다음을 통해 공유


SecurityEvent

Azure Security Center 또는 Azure Sentinel에서 Windows 머신에서 수집된 보안 이벤트입니다.

테이블 특성

attribute
리소스 종류 microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
범주 보안
솔루션 보안, SecurityInsights
기본 로그 아니요
수집 시간 변환
샘플 쿼리

Column Type 설명
AccessMask string 요청되거나 수행된 작업에 대한 16진수 마스크입니다.
어카운트 string 서비스 또는 사용자에 대한 보안 컨텍스트입니다.
AccountDomain string 주체의 도메인 또는 컴퓨터 이름입니다.
AccountExpires string 계정이 만료되는 날짜입니다.
AccountName string "도메인 트러스트 제거" 작업을 요청한 계정의 이름입니다.
AccountSessionIdentifier string 세션을 만들 때 컴퓨터에서 생성되는 고유 식별자입니다.
AccountType string 계정이 컴퓨터 계정(컴퓨터) 또는 사용자의 계정인지 여부를 식별합니다.
활동 string 이벤트의 설명 제목이 발생했습니다.
AdditionalInfo string 목록으로 표시되는 다른 필드에 매핑되지 않는 원본에서 제공하는 추가 정보입니다.
AdditionalInfo2 string 목록으로 표시되는 다른 필드에 매핑되지 않는 원본에서 제공하는 추가 정보입니다.
AllowedToDelegateTo string 이 계정이 위임된 자격 증명을 표시할 수 있는 SPN 목록입니다.
특성 string 이벤트에 대한 추가 정보입니다.
AuditPolicyChanges string 파일 또는 레지스트리 키의 시스템 감사 정책 또는 감사 설정을 변경할 때 생성되는 이벤트입니다.
AuditsDiscarded int 삭제된 감사 메시지 수입니다.
AuthenticationLevel int 삭제된 감사 메시지 수입니다.
AuthenticationPackageName string 로드된 인증 패키지의 이름입니다. 형식은 DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME.
AuthenticationProvider string 인증 프로세스를 담당하는 공급자의 ID입니다(인증 기관, 사용자 이름, 암호 인증 시스템 등을 포함할 수 있습니다).
AuthenticationServer string 인증 공급자를 찾은 서버입니다.
AuthenticationService int 인증 공급자를 찾은 서비스입니다.
AuthenticationType string 이벤트에 사용된 인증 유형(2단계 인증, 생체 인식 인증 등)입니다.
AzureDeploymentID string 로그가 속한 클라우드 서비스의 Azure 배포 ID입니다.
_BilledSize real 레코드 크기(바이트)
CACertificateHash string 이벤트를 수행한 사용자를 인증하는 데 사용된 CA(인증 기관) 인증서의 해시 값입니다.
CalledStationID string 보안 이벤트로 이어진 작업을 시작한 스테이션의 ID에 대한 정보입니다.
CallerProcessId string 로그온을 시도한 프로세스의 16진수 프로세스 ID입니다. PID(프로세스 ID)는 운영 체제에서 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다.
CallerProcessName string 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다.
CallingStationID string 보안 이벤트로 이어진 작업을 시작한 스테이션의 ID에 대한 정보입니다.
CAPublicKeyHash string 인증서를 발급한 CA(인증 기관)의 공개 키를 식별하는 해시 값입니다.
CategoryId string 발생한 보안 이벤트의 범주입니다(로그인 시도, 데이터 위반 등).
CertificateDatabaseHash string 인증서를 발급한 데이터베이스를 식별하는 해시 값입니다.
채널 string 이벤트가 기록된 채널입니다.
ClassId string 디바이스의 '클래스 Guid' 특성입니다.
응용 프로그램 이름 string 디바이스의 '클래스' 특성입니다.
ClientAddress string TGT 요청을 받은 컴퓨터의 IP 주소입니다.
ClientIPAddress string 이벤트를 발생시킨 작업을 시작한 컴퓨터의 IP 주소입니다.
ClientName string 사용자가 다시 연결된 컴퓨터 이름입니다. 콘솔 세션에 대한 '알 수 없음' 값이 있습니다.
