SecurityEvent
Eventos de segurança coletados de computadores Windows pela Central de Segurança do Azure ou pelo Azure Sentinel.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | Não |
| Transformação de tempo de ingestão | Sim |
| Consultas de amostras | Sim |
Colunas
| Coluna | Type | Descrição |
|---|---|---|
| AccessMask | string | Máscara hexadecimal para a operação solicitada ou realizada. |
| Conta | string | O contexto de segurança para serviços ou usuários. |
| AccountDomain | string | Domínio do sujeito ou nome do computador. |
| AccountExpires | string | A data em que a conta expira. |
| AccountName | string | O nome da conta que solicitou a operação "remover confiança de domínio". |
| AccountSessionIdentifier | string | Um identificador exclusivo gerado pela máquina quando a sessão é criada. |
| AccountType | string | Identifica se a conta é uma conta de computador (computador) ou de um usuário. |
| Atividade | string | O título descritivo do evento ocorreu. |
| AdditionalInfo | string | Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista. |
| AdditionalInfo2 | string | Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista. |
| AllowedToDelegateTo | string | A lista de SPNs para os quais essa conta pode apresentar credenciais delegadas. |
| Atributos | string | Informações adicionais sobre o evento. |
| AuditPolicyChanges | string | Eventos gerados quando são feitas alterações na política de auditoria do sistema ou nas configurações de auditoria em um arquivo ou chave do Registro. |
| AuditoriasDescartado | int | Número de mensagens de auditoria que foram descartadas. |
| Nível de autenticação | int | Número de mensagens de auditoria que foram descartadas. |
| AuthenticationPackageName | string | o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| Provedor de autenticação | string | A identidade do provedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de usuário, um sistema de autenticação de senha, etc.). |
| Servidor de autenticação | string | O servidor no qual o provedor de autenticação está localizado. |
| Serviço de Autenticação | int | O serviço no qual localizou o provedor de autenticação. |
| AuthenticationType | string | O tipo de autenticação que foi usado para o evento (autenticação de dois fatores, autenticação biométrica, etc.). |
| AzureDeploymentID | string | ID de implantação do Azure do serviço de nuvem a que o log pertence. |
| _BilledSize | real | O tamanho do registro em bytes |
| CACertificateHash | string | O valor de hash do certificado da autoridade de certificação (CA) que foi usado para autenticar o usuário que executou o evento. |
| ChamadoStationID | string | Informações sobre a ID da estação que iniciou a ação que levou ao evento de segurança. |
| Identificação do processo de chamada | string | ID do processo hexadecimal do processo que tentou o logon. O ID do processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo. |
| CallerProcessName | string | Caminho completo e o nome do executável para o processo. |
| CallingStationID | string | Informações sobre a ID da estação que iniciou a ação que levou ao evento de segurança. |
| CAPublicKeyHash | string | Valor de hash que identifica a chave pública de uma autoridade de certificação (CA) que emitiu um certificado. |
| CategoryId | string | A categoria do evento de segurança que ocorreu (tentativa de login, violação de dados, etc.). |
| CertificateDatabaseHash | string | Valor de hash que identifica o banco de dados que emitiu um certificado. |
| Canal | string | O canal no qual o evento foi registrado. |
| ClassId | string | Atributo 'Class Guid' do dispositivo. |
| ClassName | string | Atributo 'Class' do dispositivo. |
| EndereçoDoCliente | string | Endereço IP do computador do qual a solicitação TGT foi recebida. |
| ClientIPAddress | string | Endereço IP do computador que iniciou a ação que levou ao evento. |
| Nome do cliente | string | Nome do computador a partir do qual o usuário foi reconectado. Tem valor 'Desconhecido' para a sessão do console. |
| CommandLine | string | Os argumentos de linha de comando que foram passados para um aplicativo ou processo que estava envolvido no evento. |
| Ids Compatíveis | string | Atributo "IDs compatíveis" do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes': |
| Computador | string | O nome do computador no qual o evento ocorreu. |
| Correlação | string | Os identificadores de atividade que os consumidores podem usar para agrupar eventos relacionados. |
