando se generó el evento en el equipo.
TokenElevationType string Tipo de token que se asignó a un nuevo proceso de acuerdo con la directiva de control de cuentas de usuario.
TransmittedServices string Lista de servicios transmitidos. Los servicios transmitidos se rellenan si el inicio de sesión era el resultado de un proceso de inicio de sesión de S4U (servicio para usuario). S4U es una extensión de Microsoft para el protocolo Kerberos para permitir que un servicio de aplicación obtenga un vale de servicio Kerberos en nombre de un usuario; lo más habitual es que un sitio web front-end acceda a un recurso interno en nombre de un usuario. Para obtener más información sobre S4U, vea https://msdn.microsoft.com/library/cc246072.aspx.
Tipo string Nombre de la tabla.
UserAccountControl string Muestra la lista de cambios en el atributo userAccountControl. Verá una línea de texto para cada cambio.
UserParameters string Si cambia cualquier configuración mediante Usuarios y equipos de Active Directory consola de administración en la pestaña Acceso telefónico de las propiedades de la cuenta del usuario, verá <que el valor ha cambiado, pero no se> muestra en este campo. En el caso de las cuentas locales, este campo no es aplicable y siempre tiene <el valor no establecido> .
UserPrincipalName string Nombre de inicio de sesión de estilo Internet para la cuenta, basado en el ESTÁNDAR de Internet RFC 822. Por convención, esto debe asignarse al nombre de correo electrónico de la cuenta.
UserWorkstations string Contiene la lista de nombres NETBIOS o DNS de los equipos desde los que el usuario puede iniciar sesión. Cada nombre de equipo está separado por una coma. El nombre de un equipo es la propiedad sAMAccountName de un objeto computer.
VendorIds string Atributo "Hardware Ids" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles".
Versión int Contiene el número de versión de la definición del evento.
VirtualAccount string Una marca "Sí" o "No", que indica si la cuenta es una cuenta virtual (por ejemplo, "Cuenta de servicio administrada", que se introdujo en Windows 7 y Windows Server 2008 R2 para proporcionar la capacidad de identificar la cuenta que usa un servicio determinado, en lugar de simplemente usar "NetworkService".
Estación de trabajo string Nombre de la máquina que se usó para realizar el evento.
WorkstationName string Nombre del equipo desde el que se realizó un intento de inicio de sesión.