次の方法で共有


SecurityEvent

Azure Security Center または Azure Sentinel によって Windows マシンから収集されたセキュリティ イベント。

テーブル属性

属性 Value
リソースの種類 microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categories (カテゴリ) セキュリティ
ソリューション Security、SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ はい

タイプ 説明
AccessMask string 要求または実行された操作の 16 進数マスク。
アカウント string サービスまたはユーザーのセキュリティ コンテキスト。
AccountDomain string サブジェクトのドメインまたはコンピューター名。
AccountExpires string アカウントの有効期限が切れる日付。
AccountName string "ドメイン信頼の削除" 操作を要求したアカウントの名前。
AccountSessionIdentifier string セッションの作成時にマシンによって生成される一意の識別子。
[AccountType] string アカウントがコンピューター アカウント (コンピューター) かユーザーかを識別します。
アクティビティ string イベントのわかりやすいタイトルが発生しました。
AdditionalInfo string リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。
AdditionalInfo2 string リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。
AllowedToDelegateTo string このアカウントが委任された資格情報を提示できる SPN の一覧。
属性 string イベントに関する追加情報。
AuditPolicyChanges string ファイルまたはレジストリ キーのシステム監査ポリシーまたは監査設定に変更が加えられたときに生成されるイベント。
AuditsDiscarded int 破棄された監査メッセージの数。
AuthenticationLevel int 破棄された監査メッセージの数。
AuthenticationPackageName string 読み込まれた認証パッケージの名前。 形式は、DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAMEです。
AuthenticationProvider string 認証プロセスを担当するプロバイダーの ID (証明機関、ユーザー名、パスワード認証システムなどを含めることができます)。
AuthenticationServer string 認証プロバイダーを配置したサーバー。
AuthenticationService int 認証プロバイダーを配置したサービス。
AuthenticationType string イベントに使用された認証の種類 (2 要素認証、生体認証など)。
AzureDeploymentID string ログが属しているクラウド サービスの Azure デプロイ ID。
_BilledSize real レコード サイズ (バイト単位)
CACertificateHash string イベントを実行したユーザーの認証に使用された証明機関 (CA) 証明書のハッシュ値。
CalledStationID string セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。
CallerProcessId string ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。
CallerProcessName string プロセスの完全パスと実行可能ファイルの名前。
CallingStationID string セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。
CAPublicKeyHash string 証明書を発行した証明機関 (CA) の公開キーを識別するハッシュ値。
CategoryId string 発生したセキュリティ イベントのカテゴリ (ログイン試行、データ侵害など)。
CertificateDatabaseHash string 証明書を発行したデータベースを識別するハッシュ値。
Channel string イベントがログに記録されたチャネル。
ClassId string デバイスの 'Class Guid' 属性。
クラス名 string デバイスの 'Class' 属性。
ClientAddress string TGT 要求の受信元のコンピューターの IP アドレス。
ClientIPAddress string イベントの原因となったアクションを開始したコンピューターの IP アドレス。
ClientName string ユーザーが再接続されたコンピューター名。 コンソール セッションの 'Unknown' 値を持ちます。
CommandLine string イベントに関係するアプリケーションまたはプロセスに渡されたコマンド ライン引数。
CompatibleIds string デバイスの 'Compatible Ids' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
Computer string イベントが発生したコンピューターの名前。
Correlation string コンシューマーが関連イベントをグループ化するために使用できるアクティビティ識別子。
DCDNSName string イベントに関係したドメイン コントローラーの DNS 名。
DeviceDescription string イベントに関係したデバイスの説明。
DeviceId string イベントに関係したデバイスの一意識別子。
表示名 string これは、特定のアカウントのアドレス帳に表示される名前です。 これは通常、ユーザーの名、ミドルネームのイニシャル、姓の組み合わせです。
Disposition string イベントが解決されたかどうか、またはイベントに応答して何らかのアクションが実行されたかどうかなど、イベントの結果/解決。
DomainBehaviorVersion string msDS-Behavior-Version ドメイン属性が変更されました。 数値。
DomainName string 削除された信頼されたドメインの名前。
DomainPolicyChanged string ドメイン ポリシーがイベント (パスワード ポリシー、セキュリティ ポリシーなど) の一部として変更されたかどうかを示します。
