SecurityEvent
Eventos de seguridad recopilados de máquinas Windows por Azure Security Center o Azure Sentinel.
Atributos de tabla
| Attribute | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorías | Seguridad |
| Soluciones | Seguridad, SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Type | Descripción |
|---|---|---|
| AccessMask | string | Máscara hexadecimal para la operación solicitada o realizada. |
| Cuenta | string | Contexto de seguridad para servicios o usuarios. |
| AccountDomain | string | Nombre de dominio o equipo del firmante. |
| AccountExpires | string | Fecha en que expira la cuenta. |
| AccountName | string | Nombre de la cuenta que solicitó la operación "quitar confianza de dominio". |
| AccountSessionIdentifier | string | Identificador único generado por la máquina cuando se crea la sesión. |
| AccountType | string | Identifica si la cuenta es una cuenta de equipo (máquina) o la de un usuario. |
| Actividad | string | Título descriptivo del evento. |
| AdditionalInfo | string | Información adicional proporcionada por el origen, que no está asignada a otros campos, representada por lista. |
| AdditionalInfo2 | string | Información adicional proporcionada por el origen, que no está asignada a otros campos, representada por lista. |
| AllowedToDelegateTo | string | Lista de SPN a las que esta cuenta puede presentar credenciales delegadas. |
| Atributos | string | Información adicional sobre el evento. |
| AuditPolicyChanges | string | Eventos que se generan cuando se realizan cambios en la directiva de auditoría del sistema o la configuración de auditoría en un archivo o clave del Registro. |
| AuditsDiscarded | int | Número de mensajes de auditoría descartados. |
| AuthenticationLevel | int | Número de mensajes de auditoría descartados. |
| AuthenticationPackageName | string | el nombre del paquete de autenticación cargado. El formato es: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | La identidad del proveedor responsable del proceso de autenticación (puede incluir una entidad de certificación, un nombre de usuario, un sistema de autenticación de contraseña, etc.). |
| AuthenticationServer | string | Servidor en el que se encuentra el proveedor de autenticación. |
| AuthenticationService | int | Servicio en el que se encuentra el proveedor de autenticación. |
| AuthenticationType | string | el tipo de autenticación que se usó para el evento (autenticación en dos fases, autenticación biométrica, etc.). |
| AzureDeploymentID | string | Id. de implementación de Azure del servicio en la nube al que pertenece el registro. |
| _BilledSize | real | Tamaño del registro en bytes |
| CACertificateHash | string | Valor hash del certificado (CA) de la entidad de certificación que se usó para autenticar al usuario que realizó el evento. |
| LlamadoStationID | string | Información sobre el identificador de la estación que inició la acción que llevó al evento de seguridad. |
| CallerProcessId | string | Identificador de proceso hexadecimal del proceso que intentó iniciar sesión. El identificador de proceso (PID) es un número utilizado por el sistema operativo para identificar de forma única un proceso activo. |
| CallerProcessName | string | Ruta de acceso completa y el nombre del archivo ejecutable para el proceso. |
| CallingStationID | string | Información sobre el identificador de la estación que inició la acción que llevó al evento de seguridad. |
| CAPublicKeyHash | string | Valor hash que identifica la clave pública de una entidad de certificación (CA) que emitió un certificado. |
| CategoryId | string | Categoría del evento de seguridad que se produjo (intento de inicio de sesión, vulneración de datos, etc.). |
| CertificateDatabaseHash | string | Valor hash que identifica la base de datos que emitió un certificado. |
| Channel | string | Canal al que se registró el evento. |
| ClassId | string | Atributo "Guid de clase" del dispositivo. |
| ClassName | string | Atributo "Class" del dispositivo. |
| ClientAddress | string | Dirección IP del equipo desde el que se recibió la solicitud TGT. |
| ClientIPAddress | string | Dirección IP del equipo que inició la acción que llevó al evento. |