CommandLine string 이벤트에 관련된 애플리케이션 또는 프로세스에 전달된 명령줄 인수입니다.
CompatibleIds string 디바이스의 '호환 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다.
컴퓨터 string 이벤트가 발생한 컴퓨터의 이름입니다.
Correlation string 소비자가 관련 이벤트를 그룹화하기 위해 사용할 수 있는 활동 식별자입니다.
DCDNSName string 이벤트에 관련된 도메인 컨트롤러의 DNS 이름입니다.
DeviceDescription string 이벤트에 관련된 디바이스에 대한 설명입니다.
DeviceId string 이벤트에 관련된 디바이스의 고유 식별자입니다.
DisplayName string 특정 계정의 주소록에 표시되는 이름입니다. 이는 일반적으로 사용자의 이름, 중간 이니셜 및 성의 조합입니다.
심성 string 이벤트 결과/해결(예: 이벤트가 확인되었는지 여부 또는 이벤트에 대한 응답으로 어떤 작업이 수행되었는지 여부)입니다.
DomainBehaviorVersion string msDS-Behavior-Version 도메인 특성이 수정되었습니다. 숫자 값입니다.
DomainName string 제거된 신뢰할 수 있는 도메인의 이름입니다.
DomainPolicyChanged string 도메인 정책이 이벤트의 일부로 변경되었는지 여부를 나타냅니다(암호 정책, 보안 정책 등).
DomainSid string 트러스트 파트너의 SID입니다. 이 매개 변수는 이벤트에서 캡처되지 않을 수 있으며 이 경우 'NULL SID'로 표시됩니다.
EAPType string 이벤트 인증 프로세스에 사용된 EAP(Extensible Authentication Protocol) 형식입니다.
ElevatedToken string '예' 또는 '아니요' 플래그입니다. '예'이면 이 이벤트가 나타내는 세션이 상승되고 관리자 권한이 있습니다.
오류 코드 int 오류 이벤트에 대한 오류 코드를 포함합니다. 성공 이벤트의 경우 이 매개 변수에는 '0x0' 값이 있습니다.
EventData string 이벤트와 연결된 이벤트별 데이터입니다.
EventID int 공급자가 이벤트를 식별하는 데 사용한 식별자입니다.
EventLevelName string 이벤트에 지정된 수준의 렌더링된 메시지 문자열입니다.
EventRecordId string 기록될 때 이벤트에 할당된 레코드 번호입니다.
EventSourceName string 이벤트를 기록하는 소프트웨어의 이름입니다(응용 프로그램 구성 요소).
ExtendedQuarantineState string 해당하는 경우 네트워크 격리 프로세스의 상태입니다. 네트워크 격리는 권한이 없는 디바이스가 특정 보안 요구 사항을 충족하거나 맬웨어를 검사할 때까지 네트워크에 액세스하지 못하게 하는 프로세스입니다.
FailureReason string 상태 필드 값에 대한 텍스트 설명입니다. 이 이벤트의 경우 일반적으로 '계정 잠금' 값이 있습니다.
FileHash string 이벤트의 일부로 액세스 또는 수정된 파일 또는 인증 또는 권한 부여 프로세스에 사용된 파일의 해시 값입니다.
FilePath string 작업이 수행된 키 파일의 전체 경로 및 파일 이름입니다.
FilePathNoUser string 사용자 이름 또는 기타 사용자별 정보를 제외한 이벤트와 관련된 파일의 경로입니다.
필터 string 수행된 이벤트에 사용되는 필터입니다.
ForceLogoff string '\Security Settings\Local Policies\Security Options\Network security: force logoff when logon hours expire' group policy.
Fqbn string 이벤트와 관련된 모든 파일에 대한 FQBN(정규화된 이진 이름)입니다.
FullyQualifiedSubjectMachineName string 이벤트를 시작한 컴퓨터의 FQDN(정규화된 도메인 이름)입니다.
FullyQualifiedSubjectUserName string FQDN 형식으로 이벤트를 시작한 사용자 또는 서비스의 사용자 이름입니다.
