Compartilhar via


SecurityEvent

Eventos de segurança coletados de computadores Windows pela Central de Segurança do Azure ou pelo Azure Sentinel.

Atributos da tabela

Atributo Valor
Tipos de recursos microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categorias Segurança
Soluções Segurança, SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras Sim

Colunas

Coluna Type Descrição
AccessMask string Máscara hexadecimal para a operação solicitada ou realizada.
Conta string O contexto de segurança para serviços ou usuários.
AccountDomain string Domínio do sujeito ou nome do computador.
AccountExpires string A data em que a conta expira.
AccountName string O nome da conta que solicitou a operação "remover confiança de domínio".
AccountSessionIdentifier string Um identificador exclusivo gerado pela máquina quando a sessão é criada.
AccountType string Identifica se a conta é uma conta de computador (computador) ou de um usuário.
Atividade string O título descritivo do evento ocorreu.
AdditionalInfo string Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista.
AdditionalInfo2 string Informações adicionais fornecidas pela fonte, que não são mapeadas para outros campos, representados por lista.
AllowedToDelegateTo string A lista de SPNs para os quais essa conta pode apresentar credenciais delegadas.
Atributos string Informações adicionais sobre o evento.
AuditPolicyChanges string Eventos gerados quando são feitas alterações na política de auditoria do sistema ou nas configurações de auditoria em um arquivo ou chave do Registro.
AuditoriasDescartado int Número de mensagens de auditoria que foram descartadas.
Nível de autenticação int Número de mensagens de auditoria que foram descartadas.
AuthenticationPackageName string o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME.
Provedor de autenticação string A identidade do provedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de usuário, um sistema de autenticação de senha, etc.).
Servidor de autenticação string O servidor no qual o provedor de autenticação está localizado.
Serviço de Autenticação int O serviço no qual localizou o provedor de autenticação.
AuthenticationType string O tipo de autenticação que foi usado para o evento (autenticação de dois fatores, autenticação biométrica, etc.).
AzureDeploymentID string ID de implantação do Azure do serviço de nuvem a que o log pertence.
_BilledSize real O tamanho do registro em bytes
CACertificateHash string O valor de hash do certificado da autoridade de certificação (CA) que foi usado para autenticar o usuário que executou o evento.
ChamadoStationID string Informações sobre a ID da estação que iniciou a ação que levou ao evento de segurança.
Identificação do processo de chamada string ID do processo hexadecimal do processo que tentou o logon. O ID do processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo.
CallerProcessName string Caminho completo e o nome do executável para o processo.
CallingStationID string Informações sobre a ID da estação que iniciou a ação que levou ao evento de segurança.
CAPublicKeyHash string Valor de hash que identifica a chave pública de uma autoridade de certificação (CA) que emitiu um certificado.
CategoryId string A categoria do evento de segurança que ocorreu (tentativa de login, violação de dados, etc.).
CertificateDatabaseHash string Valor de hash que identifica o banco de dados que emitiu um certificado.
Canal string O canal no qual o evento foi registrado.
ClassId string Atributo 'Class Guid' do dispositivo.
ClassName string Atributo 'Class' do dispositivo.
EndereçoDoCliente string Endereço IP do computador do qual a solicitação TGT foi recebida.
ClientIPAddress string Endereço IP do computador que iniciou a ação que levou ao evento.
Nome do cliente string Nome do computador a partir do qual o usuário foi reconectado. Tem valor 'Desconhecido' para a sessão do console.
CommandLine string Os argumentos de linha de comando que foram passados para um aplicativo ou processo que estava envolvido no evento.
Ids Compatíveis string Atributo "IDs compatíveis" do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes':
Computador string O nome do computador no qual o evento ocorreu.
Correlação string Os identificadores de atividade que os consumidores podem usar para agrupar eventos relacionados.
DCDNSName string O nome DNS do controlador de domínio que estava envolvido no evento.
DeviceDescription string a descrição do dispositivo envolvido no evento.
DeviceId string O identificador exclusivo do dispositivo que estava envolvido no evento.
DisplayName string É um nome, exibido no catálogo de endereços de uma conta específica. Geralmente, essa é a combinação do nome, da inicial do meio e do sobrenome do usuário.