| ClientName | string | nombre de equipo desde el que se reconectaba el usuario. Tiene el valor "Unknown" para la sesión de consola. |
| CommandLine | string | Argumentos de línea de comandos que se pasaron a una aplicación o proceso implicados en el evento. |
| CompatibleIds | string | Atributo "Ids compatibles" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles": |
| Computer | string | nombre del equipo en el que se produjo el evento. |
| Correlation | string | Identificadores de actividad que los consumidores pueden usar para agrupar eventos relacionados. |
| DCDNSName | string | Nombre DNS del controlador de dominio implicado en el evento. |
| DeviceDescription | string | la descripción del dispositivo implicado en el evento. |
| DeviceId | string | Identificador único del dispositivo implicado en el evento. |
| Nombre para mostrar | string | Es un nombre, que se muestra en la libreta de direcciones de una cuenta determinada. Normalmente, esta es la combinación del nombre del usuario, la inicial intermedia y el apellido. |
| Disposición | string | Resultado o resolución del evento, como si el evento se resolvió o si se realizó alguna acción en respuesta al evento. |
| DomainBehaviorVersion | string | Se modificó el atributo de dominio msDS-Behavior-Version. Valor numérico. |
| DomainName | string | Nombre del dominio de confianza quitado. |
| DomainPolicyChanged | string | Indica si se han cambiado las directivas de dominio como parte del evento (directivas de contraseña, directivas de seguridad, etc.). |
| DomainSid | string | SID del asociado de confianza. Este parámetro podría no capturarse en el evento y, en ese caso, aparece como "SID NULL". |
| EAPType | string | Tipo de protocolo de autenticación extensible (EAP) que se usó para el proceso de autenticación de eventos. |
| ElevatedToken | string | Una marca "Sí" o "No". Si es "Sí", la sesión que representa este evento se eleva y tiene privilegios de administrador. |
| ErrorCode | int | Contiene código de error para eventos de error. Para los eventos Success, este parámetro tiene el valor "0x0". |
| EventData | string | Datos específicos del evento asociados al evento. |
| Id. de evento | int | Identificador que el proveedor usó para identificar el evento. |
| EventLevelName | string | Cadena de mensaje representada del nivel especificado en el evento. |
| EventRecordId | string | Número de registro asignado al evento cuando se registró. |
| EventSourceName | string | Nombre del software que registra el evento (aplicación o succomponent). |
| ExtendedQuarantineState | string | Estado del proceso de cuarentena de red, si procede. La cuarentena de red es un proceso por el que se impide que los dispositivos no autorizados accedan a una red hasta que cumplan ciertos requisitos de seguridad o se hayan comprobado el malware. |
| FailureReason | string | explicación textual del valor del campo Estado. Para este evento, normalmente tiene el valor "Cuenta bloqueada". |
| FileHash | string | Valor hash de los archivos a los que se ha accedido o modificado como parte del evento, o cualquier archivo que se haya usado en el proceso de autenticación o autorización. |
| FilePath | string | Ruta de acceso completa y nombre de archivo del archivo de clave en el que se realizó la operación. |
| FilePathNoUser | string | Ruta de acceso de los archivos relacionados con el evento, excepto el nombre de usuario u otra información específica del usuario. |
| Filtro | string | Filtros que se usan en el evento realizado. |
| ForceLogoff | string | '\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad seguridad: forzar el inicio de sesión cuando expiren las horas de inicio de sesión' directiva de grupo. |
| Fqbn | string | Nombre binario completo (FQBN) para los archivos relacionados con el evento. |
| FullyQualifiedSubjectMachineName | string | Nombre de dominio completo (FQDN) de la máquina que inició el evento. |
| FullyQualifiedSubjectUserName | string | Nombre de usuario o servicio que inició el evento en formato FQDN. |