GroupMembership string 기록된 계정이 속한 그룹 SID 목록입니다(멤버). 이벤트 뷰어 자동으로 SID를 확인하고 계정 이름을 표시하려고 시도합니다. SID를 확인할 수 없는 경우 이벤트에 원본 데이터가 표시됩니다.
HandleId string 개체 이름에 대한 핸들의 16진수 값입니다. 이 필드는 다른 이벤트와의 상관 관계에 사용할 수 있습니다.
HardwareIds string 디바이스의 '하드웨어 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다.
HomeDirectory string 사용자의 홈 디렉터리입니다. homeDrive 특성이 설정되고 드라이브 문자를 지정하는 경우 homeDirectory는 UNC 경로여야 합니다. 경로는 \Server\Share\Directory 형식의 네트워크 UNC여야 합니다.
HomePath string 사용자의 홈 경로입니다. 경로는 \Server\Share\Directory 형식의 네트워크 UNC여야 합니다.
InterfaceUuid string 이벤트에 사용된 네트워크 인터페이스의 UUID(고유 식별자)입니다.
IpAddress string 이벤트와 연결된 네트워크 주소(일반적으로 IPv4 또는 IPv6)입니다.
IpPort string 이벤트와 연결된 네트워크 포트 번호입니다.
_IsBillable string 데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다.
키 길이 int NTLM 세션 보안 키의 길이입니다. 일반적으로 128비트 또는 56비트 길이입니다.
키워드 string 이벤트에 정의된 키워드의 비트 마스크입니다.
수준 string Windows는 모든 이벤트를 심각도 수준으로 분류합니다. 심각도 순서의 수준은 정보, 자세한 정보, 경고, 오류 및 숫자로 표현되는 위험입니다.
LmPackageName string 이벤트가 생성되는 컴퓨터에서 현재 LSA(로컬 보안 기관)를 사용하는 패키지 또는 소프트웨어 구성 요소의 이름입니다.
LocationInformation string 디바이스의 '위치 정보' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다.
LockoutDuration string '\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 기간' 그룹 정책입니다. 숫자 값입니다.
LockoutObservationWindow string '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' group policy. 숫자 값입니다.
LockoutThreshold string '\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 임계값' 그룹 정책입니다. 숫자 값입니다.
LoggingResult string 로그온 프로세스의 결과입니다.
LogonGuid string 이 이벤트를 동일한 로그온 GUID를 포함할 수 있는 다른 이벤트와 상관 관계를 지정하는 데 도움이 되는 GUID입니다.
LogonHours string 계정이 도메인에 로그온할 수 있는 시간입니다.
LogonID string 이 이벤트를 동일한 로그온 ID를 포함할 수 있는 최근 이벤트와 상관 관계를 지정하는 데 도움이 되는 16진수 값입니다.
LogonProcessName string 등록된 로그온 프로세스의 이름입니다.
LogonType int 수행된 로그온 유형입니다.
LogonTypeName string 이벤트 로그에 의해 캡처되는 로그온 또는 인증 이벤트의 유형입니다(일반 값:Interactive, Network, RemoteInteractive, Unlock).
MachineAccountQuota string ms-DS-MachineAccountQuota 도메인 특성이 수정되었습니다. 숫자 값입니다.
MachineInventory string 이벤트가 생성되는 컴퓨터의 하드웨어 구성 및 소프트웨어 환경에 대한 정보입니다. 예를 들어 컴퓨터의 만들기 및 모델, 사용 가능한 RAM 또는 스토리지 공간의 양, 다양한 소프트웨어 애플리케이션의 버전 번호 등 다양한 데이터 요소를 포함할 수 있습니다.
MachineLogon string 컴퓨터의 성공적인 로그온 이벤트에 대한 정보입니다.
ManagementGroupName string 리소스 종류에 따른 추가 정보입니다.
MandatoryLabel string 새 프로세스에 할당된 무결성 레이블의 ID입니다.
MaxPasswordAge string 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용할 수 있는 기간(일)입니다.
MemberName string 이벤트에 관련된 사용자 계정입니다.
