SecurityEvent
Azure Security Center または Azure Sentinel によって Windows マシンから収集されたセキュリティ イベント。
テーブル属性
| 属性 | Value |
|---|---|
| リソースの種類 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | Security、SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | はい |
| サンプル クエリ | はい |
列
| 列 | タイプ | 説明 |
|---|---|---|
| AccessMask | string | 要求または実行された操作の 16 進数マスク。 |
| アカウント | string | サービスまたはユーザーのセキュリティ コンテキスト。 |
| AccountDomain | string | サブジェクトのドメインまたはコンピューター名。 |
| AccountExpires | string | アカウントの有効期限が切れる日付。 |
| AccountName | string | "ドメイン信頼の削除" 操作を要求したアカウントの名前。 |
| AccountSessionIdentifier | string | セッションの作成時にマシンによって生成される一意の識別子。 |
| [AccountType] | string | アカウントがコンピューター アカウント (コンピューター) かユーザーかを識別します。 |
| アクティビティ | string | イベントのわかりやすいタイトルが発生しました。 |
| AdditionalInfo | string | リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。 |
| AdditionalInfo2 | string | リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。 |
| AllowedToDelegateTo | string | このアカウントが委任された資格情報を提示できる SPN の一覧。 |
| 属性 | string | イベントに関する追加情報。 |
| AuditPolicyChanges | string | ファイルまたはレジストリ キーのシステム監査ポリシーまたは監査設定に変更が加えられたときに生成されるイベント。 |
| AuditsDiscarded | int | 破棄された監査メッセージの数。 |
| AuthenticationLevel | int | 破棄された監査メッセージの数。 |
| AuthenticationPackageName | string | 読み込まれた認証パッケージの名前。 形式は、DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAMEです。 |
| AuthenticationProvider | string | 認証プロセスを担当するプロバイダーの ID (証明機関、ユーザー名、パスワード認証システムなどを含めることができます)。 |
| AuthenticationServer | string | 認証プロバイダーを配置したサーバー。 |
| AuthenticationService | int | 認証プロバイダーを配置したサービス。 |
| AuthenticationType | string | イベントに使用された認証の種類 (2 要素認証、生体認証など)。 |
| AzureDeploymentID | string | ログが属しているクラウド サービスの Azure デプロイ ID。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| CACertificateHash | string | イベントを実行したユーザーの認証に使用された証明機関 (CA) 証明書のハッシュ値。 |
| CalledStationID | string | セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。 |
| CallerProcessId | string | ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。 |
| CallerProcessName | string | プロセスの完全パスと実行可能ファイルの名前。 |
| CallingStationID | string | セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。 |
| CAPublicKeyHash | string | 証明書を発行した証明機関 (CA) の公開キーを識別するハッシュ値。 |
| CategoryId | string | 発生したセキュリティ イベントのカテゴリ (ログイン試行、データ侵害など)。 |
| CertificateDatabaseHash | string | 証明書を発行したデータベースを識別するハッシュ値。 |
| Channel | string | イベントがログに記録されたチャネル。 |
| ClassId | string | デバイスの 'Class Guid' 属性。 |
| クラス名 | string | デバイスの 'Class' 属性。 |
| ClientAddress | string | TGT 要求の受信元のコンピューターの IP アドレス。 |
| ClientIPAddress | string | イベントの原因となったアクションを開始したコンピューターの IP アドレス。 |
| ClientName | string | ユーザーが再接続されたコンピューター名。 コンソール セッションの 'Unknown' 値を持ちます。 |
| CommandLine | string | イベントに関係するアプリケーションまたはプロセスに渡されたコマンド ライン引数。 |
| CompatibleIds | string | デバイスの 'Compatible Ids' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| Computer | string | イベントが発生したコンピューターの名前。 |