| GroupMembership | string | Lista de SID de grupo a los que pertenece la cuenta registrada (miembro de). Visor de eventos intenta resolver automáticamente los SID y mostrar el nombre de la cuenta. Si el SID no se puede resolver, verá los datos de origen en el evento. |
| HandleId | string | Valor hexadecimal de un identificador en Nombre de objeto. Este campo se puede usar para la correlación con otros eventos. |
| HardwareIds | string | Atributo "Hardware Ids" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles": |
| HomeDirectory | string | Directorio principal del usuario. Si se establece el atributo homeDrive y especifica una letra de unidad, homeDirectory debe ser una ruta de acceso UNC. La ruta de acceso debe ser unC de red con el formato \Server\Share\Directory. |
| HomePath | string | Ruta de acceso principal del usuario. La ruta de acceso debe ser unC de red con el formato \Server\Share\Directory. |
| InterfaceUuid | string | Identificador único (UUID) de la interfaz de red que se usó para el evento. |
| IpAddress | string | la dirección de red (normalmente IPv4 o IPv6) asociada al evento. |
| IpPort | string | Número de puerto de red asociado al evento. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| KeyLength | int | Longitud de la clave de seguridad de sesión NTLM. Normalmente tiene una longitud de 128 o 56 bits. |
| Palabras clave | string | Máscara de bits de las palabras clave definidas en el evento. |
| Nivel | string | Windows clasifica cada evento con un nivel de gravedad. Los niveles en orden de gravedad son información, detallado, advertencia, error y crítico expresados en números. |
| LmPackageName | string | Nombre del paquete o componente de software que usa actualmente la autoridad de seguridad local (LSA) en el equipo donde se genera el evento. |
| LocationInformation | string | Atributo "Información de ubicación" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles": |
| LockoutDuration | string | '\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Directiva de bloqueo de cuenta\Duración del bloqueo de cuenta' directiva de grupo. Valor numérico. |
| LockoutObservationWindow | string | '\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Restablecer contador de bloqueo de cuenta después de' directiva de grupo. Valor numérico. |
| LockoutThreshold | string | '\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Directiva de bloqueo de cuenta\Directiva de grupo umbral de bloqueo de cuenta'. Valor numérico. |
| LoggingResult | string | Resultado del proceso de inicio de sesión. |
| LogonGuid | string | GUID que puede ayudarle a correlacionar este evento con otro evento que puede contener el mismo GUID de inicio de sesión. |
| LogonHours | string | Horas en las que se permite que la cuenta inicie sesión en el dominio. |
| LogonID | string | Valor hexadecimal que puede ayudarle a correlacionar este evento con eventos recientes que podrían contener el mismo identificador de inicio de sesión. |
| LogonProcessName | string | Nombre del proceso de inicio de sesión registrado. |
| LogonType | int | Tipo de inicio de sesión que se realizó. |
| LogonTypeName | string | El tipo de evento de inicio de sesión o autenticación que captura el registro de eventos (valores comunes:Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | Se modificó el atributo de dominio ms-DS-MachineAccountQuota. Valor numérico. |
| MachineInventory | string | Información sobre la configuración de hardware y el entorno de software del equipo donde se genera el evento. Puede incluir diferentes puntos de datos, por ejemplo: la marca y el modelo del equipo, la cantidad de RAM o espacio de almacenamiento disponible, los números de versión de varias aplicaciones de software, etc. |
| MachineLogon | string | Información sobre un evento de inicio de sesión correcto en la máquina. |
| ManagementGroupName | string | Información adicional basada en el tipo de recurso. |
| MandatoryLabel | string | Identificador de la etiqueta de integridad que se asignó al nuevo proceso. |
| MaxPasswordAge | string | El período de tiempo (en días) que se puede usar una contraseña antes de que el sistema requiera que el usuario lo cambie. |
| MemberName | string | La cuenta de usuario implicada en el evento. |