MemberSid string 이벤트에 관련된 사용자 계정과 연결된 SID(보안 식별자)입니다.
MinPasswordAge string 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용해야 하는 기간(일)입니다.
MinPasswordLength string 사용자 계정의 암호를 구성할 수 있는 최소 문자 수입니다.
MixedDomainMode string 시스템 또는 도메인 컨트롤러의 도메인 모드입니다.
NASIdentifier string 이벤트에 관련된 NAS(네트워크 액세스 서버)의 식별자입니다.
NASIPv4Address string 해당하는 경우 이벤트에 관련된 NAS(네트워크 액세스 서버)의 IPv4Address입니다.
NASIPv6Address string 해당하는 경우 이벤트에 관련된 NAS(네트워크 액세스 서버)의 IPv6Address입니다.
NASPort string 이벤트에 사용된 네트워크 액세스 서버의 포트입니다.
NASPortType string 이벤트에 사용되는 NAS(네트워크 액세스 서버) 유형입니다.
NetworkPolicyName string 이벤트와 연결된 네트워크 정책의 이름입니다.
NewDate string UTC 표준 시간대의 새 날짜입니다. 형식은 YYYY-MM-DD입니다.
NewMaxUsers string 이벤트의 리소스에 허용되는 새 최대 사용자 수입니다.
NewProcessId string 새 프로세스의 16진수 프로세스 ID입니다. PID(프로세스 ID)는 운영 체제에서 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다.
NewProcessName string 새 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다.
NewRemark string 네트워크 공유 '메모:' 필드의 새 값입니다. 설정되지 않은 경우 'N/A' 값이 있습니다.
NewShareFlags string 이벤트의 리소스와 연결된 공유 플래그(예: 리소스가 읽기 전용인지 읽기/쓰기인지 여부, 숨겨진지 여부 및 액세스 및 권한에 영향을 줄 수 있는 기타 매개 변수)에 대한 정보입니다.
NewTime string UTC 표준 시간대로 설정된 새 시간입니다. 형식은 YYYY-MM-DDThh:mm:ss.nnnnnnnZ입니다.
NewUacValue string 사용자 계정에 대한 암호, 잠금, 사용 안 함/사용, 스크립트 및 기타 동작을 제어하는 플래그를 지정합니다.
NewValue string 변경된 레지스트리 키 값에 대한 새 값입니다.
NewValueType string 변경된 레지스트리 키 값의 새 형식입니다.
ObjectName string 액세스가 요청된 개체의 이름 및 기타 식별 정보입니다. 예를 들어 파일의 경우 경로가 포함됩니다.
ObjectServer string 루틴을 호출하는 Windows 하위 시스템의 이름을 포함합니다.
ObjectType string 작업 중에 액세스한 개체의 형식입니다.
ObjectValueName string 수정된 레지스트리 키 값의 이름입니다.
OemInformation string 이벤트에서 디바이스 또는 시스템과 연결된 OEM(원래 장비 제조업체)입니다.
OldMaxUsers string 이벤트에서 리소스에 대해 허용된 이전 최대 사용자 수입니다.
OldRemark string 네트워크 공유 '메모:' 필드의 이전 값입니다. 설정되지 않은 경우 'N/A' 값이 있습니다.
OldShareFlags string 이벤트의 리소스와 연결된 이전 공유 플래그(예: 리소스가 읽기 전용인지 읽기/쓰기인지 여부, 숨겨진지 여부 및 액세스 및 권한에 영향을 줄 수 있는 기타 매개 변수)에 대한 정보입니다.
OldUacValue string 사용자 계정에 대한 암호, 잠금, 사용 안 함/사용, 스크립트 및 기타 동작을 제어하는 플래그를 지정합니다. 이 매개 변수는 사용자 개체의 userAccountControl 특성의 이전 값을 포함합니다.
OldValue string 변경된 레지스트리 키 값의 이전 값입니다.
OldValueType string 이전 유형의 변경된 레지스트리 키 값입니다.
Opcode string opcode 요소는 SystemPropertiesType 복합 형식으로 정의됩니다.