| Correlation | string | コンシューマーが関連イベントをグループ化するために使用できるアクティビティ識別子。 |
| DCDNSName | string | イベントに関係したドメイン コントローラーの DNS 名。 |
| DeviceDescription | string | イベントに関係したデバイスの説明。 |
| DeviceId | string | イベントに関係したデバイスの一意識別子。 |
| 表示名 | string | これは、特定のアカウントのアドレス帳に表示される名前です。 これは通常、ユーザーの名、ミドルネームのイニシャル、姓の組み合わせです。 |
| Disposition | string | イベントが解決されたかどうか、またはイベントに応答して何らかのアクションが実行されたかどうかなど、イベントの結果/解決。 |
| DomainBehaviorVersion | string | msDS-Behavior-Version ドメイン属性が変更されました。 数値。 |
| DomainName | string | 削除された信頼されたドメインの名前。 |
| DomainPolicyChanged | string | ドメイン ポリシーがイベント (パスワード ポリシー、セキュリティ ポリシーなど) の一部として変更されたかどうかを示します。 |
| DomainSid | string | 信頼パートナーの SID。 このパラメーターはイベントでキャプチャされない可能性があり、その場合は "NULL SID" と表示されます。 |
| EAPType | string | イベント認証プロセスに使用された拡張認証プロトコル (EAP) の種類。 |
| ElevatedToken | string | 'Yes' または 'No' フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者特権を持ちます。 |
| ErrorCode | int | エラー イベントのエラー コードが含まれています。 Success イベントの場合、このパラメーターには '0x0' 値があります。 |
| EventData | string | イベントに関連付けられているイベント固有のデータ。 |
| EventID | int | プロバイダーがイベントの識別に使用した識別子。 |
| EventLevelName | string | イベントで指定されたレベルのレンダリングされたメッセージ文字列。 |
| EventRecordId | string | イベントがログに記録されたときに割り当てられたレコード番号。 |
| イベント ソース名 | string | イベントをログに記録するソフトウェアの名前 (アプリケーションまたはサブコンポーネント)。 |
| ExtendedQuarantineState | string | ネットワーク検疫プロセスの状態 (該当する場合)。 ネットワーク検疫は、承認されていないデバイスが特定のセキュリティ要件を満たすか、マルウェアをチェックされるまで、ネットワークにアクセスできないようにするプロセスです。 |
| FailureReason | string | Status フィールド値のテキスト説明。 このイベントの場合、通常は "Account locked out" 値が設定されます。 |
| FileHash | string | イベントの一部としてアクセスまたは変更されたファイル、または認証または承認プロセスで使用されたファイルのハッシュ値。 |
| FilePath | string | 操作が実行されたキー ファイルの完全なパスとファイル名。 |
| FilePathNoUser | string | ユーザー名やその他のユーザー固有の情報を除く、イベントに関連するファイルのパス。 |
| フィルター | string | 実行されたイベントで使用されるフィルター。 |
| ForceLogoff | string | '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire' グループ ポリシー。 |
| Fqbn | string | イベントに関連するすべてのファイルの完全修飾バイナリ名 (FQBN)。 |
| FullyQualifiedSubjectMachineName | string | イベントを開始したマシンの完全修飾ドメイン名 (FQDN)。 |
| FullyQualifiedSubjectUserName | string | FQDN 形式でイベントを開始したユーザーまたはサービスのユーザー名。 |
| GroupMembership | string | ログに記録されたアカウントが属するグループ SID の一覧 (メンバー)。 イベント ビューアーは、SID の解決とアカウント名の表示を自動的に試行します。 SID を解決できない場合は、イベントにソース データが表示されます。 |
| HandleId | string | オブジェクト名へのハンドルの 16 進数の値。 このフィールドは、他のイベントとの相関関係に使用できます。 |
| HardwareIds | string | デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| HomeDirectory | string | ユーザーのホーム ディレクトリ。 homeDrive 属性が設定され、ドライブ文字を指定する場合、homeDirectory は UNC パスである必要があります。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。 |
| HomePath | string | ユーザーのホーム パス。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。 |
| InterfaceUuid | string | イベントに使用されたネットワーク インターフェイスの一意識別子 (UUID)。 |
| IpAddress | string | イベントに関連付けられているネットワーク アドレス (通常は IPv4 または IPv6)。 |
| IpPort | string | イベントに関連付けられているネットワーク ポート番号。 |