DomainSid string 信頼パートナーの SID。 このパラメーターはイベントでキャプチャされない可能性があり、その場合は "NULL SID" と表示されます。
EAPType string イベント認証プロセスに使用された拡張認証プロトコル (EAP) の種類。
ElevatedToken string 'Yes' または 'No' フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者特権を持ちます。
ErrorCode int エラー イベントのエラー コードが含まれています。 Success イベントの場合、このパラメーターには '0x0' 値があります。
EventData string イベントに関連付けられているイベント固有のデータ。
EventID int プロバイダーがイベントの識別に使用した識別子。
EventLevelName string イベントで指定されたレベルのレンダリングされたメッセージ文字列。
EventRecordId string イベントがログに記録されたときに割り当てられたレコード番号。
イベント ソース名 string イベントをログに記録するソフトウェアの名前 (アプリケーションまたはサブコンポーネント)。
ExtendedQuarantineState string ネットワーク検疫プロセスの状態 (該当する場合)。 ネットワーク検疫は、承認されていないデバイスが特定のセキュリティ要件を満たすか、マルウェアをチェックされるまで、ネットワークにアクセスできないようにするプロセスです。
FailureReason string Status フィールド値のテキスト説明。 このイベントの場合、通常は "Account locked out" 値が設定されます。
FileHash string イベントの一部としてアクセスまたは変更されたファイル、または認証または承認プロセスで使用されたファイルのハッシュ値。
FilePath string 操作が実行されたキー ファイルの完全なパスとファイル名。
FilePathNoUser string ユーザー名やその他のユーザー固有の情報を除く、イベントに関連するファイルのパス。
フィルター string 実行されたイベントで使用されるフィルター。
ForceLogoff string '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire' グループ ポリシー。
Fqbn string イベントに関連するすべてのファイルの完全修飾バイナリ名 (FQBN)。
FullyQualifiedSubjectMachineName string イベントを開始したマシンの完全修飾ドメイン名 (FQDN)。
FullyQualifiedSubjectUserName string FQDN 形式でイベントを開始したユーザーまたはサービスのユーザー名。
GroupMembership string ログに記録されたアカウントが属するグループ SID の一覧 (メンバー)。 イベント ビューアーは、SID の解決とアカウント名の表示を自動的に試行します。 SID を解決できない場合は、イベントにソース データが表示されます。
HandleId string オブジェクト名へのハンドルの 16 進数の値。 このフィールドは、他のイベントとの相関関係に使用できます。
HardwareIds string デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
HomeDirectory string ユーザーのホーム ディレクトリ。 homeDrive 属性が設定され、ドライブ文字を指定する場合、homeDirectory は UNC パスである必要があります。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。
HomePath string ユーザーのホーム パス。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。
InterfaceUuid string イベントに使用されたネットワーク インターフェイスの一意識別子 (UUID)。
IpAddress string イベントに関連付けられているネットワーク アドレス (通常は IPv4 または IPv6)。
IpPort string イベントに関連付けられているネットワーク ポート番号。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
Keylength int NTLM セッション セキュリティ キーの長さ。 通常、長さは 128 ビットまたは 56 ビットです。
キーワード string イベントで定義されたキーワードのビットマスク。
Level string Windows では、すべてのイベントが重大度レベルで分類されます。 重大度の順のレベルは、情報、詳細、警告、エラー、および重要な数値で表されます。
LmPackageName string イベントが生成されているコンピューターで現在ローカル セキュリティ機関 (LSA) を使用しているパッケージまたはソフトウェア コンポーネントの名前。
LocationInformation string デバイスの "位置情報" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
LockoutDuration string '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration' グループ ポリシー。 数値。
LockoutObservationWindow string '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' グループ ポリシー。 数値。
LockoutThreshold string '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold' グループ ポリシー。 数値。
LoggingResult string ログオン プロセスの結果。
LogonGuid string このイベントを、同じログオン GUID を含むことができる別のイベントと関連付けるのに役立つ GUID。
LogonHours string アカウントがドメインへのログオンを許可されている時間。
LogonID string このイベントを、同じログオン ID を含む可能性がある最近のイベントと関連付けるのに役立つ 16 進値。
LogonProcessName string 登録済みログオン プロセスの名前。
LogonType int 実行されたログオンの種類。