OperationType string 개체에서 수행된 작업의 형식입니다.
PackageName string 로그온하는 동안 사용된 LAN Manager 하위 패키지(NTLM 패밀리 프로토콜 이름)의 이름입니다.
ParentProcessName string 이벤트와 연결된 부모 프로세스의 이름입니다.
PasswordHistoryLength string \Security Settings\Account Policies\Password Policy\Enforce password history" group policy. 숫자 값입니다.
PasswordLastSet string 마지막으로 계정의 암호를 수정했습니다.
PasswordProperties string 이벤트와 연결된 암호 정책 또는 속성(예: 암호 길이, 복잡성 및 만료 날짜)입니다.
PreviousDate string 이벤트와 연결된 이전 날짜입니다.
PreviousTime string UTC 표준 시간대의 이전 시간입니다. 형식은 YYYY-MM-DDThh:mm:ss.nnnnnnnz입니다.
PrimaryGroupId string 사용자 개체 기본 그룹의 RID(상대 식별자)입니다.
PrivateKeyUsageCount string 프라이빗 키가 사용된 횟수입니다.
PrivilegeList string 이벤트와 연결된 사용자, 그룹 또는 시스템 권한을 포함한 권한입니다.
Process string 이벤트를 생성하는 프로세스의 이름입니다.
ProcessId string 이벤트를 생성한 프로세스를 식별합니다.
ProcessName string 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다.
ProfilePath string 계정 프로필의 경로를 지정합니다. 이 값은 null 문자열, 로컬 절대 경로 또는 UNC 경로일 수 있습니다.
속성 string 개체 형식에 따라 다릅니다. 이 필드는 비어 있거나 액세스된 개체 속성 목록을 포함할 수 있습니다.
ProtocolSequence string 인증 시도에 사용되는 프로토콜에 대한 정보입니다.
ProxyPolicyName string 네트워크에 연결하기 위해 프록시 서버를 구성하는 데 사용된 정책의 이름입니다.
QuarantineHelpURL string 네트워크 격리 문제 해결에 도움이 되는 URL입니다.
QuarantineSessionID string 파일이 격리에 대해 평가된 세션의 식별자입니다.
QuarantineSessionIdentifier string 파일이 격리에 대해 평가된 세션의 식별자입니다.
QuarantineState string 파일이 격리되었는지 여부를 표시합니다.
QuarantineSystemHealthResult string 격리된 파일의 상태를 보여 주는 보고서입니다.
RelativeTargetName string 액세스한 대상 파일 또는 폴더의 상대 이름입니다. 이 파일 경로는 네트워크 공유를 기준으로 합니다. 공유 자체에 대한 액세스가 요청된 경우 이 필드는 ""로 표시됩니다.
RemoteIpAddress string 원격 연결을 시작한 컴퓨터의 IP 주소입니다.
RemotePort string 연결을 시작한 원격 컴퓨터의 포트 번호입니다.
요청자 string 이벤트 요청자 식별자입니다.
RequestID string HTTP를 통해 만들어진 요청과 같은 특정 요청과 연결된 고유 식별자입니다.
_ResourceId string 레코드가 연결된 리소스의 고유 식별자입니다.
RestrictedAdminMode string RemoteInteractive 로그온 유형 세션에 대해서만 채워집니다. 제공된 자격 증명이 제한된 관리 모드를 사용하여 전달되었는지 여부를 나타내는 예/아니요 플래그입니다. 제한된 관리 모드가 Win8.1/2012R2에 추가되었지만 이 플래그는 Win10의 이벤트에 추가되었습니다.
RowsDeleted string 특정 작업의 일부로 삭제된 행 수입니다.
SamAccountName string 이전 버전의 Windows에서 클라이언트 및 서버를 지원하는 데 사용되는 계정의 로그온 이름(Windows 2000 이전 로그온 이름).
ScriptPath string 계정 로그온 스크립트의 경로를 지정합니다.
SecurityDescriptor string 특정 개체 또는 리소스의 보안 설정 및 권한에 대한 정보입니다.
ServiceAccount string 서비스가 시작될 때 실행되는 보안 컨텍스트입니다.