| MemberSid | string | Identificador de seguridad (SID) asociado a la cuenta de usuario implicada en el evento. |
| MinPasswordAge | string | Período de tiempo (en días) que se debe usar una contraseña antes de que el sistema requiera que el usuario lo cambie. |
| MinPasswordLength | string | El menor número de caracteres que pueden crear una contraseña para una cuenta de usuario. |
| MixedDomainMode | string | Modo de dominio de un sistema o controlador de dominio. |
| NASIdentifier | string | Identificador del servidor de acceso a la red (NAS) implicado en el evento. |
| NASIPv4Address | string | IPv4Address del servidor de acceso a la red (NAS) implicado en el evento, si procede. |
| NASIPv6Address | string | IPv6Address del servidor de acceso a la red (NAS) implicado en el evento, si procede. |
| NASPort | string | puerto en el servidor de acceso a la red que se usó en el evento . |
| NASPortType | string | el tipo de servidor de acceso a la red (NAS) usado en el evento. |
| NetworkPolicyName | string | Nombre de la directiva de red asociada al evento. |
| NewDate | string | Nueva fecha en la zona horaria UTC. El formato es AAAA-MM-DD. |
| NewMaxUsers | string | El nuevo número máximo de usuarios permitidos para un recurso en el evento. |
| NewProcessId | string | Id. de proceso hexadecimal del nuevo proceso. El identificador de proceso (PID) es un número utilizado por el sistema operativo para identificar de forma única un proceso activo. |
| NewProcessName | string | Ruta de acceso completa y el nombre del archivo ejecutable para el nuevo proceso. |
| NewRemark | string | Nuevo valor del campo "Comments:" del recurso compartido de red. Tiene el valor "N/A" si no está establecido. |
| NewShareFlags | string | Las marcas de recurso compartido asociadas a un recurso en el evento, por ejemplo: información sobre si el recurso es de solo lectura o de lectura y escritura, ya sea oculto y otros parámetros que pueden afectar al acceso y a los permisos. |
| NewTime | string | Nueva hora establecida en la zona horaria UTC. El formato es AAAA-MM-DDThh:mm:ss.nnnnnnZ |
| NewUacValue | string | Especifica marcas que controlan la contraseña, el bloqueo, la deshabilitación o habilitación, el script y otro comportamiento de la cuenta de usuario. |
| NewValue | string | Nuevo valor para el valor de clave del Registro cambiado. |
| NewValueType | string | Nuevo tipo de valor de clave del Registro cambiado. |
| ObjectName | string | Nombre y otra información de identificación del objeto para el que se solicitó el acceso. Por ejemplo, para un archivo, se incluiría la ruta de acceso. |
| ObjectServer | string | Contiene el nombre del subsistema de Windows que llama a la rutina. |
| ObjectType | string | Tipo de un objeto al que se tuvo acceso durante la operación. |
| ObjectValueName | string | Nombre del valor de clave del Registro modificado. |
| OemInformation | string | El fabricante de equipos originales (OEM) asociado a un dispositivo o sistema en el evento. |
| OldMaxUsers | string | Número máximo anterior de usuarios permitidos para un recurso en el evento. |
| OldRemark | string | el valor anterior del campo "Comments:" del recurso compartido de red. Tiene el valor "N/A" si no está establecido. |
| OldShareFlags | string | Las marcas de recurso compartido anteriores asociadas a un recurso en el evento, por ejemplo: información sobre si el recurso es de solo lectura o de lectura y escritura, ya sea oculto y otros parámetros que pueden afectar al acceso y a los permisos. |
| OldUacValue | string | Especifica marcas que controlan la contraseña, el bloqueo, la deshabilitación o habilitación, el script y otro comportamiento de la cuenta de usuario. Este parámetro contiene el valor anterior del atributo userAccountControl del objeto user. |
| OldValue | string | Valor anterior para el valor de clave del Registro cambiado. |
| OldValueType | string | Tipo antiguo de valor de clave del Registro cambiado. |
| Código de operación | string | El elemento opcode se define mediante el tipo complejo SystemPropertiesType. |
| OperationType | string | Tipo de operación que se realizó en un objeto |