Disposition string O resultado/resolução do evento, como se o evento foi resolvido ou se alguma ação foi tomada em resposta ao evento.
DomainBehaviorVersion string msDS-Behavior-Version foi modificado. Valor numérico.
DomainName string O nome do domínio confiável removido.
Política de DomínioAlterada string Indica se alguma política de domínio foi alterada como parte do evento (políticas de senha, políticas de segurança etc.).
Sid de domínio string SID do parceiro de confiança. Esse parâmetro pode não ser capturado no evento e, nesse caso, aparece como 'NULL SID'.
EAPTipo string O tipo de EAP (Extensible Authentication Protocol) usado para o processo de autenticação de eventos.
Token elevado string Uma bandeira 'Sim' ou 'Não'. Se 'Sim', a sessão que esse evento representa é elevada e tem privilégios de administrador.
ErrorCode int Contém código de erro para eventos de falha. Para eventos de sucesso, esse parâmetro tem o valor '0x0'.
EventData string Dados específicos do evento associados ao evento.
EventID int O identificador que o provedor usou para identificar o evento.
EventLevelName string A cadeia de caracteres de mensagem renderizada do nível especificado no evento.
EventRecordId string O número de registro atribuído ao evento quando ele foi registrado.
EventSourceName string O nome do software que registra o evento (aplicativo ou um succomponente).
ExtendedQuarantineState string O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual dispositivos não autorizados são impedidos de acessar uma rede até que atendam a determinados requisitos de segurança ou tenham sido verificados quanto a malware.
Razão da falha string explicação textual do valor do campo Status. Para esse evento, ele normalmente tem o valor "Conta bloqueada".
FileHash string O valor de hash para todos os arquivos que foram acessados ou modificados como parte do evento ou quaisquer arquivos que foram usados no processo de autenticação ou autorização.
FilePath string Caminho completo e nome do arquivo de chave no qual a operação foi executada.
FilePathNoUser string O caminho de todos os arquivos relacionados ao evento, excluindo o nome de usuário ou outras informações específicas do usuário.
Filter string Filtros que são usados no evento executado.
ForceLogoff string Política de grupo '\Configurações de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: forçar logoff quando o horário de logon expirar'.
Fqbn string O nome binário totalmente qualificado (FQBN) para todos os arquivos relacionados ao evento.
Nome_da_máquina_do_assuntoTotalmente qualificado string O FQDN (nome de domínio totalmente qualificado) do computador que iniciou o evento.
Nome de usuário do assunto totalmente qualificado string O nome de usuário do usuário ou serviço que iniciou o evento no formato FQDN.
GroupMembership string A lista de SIDs de grupo aos quais a conta registrada pertence (membro de). O Visualizador de Eventos tenta resolver SIDs automaticamente e mostrar o nome da conta. Se o SID não puder ser resolvido, você verá os dados de origem no evento.
HandleId string Valor hexadecimal de um identificador para Nome do Objeto. Este campo pode ser usado para correlação com outros eventos.
HardwareIds string Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes':
HomeDirectory string Diretório inicial do usuário. Se o atributo homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho deve ser um UNC de rede no formato \Server\Share\Directory.
Caminho Inicial string Caminho inicial do usuário. O caminho deve ser um UNC de rede no formato \Server\Share\Directory.
InterfaceUuid string O identificador exclusivo (UUID) para o adaptador de rede que foi usado para o evento.
IpAddress string o endereço de rede (geralmente IPv4 ou IPv6) associado ao evento.
IpPort string O número da porta de rede associado ao evento.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure
KeyLength int O comprimento da chave de segurança da sessão NTLM. Normalmente, ele tem 128 bits ou 56 bits de comprimento.
Palavras-chave string Uma bitmask das palavras-chave definidas no evento.
Nível string O Windows categoriza cada evento com um nível de gravidade. Os níveis em ordem de gravidade são informação, detalhado, aviso, erro e crítico expressos em números.
LmPackageName string O nome do pacote ou componente de software que está usando a LSA (Autoridade de Segurança Local) no computador em que o evento está sendo gerado.
LocationInformation string Atributo "Informações de localização" do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes':
Duração do bloqueio string Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio de conta'. Valor numérico.