LogonTypeName string イベント ログによってキャプチャされるログオンまたは認証イベントの種類 (共通値:Interactive、Network、RemoteInteractive、Unlock)。
MachineAccountQuota string ms-DS-MachineAccountQuota ドメイン属性が変更されました。 数値。
MachineInventory string イベントが生成されているコンピューターのハードウェア構成とソフトウェア環境に関する情報。 たとえば、コンピューターの作成とモデル、使用可能な RAM またはストレージ領域の量、さまざまなソフトウェア アプリケーションのバージョン番号など、さまざまなデータ ポイントを含めることができます。
MachineLogon string コンピューターでのログオン イベントの成功に関する情報。
ManagementGroupName string リソースの種類に基づく追加情報。
MandatoryLabel string 新しいプロセスに割り当てられた整合性ラベルの ID。
MaxPasswordAge string システムがユーザーにパスワードの変更を要求するまでにパスワードを使用できる期間 (日数)。
MemberName string イベントに関係したユーザー アカウント。
MemberSid string イベントに関係したユーザー アカウントに関連付けられているセキュリティ識別子 (SID)。
MinPasswordAge string ユーザーがパスワードを変更する前にパスワードを使用する必要がある期間 (日数)。
MinPasswordLength string ユーザー アカウントのパスワードを構成できる最小文字数。
MixedDomainMode string システムまたはドメイン コントローラーのドメイン モード。
NASIdentifier string イベントに関係したネットワーク アクセス サーバー (NAS) の識別子。
NASIPv4Address string イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv4Address (該当する場合)。
NASIPv6Address string イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv6Address (該当する場合)。
NASPort string イベントで使用されたネットワーク アクセス サーバー上のポート。
NASPortType string イベントで使用されるネットワーク アクセス サーバー (NAS) の種類。
NetworkPolicyName string イベントに関連付けられているネットワーク ポリシーの名前。
NewDate string UTC タイム ゾーンの新しい日付。 YYYY-MM-DD という形式です。
NewMaxUsers string イベントでリソースに対して許可される新しい最大ユーザー数。
NewProcessId string 新しいプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。
NewProcessName string 新しいプロセスの完全パスと実行可能ファイルの名前。
NewRemark string ネットワーク共有 'Comments:' フィールドの新しい値。 設定されていない場合は、'N/A' 値を持っています。
NewShareFlags string たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報など、イベント内のリソースに関連付けられている共有フラグ。
NewTime string UTC タイム ゾーンで設定された新しい時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です
NewUacValue string ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。
NewValue string 変更されたレジストリ キー値の新しい値。
NewValueType string 新しい種類の変更されたレジストリ キー値。
ObjectName string アクセスが要求されたオブジェクトの名前とその他の識別情報。 たとえば、ファイルの場合、パスが含まれます。
ObjectServer string ルーチンを呼び出す Windows サブシステムの名前を格納します。
ObjectType string 操作中にアクセスされたオブジェクトの型。
ObjectValueName string 変更されたレジストリ キー値の名前。
OemInformation string イベントのデバイスまたはシステムに関連付けられている元の機器メーカー (OEM)。
OldMaxUsers string イベントでリソースに対して許可された以前のユーザーの最大数。
OldRemark string ネットワーク共有 'Comments:' フィールドの古い値。 設定されていない場合は、'N/A' 値を持っています。
OldShareFlags string イベント内のリソースに関連付けられている以前の共有フラグ。たとえば、リソースが読み取り専用か読み取り/書き込みか、非表示かどうか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報。
OldUacValue string ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 このパラメーターには、user オブジェクトの userAccountControl 属性の以前の値が含まれています。
OldValue string 変更されたレジストリ キー値の古い値。
OldValueType string 変更されたレジストリ キー値の古い種類。
オペコード string オペコード要素は、SystemPropertiesType 複合型によって定義されます。
OperationType string オブジェクトに対して実行された操作の種類
PackageName string ログオン時に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名前。
ParentProcessName string イベントに関連付けられている親プロセスの名前。
PasswordHistoryLength string \セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワード履歴の適用" グループ ポリシー。 数値。
PasswordLastSet string アカウントのパスワードが最後に変更された時刻。