| PackageName | string | Nombre del sub package de LAN Manager (ntlm-family protocol name) que se usó durante el inicio de sesión. |
| ParentProcessName | string | Nombre del proceso primario asociado al evento. |
| PasswordHistoryLength | string | \Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\Aplicar historial de contraseñas" directiva de grupo. Valor numérico. |
| PasswordLastSet | string | Última vez que se modificó la contraseña de la cuenta. |
| PasswordProperties | string | Las propiedades o directivas de contraseña asociadas al evento, por ejemplo: longitud de contraseña, complejidad y fecha de expiración. |
| PreviousDate | string | Fecha anterior asociada al evento. |
| PreviousTime | string | Hora anterior en la zona horaria UTC. El formato es AAAA-MM-DDThh:mm:ss.nnnnnnZ. |
| PrimaryGroupId | string | Identificador relativo (RID) del grupo principal de objetos del usuario. |
| PrivateKeyUsageCount | string | Número de veces que se ha usado una clave privada. |
| PrivilegeList | string | Los privilegios, incluidos los privilegios de usuario, grupo o sistema asociados al evento. |
| Proceso | string | Nombre del proceso que genera el evento. |
| ProcessId | string | Identifica el proceso que ha generado el evento. |
| ProcessName | string | Ruta de acceso completa y el nombre del archivo ejecutable para el proceso. |
| ProfilePath | string | Especifica una ruta de acceso al perfil de la cuenta. Este valor puede ser una cadena nula, una ruta de acceso absoluta local o una ruta de acceso UNC. |
| Propiedades | string | Depende del tipo de objeto. Este campo puede estar vacío o contener la lista de las propiedades del objeto a las que se ha accedido. |
| ProtocolSequence | string | Información sobre el protocolo usado para un intento de autenticación. |
| ProxyPolicyName | string | Nombre de la directiva que se usó para configurar el servidor proxy para conectarse a la red. |
| QuarantineHelpURL | string | Dirección URL que proporciona ayuda para solucionar un problema de cuarentena de red. |
| QuarantineSessionID | string | Identificador de la sesión en la que se evaluó el archivo para la cuarentena. |
| QuarantineSessionIdentifier | string | Identificador de la sesión en la que se evaluó el archivo para la cuarentena. |
| QuarantineState | string | Muestra si el archivo está en cuarentena. |
| QuarantineSystemHealthResult | string | Informe que muestra el estado de los archivos que se han puesto en cuarentena. |
| RelativeTargetName | string | Nombre relativo del archivo o carpeta de destino al que se tiene acceso. Esta ruta de acceso de archivo es relativa al recurso compartido de red. Si se solicitó acceso para el propio recurso compartido, este campo aparece como "". |
| RemoteIpAddress | string | Dirección IP del equipo que inició una conexión remota. |
| RemotePort | string | Número de puerto del equipo remoto que inició una conexión. |
| Solicitante | string | Identificador del solicitante de eventos. |
| RequestId | string | Identificador único asociado a determinadas solicitudes, como las realizadas a través de HTTP. |
| _ResourceId | string | Identificador único del recurso al que está asociado el registro. |
| RestrictedAdminMode | string | Solo se rellena para sesiones de tipo de inicio de sesión RemoteInteractive. Se trata de una marca Sí/No que indica si las credenciales proporcionadas se pasaron mediante el modo de administración restringida. El modo de administrador restringido se agregó en Win8.1/2012R2, pero esta marca se agregó al evento en Win10. |
| RowsDeleted | string | Número de filas que se eliminaron como parte de una operación determinada. |
| SamAccountName | string | nombre de inicio de sesión de la cuenta que se usa para admitir clientes y servidores de versiones anteriores de Windows (nombre de inicio de sesión anterior a Windows 2000). |
| scriptPath | string | Especifica la ruta de acceso del script de inicio de sesión de la cuenta. |
| SecurityDescriptor | string | Información sobre la configuración de seguridad y los permisos de un objeto o recurso concretos. |