| _IsBillable | string | データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| Keylength | int | NTLM セッション セキュリティ キーの長さ。 通常、長さは 128 ビットまたは 56 ビットです。 |
| キーワード | string | イベントで定義されたキーワードのビットマスク。 |
| Level | string | Windows では、すべてのイベントが重大度レベルで分類されます。 重大度の順のレベルは、情報、詳細、警告、エラー、および重要な数値で表されます。 |
| LmPackageName | string | イベントが生成されているコンピューターで現在ローカル セキュリティ機関 (LSA) を使用しているパッケージまたはソフトウェア コンポーネントの名前。 |
| LocationInformation | string | デバイスの "位置情報" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| LockoutDuration | string | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration' グループ ポリシー。 数値。 |
| LockoutObservationWindow | string | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' グループ ポリシー。 数値。 |
| LockoutThreshold | string | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold' グループ ポリシー。 数値。 |
| LoggingResult | string | ログオン プロセスの結果。 |
| LogonGuid | string | このイベントを、同じログオン GUID を含むことができる別のイベントと関連付けるのに役立つ GUID。 |
| LogonHours | string | アカウントがドメインへのログオンを許可されている時間。 |
| LogonID | string | このイベントを、同じログオン ID を含む可能性がある最近のイベントと関連付けるのに役立つ 16 進値。 |
| LogonProcessName | string | 登録済みログオン プロセスの名前。 |
| LogonType | int | 実行されたログオンの種類。 |
| LogonTypeName | string | イベント ログによってキャプチャされるログオンまたは認証イベントの種類 (共通値:Interactive、Network、RemoteInteractive、Unlock)。 |
| MachineAccountQuota | string | ms-DS-MachineAccountQuota ドメイン属性が変更されました。 数値。 |
| MachineInventory | string | イベントが生成されているコンピューターのハードウェア構成とソフトウェア環境に関する情報。 たとえば、コンピューターの作成とモデル、使用可能な RAM またはストレージ領域の量、さまざまなソフトウェア アプリケーションのバージョン番号など、さまざまなデータ ポイントを含めることができます。 |
| MachineLogon | string | コンピューターでのログオン イベントの成功に関する情報。 |
| ManagementGroupName | string | リソースの種類に基づく追加情報。 |
| MandatoryLabel | string | 新しいプロセスに割り当てられた整合性ラベルの ID。 |
| MaxPasswordAge | string | システムがユーザーにパスワードの変更を要求するまでにパスワードを使用できる期間 (日数)。 |
| MemberName | string | イベントに関係したユーザー アカウント。 |
| MemberSid | string | イベントに関係したユーザー アカウントに関連付けられているセキュリティ識別子 (SID)。 |
| MinPasswordAge | string | ユーザーがパスワードを変更する前にパスワードを使用する必要がある期間 (日数)。 |
| MinPasswordLength | string | ユーザー アカウントのパスワードを構成できる最小文字数。 |
| MixedDomainMode | string | システムまたはドメイン コントローラーのドメイン モード。 |
| NASIdentifier | string | イベントに関係したネットワーク アクセス サーバー (NAS) の識別子。 |
| NASIPv4Address | string | イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv4Address (該当する場合)。 |
| NASIPv6Address | string | イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv6Address (該当する場合)。 |
| NASPort | string | イベントで使用されたネットワーク アクセス サーバー上のポート。 |
| NASPortType | string | イベントで使用されるネットワーク アクセス サーバー (NAS) の種類。 |
| NetworkPolicyName | string | イベントに関連付けられているネットワーク ポリシーの名前。 |
| NewDate | string | UTC タイム ゾーンの新しい日付。 YYYY-MM-DD という形式です。 |
| NewMaxUsers | string | イベントでリソースに対して許可される新しい最大ユーザー数。 |
| NewProcessId | string | 新しいプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。 |
| NewProcessName | string | 新しいプロセスの完全パスと実行可能ファイルの名前。 |
| NewRemark | string | ネットワーク共有 'Comments:' フィールドの新しい値。 設定されていない場合は、'N/A' 値を持っています。 |