PasswordProperties string イベントに関連付けられているパスワード ポリシーまたはプロパティ (パスワードの長さ、複雑さ、有効期限など)。
PreviousDate string イベントに関連付けられた前の日付。
PreviousTime string UTC タイム ゾーンでの以前の時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です。
PrimaryGroupId string ユーザーのオブジェクト プライマリ グループの相対識別子 (RID)。
PrivateKeyUsageCount string 秘密キーが使用された回数。
PrivilegeList string イベントに関連付けられているユーザー、グループ、またはシステムの特権を含む特権。
プロセス string イベントを生成するプロセスの名前。
ProcessId string イベントを生成したプロセスを識別します。
ProcessName string プロセスの完全パスと実行可能ファイルの名前。
ProfilePath string アカウントのプロファイルへのパスを指定します。 この値には、null文字列、ローカル絶対パス、またはUNCパスを指定できます。
プロパティ string オブジェクトの種類によって異なります。 このフィールドは空にすることも、アクセスされたオブジェクト プロパティの一覧を含めることもできます。
プロトコルシーケンス string 認証の試行に使用されるプロトコルに関する情報。
ProxyPolicyName string ネットワークに接続するためのプロキシ サーバーの構成に使用されたポリシーの名前。
QuarantineHelpURL string ネットワーク検疫の問題のトラブルシューティングに役立つ URL。
QuarantineSessionID string ファイルが検疫のために評価されたセッションの識別子。
QuarantineSessionIdentifier string ファイルが検疫のために評価されたセッションの識別子。
QuarantineState string ファイルが検疫されているかどうかを示します。
QuarantineSystemHealthResult string 検疫されたファイルの状態を示すレポート。
RelativeTargetName string アクセス対象のファイルまたはフォルダーの相対名。 このファイル パスは、ネットワーク共有に対する相対パスです。 共有自体に対してアクセスが要求された場合、このフィールドは "" と表示されます。
RemoteIpAddress string リモート接続を開始したコンピューターの IP アドレス。
リモート ポート string 接続を開始したリモート コンピューターのポート番号。
要求者 string イベントリクエスター識別子。
RequestId string HTTP 経由で行われた要求など、特定の要求に関連付けられている一意の識別子。
_ResourceId string レコードが関連付けられているリソースの一意識別子
RestrictedAdminMode string RemoteInteractive ログオンの種類のセッションにのみ設定されます。 これは、指定された資格情報が制限付き管理モードを使用して渡されたかどうかを示す Yes/No フラグです。 制限付き管理モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。
RowsDeleted string 特定の操作の一部として削除された行の数。
SamAccountName string 以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるアカウントのログオン名 (Windows 2000 より前のログオン名)。
ScriptPath string アカウントのログオン スクリプトのパスを指定します。
SecurityDescriptor string 特定のオブジェクトまたはリソースのセキュリティ設定とアクセス許可に関する情報。
ServiceAccount string サービスが起動時に実行されるセキュリティ コンテキスト。
ServiceFileName string サービス コントロール マネージャーに登録されたサービスの種類を示します。
ServiceName string インストールされているサービスの名前。
ServiceStartType int 特定のサービスを自動的に開始するか手動で開始するかに関する情報が含まれます。
ServiceType string サービス コントロール マネージャーに登録されたサービスの種類を示します。
SessionName string ユーザーが再接続されたセッションの名前。
ShareLocalPath string アクセスされたネットワーク共有のローカル パス。
ShareName string アクセスされたネットワーク共有の名前。 形式は \*\SHARE_NAME です。
SidHistory string オブジェクトが別のドメインから移動された場合に、オブジェクトに使用された以前の SID が含まれます。
SourceComputerId string Windows ドメイン内の各コンピューターに割り当てられた一意の識別子。
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
状態 string ログオンに失敗した理由。 このイベントの場合、通常は '0xC0000234' 値があります。 最も一般的な状態コードを表 12 に示します。 Windows ログオン状態コード。
StorageAccount string ストレージ アカウントのアクセス キーを設定します。
SubcategoryGuid string 変更されたサブカテゴリの一意の GUID。
SubcategoryId string イベントの特定の種類の一意識別子。
サブジェクト string イベントを開始したセキュリティ プリンシパル (ユーザー アカウントなど) に関する情報。
SubjectAccount string イベントを開始するアカウントに関する情報。
SubjectDomainName string サブジェクト アカウントが属しているドメインまたはワークグループに関する情報。
SubjectKeyIdentifier string 特定の証明書サブジェクトの一意識別子。
SubjectLogonId string サブジェクト アカウントに関連付けられているログオン セッションの一意識別子。
SubjectMachineName string イベントが作成されたコンピューターまたはシステムに関する情報。
SubjectMachineSID string イベントを生成したマシンのセキュリティ識別子 (SID)。