| DCDNSName | string | O nome DNS do controlador de domínio que estava envolvido no evento. |
| DeviceDescription | string | a descrição do dispositivo envolvido no evento. |
| DeviceId | string | O identificador exclusivo do dispositivo que estava envolvido no evento. |
| DisplayName | string | É um nome, exibido no catálogo de endereços de uma conta específica. Geralmente, essa é a combinação do nome, da inicial do meio e do sobrenome do usuário. |
| Disposition | string | O resultado/resolução do evento, como se o evento foi resolvido ou se alguma ação foi tomada em resposta ao evento. |
| DomainBehaviorVersion | string | msDS-Behavior-Version foi modificado. Valor numérico. |
| DomainName | string | O nome do domínio confiável removido. |
| Política de DomínioAlterada | string | Indica se alguma política de domínio foi alterada como parte do evento (políticas de senha, políticas de segurança etc.). |
| Sid de domínio | string | SID do parceiro de confiança. Esse parâmetro pode não ser capturado no evento e, nesse caso, aparece como 'NULL SID'. |
| EAPTipo | string | O tipo de EAP (Extensible Authentication Protocol) usado para o processo de autenticação de eventos. |
| Token elevado | string | Uma bandeira 'Sim' ou 'Não'. Se 'Sim', a sessão que esse evento representa é elevada e tem privilégios de administrador. |
| ErrorCode | int | Contém código de erro para eventos de falha. Para eventos de sucesso, esse parâmetro tem o valor '0x0'. |
| EventData | string | Dados específicos do evento associados ao evento. |
| EventID | int | O identificador que o provedor usou para identificar o evento. |
| EventLevelName | string | A cadeia de caracteres de mensagem renderizada do nível especificado no evento. |
| EventRecordId | string | O número de registro atribuído ao evento quando ele foi registrado. |
| EventSourceName | string | O nome do software que registra o evento (aplicativo ou um succomponente). |
| ExtendedQuarantineState | string | O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual dispositivos não autorizados são impedidos de acessar uma rede até que atendam a determinados requisitos de segurança ou tenham sido verificados quanto a malware. |
| Razão da falha | string | explicação textual do valor do campo Status. Para esse evento, ele normalmente tem o valor "Conta bloqueada". |
| FileHash | string | O valor de hash para todos os arquivos que foram acessados ou modificados como parte do evento ou quaisquer arquivos que foram usados no processo de autenticação ou autorização. |
| FilePath | string | Caminho completo e nome do arquivo de chave no qual a operação foi executada. |
| FilePathNoUser | string | O caminho de todos os arquivos relacionados ao evento, excluindo o nome de usuário ou outras informações específicas do usuário. |
| Filter | string | Filtros que são usados no evento executado. |
| ForceLogoff | string | Política de grupo '\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: forçar logoff quando o horário de logon expirar'. |
| Fqbn | string | O nome binário totalmente qualificado (FQBN) para todos os arquivos relacionados ao evento. |
| Nome_da_máquina_do_assuntoTotalmente qualificado | string | O FQDN (nome de domínio totalmente qualificado) do computador que iniciou o evento. |
| Nome de usuário do assunto totalmente qualificado | string | O nome de usuário do usuário ou serviço que iniciou o evento no formato FQDN. |
| GroupMembership | string | A lista de SIDs de grupo aos quais a conta registrada pertence (membro de). O Visualizador de Eventos tenta resolver SIDs automaticamente e mostrar o nome da conta. Se o SID não puder ser resolvido, você verá os dados de origem no evento. |
| HandleId | string | Valor hexadecimal de um identificador para Nome do Objeto. Este campo pode ser usado para correlação com outros eventos. |
| HardwareIds | string | Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes': |
| HomeDirectory | string | Diretório inicial do usuário. Se o atributo homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho deve ser um UNC de rede no formato \Server\Share\Directory. |
| Caminho Inicial | string | Caminho inicial do usuário. O caminho deve ser um UNC de rede no formato \Server\Share\Directory. |
| InterfaceUuid | string | O identificador exclusivo (UUID) para o adaptador de rede que foi usado para o evento. |
| IpAddress | string | o endereço de rede (geralmente IPv4 ou IPv6) associado ao evento. |
| IpPort | string | O número da porta de rede associado ao evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure |
| KeyLength | int | O comprimento da chave de segurança da sessão NTLM. Normalmente, ele tem 128 bits ou 56 bits de comprimento. |
| Palavras-chave | string | Uma bitmask das palavras-chave definidas no evento. |
| Nível | string | O Windows categoriza cada evento com um nível de gravidade. Os níveis em ordem de gravidade são informação, detalhado, aviso, erro e crítico expressos em números. |
| LmPackageName | string | O nome do pacote ou componente de software que está usando a LSA (Autoridade de Segurança Local) no computador em que o evento está sendo gerado. |
| LocationInformation | string | Atributo "Informações de localização" do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes': |
| Duração do bloqueio | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio de conta'. Valor numérico. |
| Janela de Observação de Bloqueio | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contador de bloqueio de conta após'. Valor numérico. |
| Limite de bloqueio | string | Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite de bloqueio de conta'. Valor numérico. |
| Resultado do registro | string | O resultado do processo de logon. |
| LogonGuid | string | Um GUID que pode ajudá-lo a correlacionar esse evento com outro evento que pode conter o mesmo GUID de logon. |
| Horas de Logon | string | Horas em que a conta tem permissão para fazer logon no domínio. |
| ID de logon | string | Valor hexadecimal que pode ajudá-lo a correlacionar esse evento com eventos recentes que podem conter a mesma ID de logon. |
| LogonProcessName | string | O nome do processo de logon registrado. |
| Tipo de Logon | int | O tipo de logon que foi executado. |
| Nome do tipo de logon | string | O tipo de evento de logon ou autenticação que está sendo capturado pelo log de eventos (valores comuns: Interativo, Rede, RemoteInteractive, Desbloquear). |
| MachineAccountQuota | string | O atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico. |
| Inventário de máquinas | string | Informações sobre a configuração de hardware e o ambiente de software do computador em que o evento está sendo gerado. Pode incluir diferentes pontos de dados, por exemplo: a marca e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de vários aplicativos de software, etc.). |
| Logon de máquina | string | Informações sobre um evento de logon bem-sucedido no computador. |
| ManagementGroupName | string | Informações adicionais com base no tipo de recurso. |
| Rótulo obrigatório | string | ID do rótulo de integridade que foi atribuído ao novo processo. |
| MaxPasswordAge | string | O período de tempo (em dias) que uma senha pode ser usada antes que o sistema exija que o usuário a altere. |
| MemberName | string | A conta de usuário que estava envolvida no evento. |
| Membro Sid | string | O SID (identificador de segurança) associado à conta de usuário envolvida no evento. |
| MinPasswordAge | string | O período de tempo (em dias) que uma senha deve ser usada antes que o sistema exija que o usuário a altere. |
| MinPasswordLength | string | O menor número de caracteres que podem compor uma senha para uma conta de usuário. |
| Modo de domínio misturado | string | O modo de domínio de um sistema ou controlador de domínio. |
| NASIdentificador | string | O identificador do servidor de acesso à rede (NAS) que estava envolvido no evento. |
| Endereço NASIPv4 | string | O IPv4Address do servidor de acesso à rede (NAS) que estava envolvido no evento, se aplicável. |
| Endereço NASIPv6 | string | O IPv6Address do servidor de acesso à rede (NAS) que estava envolvido no evento, se aplicável. |
| NASPort | string | A porta no servidor de acesso à rede que foi usada no evento. |
| NASPortType | string | o tipo de servidor de acesso à rede (NAS) usado no evento. |
| NetworkPolicyName | string | O nome da diretiva de rede associada ao evento. |
| NewDate | string | Nova data no fuso horário UTC. O formato é AAAA-MM-DD. |
| NewMaxUsers | string | O novo número máximo de usuários permitidos para um recurso no evento. |
| NewProcessId | string | ID do processo hexadecimal do novo processo. O ID do processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo. |
| NewProcessName | string | Caminho completo e o nome do executável para o novo processo. |
| NovaObservação | string | O novo valor do campo "Comentários:" do compartilhamento de rede. Tem o valor 'N/A' se não estiver definido. |
| NewShareFlags | string | Os sinalizadores de compartilhamento associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| Novo Horário | string | Novo horário definido no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ |
| NovoUacValor | string | Especifica sinalizadores que controlam senha, bloqueio, desabilitação/habilitação, script e outros comportamentos para a conta de usuário. |
| NewValue | string | Novo valor para o valor da chave do Registro alterado. |
| NewValueType | string | Novo tipo de valor de chave do Registro alterado. |
| ObjectName | string | Nome e outras informações de identificação do objeto para o qual o acesso foi solicitado. Por exemplo, para um arquivo, o caminho seria incluído. |
| Servidor de Objetos | string | Contém o nome do subsistema Windows que chama a rotina. |
| ObjectType | string | O tipo de um objeto que foi acessado durante a operação. |
| ObjectValueName | string | O nome do valor da chave do Registro modificado. |
| Informações do OEM | string | O fabricante do equipamento original (OEM) associado a um dispositivo ou sistema no evento. |
| Usuários Antigos | string | O número máximo anterior de usuários permitidos para um recurso no evento. |
| Observação antiga | string | o valor antigo do campo "Comentários:" do compartilhamento de rede. Tem o valor 'N/A' se não estiver definido. |
| Sinalizadores de compartilhamento antigos | string | Os sinalizadores de compartilhamento anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| Valor OldUac | string | Especifica sinalizadores que controlam senha, bloqueio, desabilitação/habilitação, script e outros comportamentos para a conta de usuário. Esse parâmetro contém o valor anterior do atributo userAccountControl do objeto de usuário. |
| OldValue | string | Valor antigo para o valor da chave do Registro alterado. |
| OldValueType | string | Tipo antigo de valor de chave do Registro alterado. |
| Opcode | string | O elemento opcode é definido pelo tipo complexo SystemPropertiesType. |
| OperationType | string | O tipo de operação que foi executada em um objeto |
| PackageName | string | O nome do subpacote do LAN Manager (nome do protocolo da família NTLM) que foi usado durante o logon. |
| ParentProcessName | string | O nome do processo pai associado ao evento. |
| Comprimento da Senha | string | \Configurações de segurança\Políticas de conta\Política de senha\Impor histórico de senhas". Valor numérico. |
| SenhaLastSet | string | Última vez que a senha da conta foi modificada. |
| Propriedades da senha | string | As políticas ou propriedades de senha associadas ao evento, por exemplo: comprimento, complexidade e data de expiração da senha. |
| AnteriorData | string | A data anterior associada ao evento. |
| AnteriorHorário | string | Hora anterior no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ. |
| Primário | string | Identificador relativo (RID) do grupo primário de objetos do usuário. |
| Contagem de Uso de Chave Privada | string | O número de vezes que uma chave privada foi usada. |
| Lista de privilégios | string | Os privilégios, incluindo privilégios de usuário, grupo ou sistema associados ao evento. |
| Processo | string | O nome do processo que gera o evento. |
| ProcessId | string | Identifica o processo que gerou o evento. |
| ProcessName | string | Caminho completo e o nome do executável para o processo. |
| Caminho do perfil | string | Especifica um caminho para o perfil da conta. Esse valor pode ser uma cadeia de caracteres nula, um caminho absoluto local ou um caminho UNC. |
| Propriedades | string | Depende do tipo de objeto. Esse campo pode estar vazio ou conter a lista das propriedades do objeto que foram acessadas. |
| Sequência de Protocolo | string | Informações sobre o protocolo usado para uma tentativa de autenticação. |
| ProxyPolicyName | string | Nome da política que foi usada para configurar o servidor proxy para conexão com a rede. |
| URL de ajuda em quarentena | string | URL que fornece ajuda para solucionar um problema de quarentena de rede. |
| ID da sessão de quarentena | string | Identificador da sessão em que o arquivo foi avaliado para quarentena. |
| Identificador de sessão de quarentena | string | Identificador da sessão em que o arquivo foi avaliado para quarentena. |
| Estado de quarentena | string | Ele mostra se o arquivo está em quarentena. |
| Resultado da QuarentenaSystemHealthResult | string | Relatório que mostra o status dos arquivos que foram colocados em quarentena. |
| RelativeTargetName | string | Nome relativo do arquivo ou pasta de destino acessado. Esse caminho de arquivo é relativo ao compartilhamento de rede. Se o acesso foi solicitado para o compartilhamento em si, esse campo aparecerá como "". |