| NewShareFlags | string | たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報など、イベント内のリソースに関連付けられている共有フラグ。 |
| NewTime | string | UTC タイム ゾーンで設定された新しい時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です |
| NewUacValue | string | ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 |
| NewValue | string | 変更されたレジストリ キー値の新しい値。 |
| NewValueType | string | 新しい種類の変更されたレジストリ キー値。 |
| ObjectName | string | アクセスが要求されたオブジェクトの名前とその他の識別情報。 たとえば、ファイルの場合、パスが含まれます。 |
| ObjectServer | string | ルーチンを呼び出す Windows サブシステムの名前を格納します。 |
| ObjectType | string | 操作中にアクセスされたオブジェクトの型。 |
| ObjectValueName | string | 変更されたレジストリ キー値の名前。 |
| OemInformation | string | イベントのデバイスまたはシステムに関連付けられている元の機器メーカー (OEM)。 |
| OldMaxUsers | string | イベントでリソースに対して許可された以前のユーザーの最大数。 |
| OldRemark | string | ネットワーク共有 'Comments:' フィールドの古い値。 設定されていない場合は、'N/A' 値を持っています。 |
| OldShareFlags | string | イベント内のリソースに関連付けられている以前の共有フラグ。たとえば、リソースが読み取り専用か読み取り/書き込みか、非表示かどうか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報。 |
| OldUacValue | string | ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 このパラメーターには、user オブジェクトの userAccountControl 属性の以前の値が含まれています。 |
| OldValue | string | 変更されたレジストリ キー値の古い値。 |
| OldValueType | string | 変更されたレジストリ キー値の古い種類。 |
| オペコード | string | オペコード要素は、SystemPropertiesType 複合型によって定義されます。 |
| OperationType | string | オブジェクトに対して実行された操作の種類 |
| PackageName | string | ログオン時に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名前。 |
| ParentProcessName | string | イベントに関連付けられている親プロセスの名前。 |
| PasswordHistoryLength | string | \セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワード履歴の適用" グループ ポリシー。 数値。 |
| PasswordLastSet | string | アカウントのパスワードが最後に変更された時刻。 |
| PasswordProperties | string | イベントに関連付けられているパスワード ポリシーまたはプロパティ (パスワードの長さ、複雑さ、有効期限など)。 |
| PreviousDate | string | イベントに関連付けられた前の日付。 |
| PreviousTime | string | UTC タイム ゾーンでの以前の時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です。 |
| PrimaryGroupId | string | ユーザーのオブジェクト プライマリ グループの相対識別子 (RID)。 |
| PrivateKeyUsageCount | string | 秘密キーが使用された回数。 |
| PrivilegeList | string | イベントに関連付けられているユーザー、グループ、またはシステムの特権を含む特権。 |
| プロセス | string | イベントを生成するプロセスの名前。 |
| ProcessId | string | イベントを生成したプロセスを識別します。 |
| ProcessName | string | プロセスの完全パスと実行可能ファイルの名前。 |
| ProfilePath | string | アカウントのプロファイルへのパスを指定します。 この値には、null文字列、ローカル絶対パス、またはUNCパスを指定できます。 |
| プロパティ | string | オブジェクトの種類によって異なります。 このフィールドは空にすることも、アクセスされたオブジェクト プロパティの一覧を含めることもできます。 |
| プロトコルシーケンス | string | 認証の試行に使用されるプロトコルに関する情報。 |
| ProxyPolicyName | string | ネットワークに接続するためのプロキシ サーバーの構成に使用されたポリシーの名前。 |
| QuarantineHelpURL | string | ネットワーク検疫の問題のトラブルシューティングに役立つ URL。 |
| QuarantineSessionID | string | ファイルが検疫のために評価されたセッションの識別子。 |
| QuarantineSessionIdentifier | string | ファイルが検疫のために評価されたセッションの識別子。 |
| QuarantineState | string | ファイルが検疫されているかどうかを示します。 |
| QuarantineSystemHealthResult | string | 検疫されたファイルの状態を示すレポート。 |