| ServiceAccount | string | Contexto de seguridad que el servicio se ejecutará como cuando se inició. |
| ServiceFileName | string | Indica el tipo de servicio que se registró con service Control Manager. |
| Nombre del servicio | string | Nombre del servicio instalado. |
| ServiceStartType | int | Contiene información sobre cómo se debe iniciar un servicio determinado, independientemente de si se debe iniciar automáticamente o manualmente. |
| ServiceType | string | Indica el tipo de servicio que se registró con service Control Manager. |
| SessionName | string | Nombre de la sesión a la que se volvió a conectar el usuario. |
| ShareLocalPath | string | Ruta de acceso local del recurso compartido de red al que se tiene acceso. |
| ShareName | string | Nombre del recurso compartido de red al que se tiene acceso. El formato es: \*\SHARE_NAME. |
| SidHistory | string | Contiene los SID anteriores usados para el objeto si el objeto se movió de otro dominio. |
| SourceComputerId | string | Identificador único asignado a cada equipo de un dominio de Windows. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure |
| Estado | string | Motivo por el que se produjo un error en el inicio de sesión. Para este evento, normalmente tiene el valor "0xC0000234". Los códigos de estado más comunes se enumeran en la tabla 12. Códigos de estado de inicio de sesión de Windows. |
| StorageAccount | string | Establece la clave de acceso de la cuenta de almacenamiento. |
| SubcategoryGuid | string | Guid único de subcategoría modificada. |
| SubcategoryId | string | Identificador único para un tipo específico del evento. |
| Asunto | string | Información sobre la entidad de seguridad (por ejemplo: cuenta de usuario) que inició el evento. |
| SubjectAccount | string | Información sobre la cuenta que inicia el evento. |
| SubjectDomainName | string | Información sobre el dominio o grupo de trabajo al que pertenece la cuenta de sujeto. |
| SubjectKeyIdentifier | string | Un identificador único para un sujeto de certificado determinado. |
| SubjectLogonId | string | Identificador único de la sesión de inicio de sesión asociada a la cuenta de sujeto. |
| SubjectMachineName | string | Información sobre la máquina o el sistema desde el que se creó el evento. |
| SubjectMachineSID | string | Identificador de seguridad (SID) del equipo que generó el evento. |
| SubjectUserName | string | Nombre de la cuenta de usuario que generó el evento. |
| SubjectUserSid | string | Identificador de seguridad (SID) de la cuenta de usuario que generó el evento. |
| _SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
| SubStatus | string | Información adicional sobre el error de inicio de sesión. Los códigos de subestados más comunes enumerados en la tabla 12. Códigos de estado de inicio de sesión de Windows". |
| SystemProcessId | int | Identifica el proceso que ha generado el evento. |
| SystemThreadId | int | Identifica el subproceso que ha generado el evento. |
| SystemUserId | string | Identificador del usuario responsable del evento. |
| TableId | string | Identificador de tabla de datos específico en el que se almacenan los datos del evento. |
| TargetAccount | string | La cuenta de destino del evento (nombre de usuario, nombre de equipo, etc.). |
| TargetDomainName | string | Nombre del dominio al que pertenece la cuenta de destino. |
| TargetInfo | string | Información adicional sobre el destino del evento (por ejemplo: la ruta de acceso a un archivo o carpeta, el nombre de una clave del Registro, etc.). |
| TargetLinkedLogonId | string | Información que ayuda a vincular eventos relacionados juntos por sus identificadores de intento de inicio de sesión. Puede ser útil para mantener todos los eventos pertinentes organizados, realizar un seguimiento de la actividad en varias sesiones e identificar el origen del ataque. |
| TargetLogonGuid | string | Identificador único global (GUID) asociado a la sesión de inicio de sesión relacionada con el evento. |
| TargetLogonId | string | Identificador único asociado a la sesión de inicio de sesión relacionada con el evento. |
| TargetOutboundDomainName | string | Dominio en el que se autenticó la cuenta especificada en el campo TargetAccount durante un intento de autenticación saliente. |