ServiceFileName string 서비스 제어 관리자에 등록된 서비스 유형을 나타냅니다.
ServiceName string 설치된 서비스의 이름입니다.
ServiceStartType int 특정 서비스를 자동으로 시작해야 하는지 또는 수동으로 시작해야 하는지에 대한 정보를 포함합니다.
ServiceType string 서비스 제어 관리자에 등록된 서비스 유형을 나타냅니다.
SessionName string 사용자가 다시 연결된 세션의 이름입니다.
ShareLocalPath string 액세스된 네트워크 공유의 로컬 경로입니다.
ShareName string 액세스된 네트워크 공유의 이름입니다. 형식은 \*\SHARE_NAME.
SidHistory string 개체가 다른 도메인에서 이동된 경우 개체에 사용된 이전 SID를 포함합니다.
SourceComputerId string Windows 도메인의 각 컴퓨터에 할당된 고유 식별자입니다.
SourceSystem string 이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure
상태 string 로그온에 실패한 이유입니다. 이 이벤트의 경우 일반적으로 '0xC0000234' 값이 있습니다. 가장 일반적인 상태 코드는 표 12에 나열됩니다. Windows 로그온 상태 코드입니다.
StorageAccount string 스토리지 계정 액세스 키를 설정합니다.
SubcategoryGuid string 변경된 하위 범주의 고유 GUID입니다.
SubcategoryId string 특정 유형의 이벤트에 대한 고유 식별자입니다.
주제 string 이벤트를 시작한 보안 주체(예: 사용자 계정)에 대한 정보입니다.
SubjectAccount string 이벤트를 시작하는 계정에 대한 정보입니다.
SubjectDomainName string 주체 계정이 속한 도메인 또는 작업 그룹에 대한 정보입니다.
SubjectKeyIdentifier string 특정 인증서 주체에 대한 고유 식별자입니다.
SubjectLogonId string 주체 계정과 연결된 로그온 세션의 고유 식별자입니다.
SubjectMachineName string 이벤트가 생성된 컴퓨터 또는 시스템에 대한 정보입니다.
SubjectMachineSID string 이벤트를 생성한 컴퓨터의 SID(보안 식별자)입니다.
SubjectUserName string 이벤트를 생성한 사용자 계정의 이름입니다.
SubjectUserSid string 이벤트를 생성한 사용자 계정에 대한 SID(보안 식별자)입니다.
_SubscriptionId string 레코드가 연결된 구독의 고유 식별자입니다.
SubStatus string 로그온 실패에 대한 추가 정보입니다. '표 12에 나열된 가장 일반적인 하위 상태 코드입니다. Windows 로그온 상태 코드'.
SystemProcessId int 이벤트를 생성한 프로세스를 식별합니다.
SystemThreadId int 이벤트를 생성한 스레드를 식별합니다.
SystemUserId string 이벤트를 담당하는 사용자의 ID입니다.
TableId string 이벤트 데이터가 저장되는 특정 데이터 테이블 식별자입니다.
TargetAccount string 이벤트(사용자 이름, 컴퓨터 이름 등)가 대상으로 하는 계정입니다.
TargetDomainName string 대상 계정이 속한 도메인의 이름입니다.
TargetInfo string 이벤트 대상에 대한 추가 정보(예: 파일 또는 폴더의 경로, 레지스트리 키 이름 등).
TargetLinkedLogonId string 로그온 시도 ID를 통해 관련 이벤트를 함께 연결하는 데 도움이 되는 정보입니다. 모든 관련 이벤트를 구성하고, 여러 세션에서 활동을 추적하고, 공격 원본을 식별하는 데 유용할 수 있습니다.
TargetLogonGuid string 이벤트와 관련된 로그온 세션과 연결된 GUID(Globally Unique Identifier)입니다.
TargetLogonId string 이벤트와 관련된 로그온 세션과 연결된 고유 식별자입니다.
TargetOutboundDomainName string 아웃바운드 인증을 시도하는 동안 TargetAccount 필드에 지정된 계정이 인증된 도메인입니다.