| RelativeTargetName | string | アクセス対象のファイルまたはフォルダーの相対名。 このファイル パスは、ネットワーク共有に対する相対パスです。 共有自体に対してアクセスが要求された場合、このフィールドは "" と表示されます。 |
| RemoteIpAddress | string | リモート接続を開始したコンピューターの IP アドレス。 |
| リモート ポート | string | 接続を開始したリモート コンピューターのポート番号。 |
| 要求者 | string | イベントリクエスター識別子。 |
| RequestId | string | HTTP 経由で行われた要求など、特定の要求に関連付けられている一意の識別子。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| RestrictedAdminMode | string | RemoteInteractive ログオンの種類のセッションにのみ設定されます。 これは、指定された資格情報が制限付き管理モードを使用して渡されたかどうかを示す Yes/No フラグです。 制限付き管理モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。 |
| RowsDeleted | string | 特定の操作の一部として削除された行の数。 |
| SamAccountName | string | 以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるアカウントのログオン名 (Windows 2000 より前のログオン名)。 |
| ScriptPath | string | アカウントのログオン スクリプトのパスを指定します。 |
| SecurityDescriptor | string | 特定のオブジェクトまたはリソースのセキュリティ設定とアクセス許可に関する情報。 |
| ServiceAccount | string | サービスが起動時に実行されるセキュリティ コンテキスト。 |
| ServiceFileName | string | サービス コントロール マネージャーに登録されたサービスの種類を示します。 |
| ServiceName | string | インストールされているサービスの名前。 |
| ServiceStartType | int | 特定のサービスを自動的に開始するか手動で開始するかに関する情報が含まれます。 |
| ServiceType | string | サービス コントロール マネージャーに登録されたサービスの種類を示します。 |
| SessionName | string | ユーザーが再接続されたセッションの名前。 |
| ShareLocalPath | string | アクセスされたネットワーク共有のローカル パス。 |
| ShareName | string | アクセスされたネットワーク共有の名前。 形式は \*\SHARE_NAME です。 |
| SidHistory | string | オブジェクトが別のドメインから移動された場合に、オブジェクトに使用された以前の SID が含まれます。 |
| SourceComputerId | string | Windows ドメイン内の各コンピューターに割り当てられた一意の識別子。 |
| SourceSystem | string | イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| 状態 | string | ログオンに失敗した理由。 このイベントの場合、通常は '0xC0000234' 値があります。 最も一般的な状態コードを表 12 に示します。 Windows ログオン状態コード。 |
| StorageAccount | string | ストレージ アカウントのアクセス キーを設定します。 |
| SubcategoryGuid | string | 変更されたサブカテゴリの一意の GUID。 |
| SubcategoryId | string | イベントの特定の種類の一意識別子。 |
| サブジェクト | string | イベントを開始したセキュリティ プリンシパル (ユーザー アカウントなど) に関する情報。 |
| SubjectAccount | string | イベントを開始するアカウントに関する情報。 |
| SubjectDomainName | string | サブジェクト アカウントが属しているドメインまたはワークグループに関する情報。 |
| SubjectKeyIdentifier | string | 特定の証明書サブジェクトの一意識別子。 |
| SubjectLogonId | string | サブジェクト アカウントに関連付けられているログオン セッションの一意識別子。 |
| SubjectMachineName | string | イベントが作成されたコンピューターまたはシステムに関する情報。 |
| SubjectMachineSID | string | イベントを生成したマシンのセキュリティ識別子 (SID)。 |
| SubjectUserName | string | イベントを生成したユーザー アカウントの名前。 |
| SubjectUserSid | string | イベントを生成したユーザー アカウントのセキュリティ識別子 (SID)。 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| SubStatus | string | ログオンエラーに関する追加情報。 表 12 に記載されている最も一般的な副状態コード。 Windows ログオン状態コード"。 |
| SystemProcessId | int | イベントを生成したプロセスを識別します。 |
| SystemThreadId | int | イベントを生成したスレッドを識別します。 |
| SystemUserId | string | イベントを担当するユーザーの ID。 |
| TableId | string | イベント データが格納される特定のデータ テーブル識別子。 |
| TargetAccount | string | イベントの対象となるアカウント (ユーザー名、コンピューター名など)。 |