| Endereço RemoteIp | string | O endereço IP do computador que iniciou uma conexão remota. |
| RemotePort | string | O número da porta do computador remoto que iniciou uma conexão. |
| Solicitante | string | O identificador do solicitante do evento. |
| RequestId | string | Um identificador exclusivo associado a solicitações específicas, como as feitas por HTTP. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| Modo AdminRestrito | string | Preenchido apenas para sessões do tipo logon RemoteInteractive. Este é um sinalizador Sim/Não que indica se as credenciais fornecidas foram passadas usando o modo de Administração Restrito. O modo de Administração Restrito foi adicionado no Win8.1/2012R2, mas esse sinalizador foi adicionado ao evento no Win10. |
| LinhasExcluídas | string | O número de linhas que foram excluídas como parte de uma operação específica. |
| SamAccountName | string | nome de logon da conta usada para dar suporte a clientes e servidores de versões anteriores do Windows (nome de logon anterior ao Windows 2000). |
| ScriptPath | string | Especifica o caminho do script de logon da conta. |
| SecurityDescriptor | string | Informações sobre as configurações e permissões de segurança de um determinado objeto ou recurso. |
| ServiceAccount | string | O contexto de segurança que o serviço executará quando iniciado. |
| Nome_do_arquivo_serviço | string | Indica o tipo de serviço que foi registrado no Gerenciador de Controle de Serviço. |
| ServiceName | string | O nome do serviço instalado. |
| ServiceStartType | int | Contém informações sobre como um determinado serviço deve ser iniciado, se ele deve ser iniciado automática ou manualmente. |
| ServiceType | string | Indica o tipo de serviço que foi registrado no Gerenciador de Controle de Serviço. |
| Nome da sessão | string | O nome da sessão à qual o usuário foi reconectado. |
| ShareLocalPath | string | O caminho local do compartilhamento de rede acessado. |
| ShareName | string | O nome do compartilhamento de rede acessado. O formato é: \*\SHARE_NAME. |
| História do Sid | string | Contém SIDs anteriores usados para o objeto se o objeto tiver sido movido de outro domínio. |
| SourceComputerId | string | Identificador exclusivo atribuído a cada computador em um domínio do Windows. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| Status | string | O motivo pelo qual o logon falhou. Para esse evento, ele normalmente tem o valor '0xC0000234'. Os códigos de status mais comuns estão listados na Tabela 12. Códigos de status de logon do Windows. |
| StorageAccount | string | Define a chave de acesso da conta de armazenamento. |
| SubcategoriaGuid | string | O GUID exclusivo da subcategoria alterada. |
| ID da subcategoria | string | Um identificador exclusivo para um tipo específico do evento. |
| Assunto | string | Informações sobre a entidade de segurança (por exemplo: conta de usuário) que iniciou o evento. |
| SubjectAccount | string | Informações sobre a conta que está iniciando o evento. |
| AssuntoDomínioDomínio | string | Informações sobre o domínio ou grupo de trabalho ao qual a conta de assunto pertence. |
| SubjectKeyIdentifier | string | Um identificador exclusivo para uma entidade de certificado específica. |
| SubjectLogonId | string | Um identificador exclusivo para a sessão de logon associada à conta da entidade. |
| SubjectMachineName | string | Informações sobre a máquina ou sistema a partir do qual o evento foi criado. |
| SubjectMachineSID | string | O SID (identificador de segurança) do computador que gerou o evento. |
| AssuntoNome_do_Usuário | string | O nome da conta de usuário que gerou o evento. |
| SubjectUserSid | string | O SID (identificador de segurança) da conta de usuário que gerou o evento. |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| Substatus | string | Informações adicionais sobre falha de logon. Os códigos de substatus mais comuns listados na 'Tabela 12. Códigos de status de logon do Windows'. |
| SystemProcessId | int | Identifica o processo que gerou o evento. |
| SystemThreadId | int | Identifica o thread que gerou o evento. |
| SystemUserId | string | A ID do usuário responsável pelo evento. |
| TableId | string | O identificador de tabela de dados específico em que os dados do evento são armazenados. |
| VisaConta | string | A conta direcionada pelo evento (nome de usuário, nome do computador etc.). |