TargetOutboundUserName string 아웃바운드 인증 시도 중에 인증된 사용자 계정의 이름입니다.
TargetServerName string 새 프로세스가 실행된 서버의 이름입니다. 프로세스가 로컬로 실행된 경우 "localhost" 값이 있습니다.
TargetSid string 새 프로세스가 실행된 서버의 SID(보안 식별자)입니다.
TargetUser string 새 프로세스를 생성한 사용자 계정 식별자입니다.
TargetUserName string 새 프로세스를 생성한 사용자 계정의 이름입니다.
TargetUserSid string 이벤트에 관련된 사용자 또는 리소스와 연결된 SID(보안 식별자)입니다.
작업 int 이벤트에 정의된 작업입니다.
TemplateContent string 구조적 형식의 이벤트 메시지 또는 알림 내용입니다.
TemplateDSObjectFQDN string GPO 템플릿을 나타내는 DS 개체의 FQDN입니다.
TemplateInternalName string GPO 템플릿의 내부 이름입니다.
TemplateOID string 이벤트를 만드는 데 사용된 템플릿의 고유 식별자입니다.
TemplateSchemaVersion string 이벤트에 포함할 데이터를 정의하는 템플릿 스키마의 버전입니다.
TemplateVersion string 이벤트에 포함할 데이터를 정의하는 템플릿의 버전입니다.
TenantId string Log Analytics 작업 영역 ID
TimeGenerated 날짜/시간 컴퓨터에서 이벤트가 생성된 타임스탬프를 나타냅니다.
TokenElevationType string 사용자 계정 제어 정책에 따라 새 프로세스에 할당된 토큰 유형입니다.
TransmittedServices string 전송된 서비스 목록입니다. 로그온이 S4U(사용자용 서비스) 로그온 프로세스의 결과인 경우 전송된 서비스가 채워집니다. S4U는 애플리케이션 서비스가 사용자를 대신하여 Kerberos 서비스 티켓을 얻을 수 있도록 Kerberos 프로토콜에 대한 Microsoft 확장입니다. 가장 일반적으로 프런트 엔드 웹 사이트에서 사용자를 대신하여 내부 리소스에 액세스하기 위해 수행됩니다. S4U에 대한 자세한 내용은 다음을 참조하세요 https://msdn.microsoft.com/library/cc246072.aspx.
Type string 테이블의 이름입니다.
UserAccountControl string userAccountControl 특성의 변경 내용 목록을 표시합니다. 각 변경 내용에 대한 텍스트 줄이 표시됩니다.
UserParameters string 사용자 계정 속성<의 전화 접속 탭에서 Active Directory 사용자 및 컴퓨터 관리 콘솔 사용하여 설정을 변경하면 값이 변경되었지만 이 필드에는> 표시되지 않습니다. 로컬 계정의 경우 이 필드는 적용할 수 없으며 항상 값이 <설정> 되지 않았습니다.
UserPrincipalName string 인터넷 표준 RFC 822를 기반으로 하는 계정의 인터넷 스타일 로그인 이름입니다. 규칙에 따라 계정의 전자 메일 이름에 매핑됩니다.
UserWorkstations string 사용자가 로그온할 수 있는 컴퓨터의 NetBIOS 또는 DNS 이름 목록을 포함합니다. 각 컴퓨터 이름은 쉼표로 구분됩니다. 컴퓨터의 이름은 컴퓨터 개체의 sAMAccountName 속성입니다.
VendorIds string 디바이스의 '하드웨어 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다.
버전 int 이벤트 정의의 버전 번호를 포함합니다.
VirtualAccount string '예' 또는 '아니요' 플래그는 계정이 'NetworkService'를 사용하는 대신 지정된 서비스에서 사용하는 계정을 식별하는 기능을 제공하기 위해 Windows 7 및 Windows Server 2008 R2에 도입된 가상 계정(예: '관리 서비스 계정')인지 여부를 나타냅니다.
워크스테이션 string 이벤트를 수행하는 데 사용된 컴퓨터의 이름입니다.
WorkstationName string 로그온 시도가 수행된 컴퓨터 이름입니다.