| TargetDomainName | string | ターゲット アカウントが属しているドメインの名前。 |
| TargetInfo | string | イベント ターゲットに関する追加情報 (ファイルまたはフォルダーへのパス、レジストリ キーの名前など)。 |
| TargetLinkedLogonId | string | 関連イベントをログオン試行 ID でリンクするのに役立つ情報。 関連するすべてのイベントを整理し、複数のセッションにわたるアクティビティを追跡し、攻撃元を特定する場合に役立ちます。 |
| TargetLogonGuid | string | イベントに関連するログオン セッションに関連付けられているグローバル一意識別子 (GUID)。 |
| TargetLogonId | string | イベントに関連するログオン セッションに関連付けられている一意の識別子。 |
| TargetOutboundDomainName | string | TargetAccount フィールドで指定されたアカウントが、送信認証の試行中に認証されたドメイン。 |
| TargetOutboundUserName | string | 送信認証の試行中に認証されたユーザー アカウントの名前。 |
| TargetServerName | string | 新しいプロセスが実行されたサーバーの名前。 プロセスがローカルで実行された場合は、"localhost" 値を持ちます。 |
| TargetSid | string | 新しいプロセスが実行されたサーバーのセキュリティ識別子 (SID)。 |
| TargetUser | string | 新しいプロセスを生成したユーザー アカウント識別子。 |
| TargetUserName | string | 新しいプロセスを生成したユーザー アカウントの名前。 |
| TargetUserSid | string | イベントに関係するユーザーまたはリソースに関連付けられているセキュリティ識別子 (SID)。 |
| タスク | int | イベントで定義されたタスク。 |
| TemplateContent | string | 構造化された形式のイベント メッセージまたは通知の内容。 |
| TemplateDSObjectFQDN | string | GPO テンプレートを表す DS オブジェクトの FQDN。 |
| TemplateInternalName | string | GPO テンプレートの内部名。 |
| TemplateOID | string | イベントの作成に使用されたテンプレートの一意識別子。 |
| TemplateSchemaVersion | string | イベントに含めるデータを定義するテンプレート スキーマのバージョン。 |
| TemplateVersion | string | イベントに含めるデータを定義するテンプレートのバージョン。 |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | datetime | コンピューターでイベントが生成されたときのタイム スタンプ。 |
| TokenElevationType | string | ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類。 |
| TransmittedServices | string | 送信されたサービスの一覧。 転送されたサービスは、ログオンが S4U (ユーザー向けサービス) ログオン プロセスの結果である場合に設定されます。 S4U は、アプリケーション サービスがユーザーに代わって Kerberos サービス チケットを取得できるようにするための Kerberos プロトコルの Microsoft 拡張機能です。最も一般的なのは、ユーザーの代わりに内部リソースにアクセスするためにフロントエンド Web サイトによって行われます。 S4U の詳細については、 https://msdn.microsoft.com/library/cc246072.aspxを参照してください。 |
| 種類 | string | テーブルの名前 |
| UserAccountControl | string | userAccountControl 属性の変更の一覧を表示します。 変更ごとに 1 行のテキストが表示されます。 |
| UserParameters | string | ユーザーのアカウント プロパティの [ダイヤルイン] タブでActive Directory ユーザーとコンピューター 管理コンソールを使用して設定を変更すると、<値は変更されますが、表示されません>このフィールドに表示されます。 ローカル アカウントの場合、このフィールドは適用されず、常に値 <設定されていません> 。 |
| UserPrincipalName | string | インターネット標準 RFC 822 に基づく、アカウントのインターネット スタイルのログイン名。 慣例により、これはアカウントの電子メール名にマップされます。 |
| UserWorkstations | string | ユーザーがログオンできるコンピューターの NetBIOS または DNS 名の一覧が含まれます。 各コンピューター名はコンマで区切られます。 コンピューターの名前は、コンピューター オブジェクトの sAMAccountName プロパティです。 |
| VendorIds | string | デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| バージョン | int | イベントの定義のバージョン番号を格納します。 |
| VirtualAccount | string | "はい" または "いいえ" フラグ。これは、アカウントが仮想アカウント ("マネージド サービス アカウント" など) であるかどうかを示します。これは、Windows 7 と Windows Server 2008 R2 で導入され、特定のサービスが使用するアカウントを識別する機能を提供するために、単に 'NetworkService' を使用するのではなく提供します。 |
| ワークステーション | string | イベントの実行に使用されたコンピューターの名前。 |
| WorkstationName | string | ログオン試行が実行されたコンピューター名。 |