| TargetOutboundUserName | string | Nombre de la cuenta de usuario autenticada durante un intento de autenticación saliente. |
| TargetServerName | string | Nombre del servidor en el que se ejecutó el nuevo proceso. Tiene el valor "localhost" si el proceso se ejecutó localmente. |
| TargetSid | string | Identificador de seguridad (SID) del servidor en el que se ejecutó el nuevo proceso. |
| TargetUser | string | Identificador de cuenta de usuario que generó el nuevo proceso. |
| TargetUserName | string | Nombre de la cuenta de usuario que generó el nuevo proceso. |
| TargetUserSid | string | Identificador de seguridad (SID) asociado al usuario o al recurso implicado en el evento. |
| Tarea | int | Tarea definida en el evento . |
| TemplateContent | string | Contenido del mensaje de evento o notificación en un formulario estructurado. |
| TemplateDSObjectFQDN | string | FQDN del objeto DS que representa la plantilla de GPO. |
| TemplateInternalName | string | Nombre interno de la plantilla de GPO. |
| TemplateOID | string | identificador único de la plantilla que se usó para crear el evento. |
| TemplateSchemaVersion | string | Versión del esquema de plantilla que define los datos que se van a incluir con un evento. |
| TemplateVersion | string | Versión de la plantilla que define los datos que se van a incluir con un evento. |
| TenantId | string | Id. del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Marca de tiempo cuando se generó el evento en el equipo. |
| TokenElevationType | string | Tipo de token que se asignó a un nuevo proceso de acuerdo con la directiva de control de cuentas de usuario. |
| TransmittedServices | string | Lista de servicios transmitidos. Los servicios transmitidos se rellenan si el inicio de sesión era el resultado de un proceso de inicio de sesión de S4U (servicio para usuario). S4U es una extensión de Microsoft para el protocolo Kerberos para permitir que un servicio de aplicación obtenga un vale de servicio Kerberos en nombre de un usuario; lo más habitual es que un sitio web front-end acceda a un recurso interno en nombre de un usuario. Para obtener más información sobre S4U, vea https://msdn.microsoft.com/library/cc246072.aspx. |
| Tipo | string | Nombre de la tabla. |
| UserAccountControl | string | Muestra la lista de cambios en el atributo userAccountControl. Verá una línea de texto para cada cambio. |
| UserParameters | string | Si cambia cualquier configuración mediante Usuarios y equipos de Active Directory consola de administración en la pestaña Acceso telefónico de las propiedades de la cuenta del usuario, verá <que el valor ha cambiado, pero no se> muestra en este campo. En el caso de las cuentas locales, este campo no es aplicable y siempre tiene <el valor no establecido> . |
| UserPrincipalName | string | Nombre de inicio de sesión de estilo Internet para la cuenta, basado en el ESTÁNDAR de Internet RFC 822. Por convención, esto debe asignarse al nombre de correo electrónico de la cuenta. |
| UserWorkstations | string | Contiene la lista de nombres NETBIOS o DNS de los equipos desde los que el usuario puede iniciar sesión. Cada nombre de equipo está separado por una coma. El nombre de un equipo es la propiedad sAMAccountName de un objeto computer. |
| VendorIds | string | Atributo "Hardware Ids" del dispositivo. Para ver las propiedades del dispositivo, inicie Administrador de dispositivos, abra propiedades específicas del dispositivo y haga clic en "Detalles". |
| Versión | int | Contiene el número de versión de la definición del evento. |
| VirtualAccount | string | Una marca "Sí" o "No", que indica si la cuenta es una cuenta virtual (por ejemplo, "Cuenta de servicio administrada", que se introdujo en Windows 7 y Windows Server 2008 R2 para proporcionar la capacidad de identificar la cuenta que usa un servicio determinado, en lugar de simplemente usar "NetworkService". |
| Estación de trabajo | string | Nombre de la máquina que se usó para realizar el evento. |
| WorkstationName | string | Nombre del equipo desde el que se realizó un intento de inicio de sesión. |