SubjectUserName string イベントを生成したユーザー アカウントの名前。
SubjectUserSid string イベントを生成したユーザー アカウントのセキュリティ識別子 (SID)。
_SubscriptionId string レコードが関連付けられているサブスクリプションの一意識別子
SubStatus string ログオンエラーに関する追加情報。 表 12 に記載されている最も一般的な副状態コード。 Windows ログオン状態コード"。
SystemProcessId int イベントを生成したプロセスを識別します。
SystemThreadId int イベントを生成したスレッドを識別します。
SystemUserId string イベントを担当するユーザーの ID。
TableId string イベント データが格納される特定のデータ テーブル識別子。
TargetAccount string イベントの対象となるアカウント (ユーザー名、コンピューター名など)。
TargetDomainName string ターゲット アカウントが属しているドメインの名前。
TargetInfo string イベント ターゲットに関する追加情報 (ファイルまたはフォルダーへのパス、レジストリ キーの名前など)。
TargetLinkedLogonId string 関連イベントをログオン試行 ID でリンクするのに役立つ情報。 関連するすべてのイベントを整理し、複数のセッションにわたるアクティビティを追跡し、攻撃元を特定する場合に役立ちます。
TargetLogonGuid string イベントに関連するログオン セッションに関連付けられているグローバル一意識別子 (GUID)。
TargetLogonId string イベントに関連するログオン セッションに関連付けられている一意の識別子。
TargetOutboundDomainName string TargetAccount フィールドで指定されたアカウントが、送信認証の試行中に認証されたドメイン。
TargetOutboundUserName string 送信認証の試行中に認証されたユーザー アカウントの名前。
TargetServerName string 新しいプロセスが実行されたサーバーの名前。 プロセスがローカルで実行された場合は、"localhost" 値を持ちます。
TargetSid string 新しいプロセスが実行されたサーバーのセキュリティ識別子 (SID)。
TargetUser string 新しいプロセスを生成したユーザー アカウント識別子。
TargetUserName string 新しいプロセスを生成したユーザー アカウントの名前。
TargetUserSid string イベントに関係するユーザーまたはリソースに関連付けられているセキュリティ識別子 (SID)。
タスク int イベントで定義されたタスク。
TemplateContent string 構造化された形式のイベント メッセージまたは通知の内容。
TemplateDSObjectFQDN string GPO テンプレートを表す DS オブジェクトの FQDN。
TemplateInternalName string GPO テンプレートの内部名。
TemplateOID string イベントの作成に使用されたテンプレートの一意識別子。
TemplateSchemaVersion string イベントに含めるデータを定義するテンプレート スキーマのバージョン。
TemplateVersion string イベントに含めるデータを定義するテンプレートのバージョン。
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime コンピューターでイベントが生成されたときのタイム スタンプ。
TokenElevationType string ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類。
TransmittedServices string 送信されたサービスの一覧。 転送されたサービスは、ログオンが S4U (ユーザー向けサービス) ログオン プロセスの結果である場合に設定されます。 S4U は、アプリケーション サービスがユーザーに代わって Kerberos サービス チケットを取得できるようにするための Kerberos プロトコルの Microsoft 拡張機能です。最も一般的なのは、ユーザーの代わりに内部リソースにアクセスするためにフロントエンド Web サイトによって行われます。 S4U の詳細については、 https://msdn.microsoft.com/library/cc246072.aspxを参照してください。
種類 string テーブルの名前
UserAccountControl string userAccountControl 属性の変更の一覧を表示します。 変更ごとに 1 行のテキストが表示されます。
UserParameters string ユーザーのアカウント プロパティの [ダイヤルイン] タブでActive Directory ユーザーとコンピューター 管理コンソールを使用して設定を変更すると、<値は変更されますが、表示されません>このフィールドに表示されます。 ローカル アカウントの場合、このフィールドは適用されず、常に値 <設定されていません> 。
UserPrincipalName string インターネット標準 RFC 822 に基づく、アカウントのインターネット スタイルのログイン名。 慣例により、これはアカウントの電子メール名にマップされます。
UserWorkstations string ユーザーがログオンできるコンピューターの NetBIOS または DNS 名の一覧が含まれます。 各コンピューター名はコンマで区切られます。 コンピューターの名前は、コンピューター オブジェクトの sAMAccountName プロパティです。
VendorIds string デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
バージョン int イベントの定義のバージョン番号を格納します。
VirtualAccount string "はい" または "いいえ" フラグ。これは、アカウントが仮想アカウント ("マネージド サービス アカウント" など) であるかどうかを示します。これは、Windows 7 と Windows Server 2008 R2 で導入され、特定のサービスが使用するアカウントを識別する機能を提供するために、単に 'NetworkService' を使用するのではなく提供します。
ワークステーション string イベントの実行に使用されたコンピューターの名前。
WorkstationName string ログオン試行が実行されたコンピューター名。