| Nome_do_Domínio_alvo | string | O nome do domínio ao qual a conta de destino pertence. |
| Informações de destino | string | Informações adicionais sobre o destino do evento (por exemplo: o caminho para um arquivo ou pasta, o nome de uma chave do Registro etc.). |
| TargetLinkedLogonId | string | Informações que ajudam a vincular eventos relacionados por suas IDs de tentativa de logon. Pode ser útil para manter todos os eventos relevantes organizados, rastrear atividades em várias sessões e identificar a origem do ataque. |
| TargetLogonGuid | string | Um identificador global exclusivo (GUID) associado à sessão de logon relacionada ao evento. |
| TargetLogonId | string | Um identificador exclusivo associado à sessão de logon relacionada ao evento. |
| TargetOutboundDomainName | string | O domínio no qual a conta especificada no campo TargetAccount foi autenticada durante uma tentativa de autenticação de saída. |
| TargetOutboundUserName | string | O nome da conta de usuário que foi autenticada durante uma tentativa de autenticação de saída. |
| TargetServerName | string | O nome do servidor no qual o novo processo foi executado. Tem valor "localhost" se o processo foi executado localmente. |
| Alvo Sid | string | O SID (identificador de segurança) do servidor no qual o novo processo foi executado. |
| TargetUser | string | O identificador de conta de usuário que gerou o novo processo. |
| TargetUserName | string | O nome da conta de usuário que gerou o novo processo. |
| TargetUserSid | string | O SID (identificador de segurança) associado ao usuário ou recurso envolvido no evento. |
| Tarefa | int | A tarefa definida no evento. |
| TemplateContent | string | O conteúdo da mensagem ou notificação de evento de forma estruturada. |
| TemplateDSObjectFQDN | string | FQDN do objeto DS que representa o modelo de GPO. |
| Nome_Interno do Modelo | string | O nome interno do modelo de GPO. |
| ModeloOID | string | O identificador exclusivo do modelo que foi usado para criar o evento. |
| TemplateSchemaVersion | string | Versão do esquema de modelo que define os dados a serem incluídos em um evento. |
| Versão do modelo | string | Versão do modelo que define os dados a serem incluídos em um evento. |
| TenantId | string | A ID do workspace do Log Analytics |
| TimeGenerated | datetime | O carimbo de data/hora em que o evento foi gerado no computador. |
| TokenElevationType | string | Tipo de token que foi atribuído a um novo processo de acordo com a Política de Controle de Conta de Usuário. |
| Serviços Transmitidos | string | A lista de serviços transmitidos. Os serviços transmitidos serão preenchidos se o logon for resultado de um processo de logon S4U (Service For User). S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicativo obtenha um tíquete de serviço Kerberos em nome de um usuário - mais comumente feito por um site front-end para acessar um recurso interno em nome de um usuário. Para obter mais informações sobre o S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | string | O nome da tabela |
| UserAccountControl | string | Mostra a lista de alterações no atributo userAccountControl. Você verá uma linha de texto para cada alteração. |
| Parâmetros de usuário | string | Se você alterar qualquer configuração usando o console de gerenciamento Usuários e Computadores do Active Directory na guia Discagem das propriedades da conta do usuário, verá <o valor alterado, mas não exibido> neste campo. Para contas locais, esse campo não é aplicável e sempre tem <valor não valor definido> . |
| UserPrincipalName | string | Nome de login no estilo da Internet para a conta, com base no padrão da Internet RFC 822. Por convenção, isso deve ser mapeado para o nome de e-mail da conta. |
| UserWorkstations | string | Contém a lista de nomes NetBIOS ou DNS dos computadores dos quais o usuário pode fazer logon. Cada nome de computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador. |
| VendorIds | string | Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes'. |
| Versão | int | Contém o número da versão da definição do evento. |
| Conta Virtual | string | Um sinalizador 'Sim' ou 'Não', que indica se a conta é uma conta virtual (por exemplo, 'Conta de Serviço Gerenciado'), que foi introduzido no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço usa, em vez de apenas usar 'NetworkService'. |
| Estação de Trabalho | string | O nome da máquina que foi usada para executar o evento. |
| WorkstationName | string | Nome do computador a partir do qual uma tentativa de logon foi executada. |