Janela de Observação de Bloqueio string Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Redefinir contador de bloqueio de conta após'. Valor numérico.
Limite de bloqueio string Política de grupo '\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limite de bloqueio de conta'. Valor numérico.
Resultado do registro string O resultado do processo de logon.
LogonGuid string Um GUID que pode ajudá-lo a correlacionar esse evento com outro evento que pode conter o mesmo GUID de logon.
Horas de Logon string Horas em que a conta tem permissão para fazer logon no domínio.
ID de logon string Valor hexadecimal que pode ajudá-lo a correlacionar esse evento com eventos recentes que podem conter a mesma ID de logon.
LogonProcessName string O nome do processo de logon registrado.
Tipo de Logon int O tipo de logon que foi executado.
Nome do tipo de logon string O tipo de evento de logon ou autenticação que está sendo capturado pelo log de eventos (valores comuns: Interativo, Rede, RemoteInteractive, Desbloquear).
MachineAccountQuota string O atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico.
Inventário de máquinas string Informações sobre a configuração de hardware e o ambiente de software do computador em que o evento está sendo gerado. Pode incluir diferentes pontos de dados, por exemplo: a marca e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de vários aplicativos de software, etc.).
Logon de máquina string Informações sobre um evento de logon bem-sucedido no computador.
ManagementGroupName string Informações adicionais com base no tipo de recurso.
Rótulo obrigatório string ID do rótulo de integridade que foi atribuído ao novo processo.
MaxPasswordAge string O período de tempo (em dias) que uma senha pode ser usada antes que o sistema exija que o usuário a altere.
MemberName string A conta de usuário que estava envolvida no evento.
Membro Sid string O SID (identificador de segurança) associado à conta de usuário envolvida no evento.
MinPasswordAge string O período de tempo (em dias) que uma senha deve ser usada antes que o sistema exija que o usuário a altere.
MinPasswordLength string O menor número de caracteres que podem compor uma senha para uma conta de usuário.
Modo de domínio misturado string O modo de domínio de um sistema ou controlador de domínio.
NASIdentificador string O identificador do servidor de acesso à rede (NAS) que estava envolvido no evento.
Endereço NASIPv4 string O IPv4Address do servidor de acesso à rede (NAS) que estava envolvido no evento, se aplicável.
Endereço NASIPv6 string O IPv6Address do servidor de acesso à rede (NAS) que estava envolvido no evento, se aplicável.
NASPort string A porta no servidor de acesso à rede que foi usada no evento.
NASPortType string o tipo de servidor de acesso à rede (NAS) usado no evento.
NetworkPolicyName string O nome da diretiva de rede associada ao evento.
NewDate string Nova data no fuso horário UTC. O formato é AAAA-MM-DD.
NewMaxUsers string O novo número máximo de usuários permitidos para um recurso no evento.
NewProcessId string ID do processo hexadecimal do novo processo. O ID do processo (PID) é um número usado pelo sistema operacional para identificar exclusivamente um processo ativo.
NewProcessName string Caminho completo e o nome do executável para o novo processo.
NovaObservação string O novo valor do campo "Comentários:" do compartilhamento de rede. Tem o valor 'N/A' se não estiver definido.
NewShareFlags string Os sinalizadores de compartilhamento associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões.
Novo Horário string Novo horário definido no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ
NovoUacValor string Especifica sinalizadores que controlam senha, bloqueio, desabilitação/habilitação, script e outros comportamentos para a conta de usuário.
NewValue string Novo valor para o valor da chave do Registro alterado.
NewValueType string Novo tipo de valor de chave do Registro alterado.
ObjectName string Nome e outras informações de identificação do objeto para o qual o acesso foi solicitado. Por exemplo, para um arquivo, o caminho seria incluído.
Servidor de Objetos string Contém o nome do subsistema Windows que chama a rotina.
ObjectType string O tipo de um objeto que foi acessado durante a operação.
ObjectValueName string O nome do valor da chave do Registro modificado.
Informações do OEM string O fabricante do equipamento original (OEM) associado a um dispositivo ou sistema no evento.
Usuários Antigos string O número máximo anterior de usuários permitidos para um recurso no evento.
Observação antiga string o valor antigo do campo "Comentários:" do compartilhamento de rede. Tem o valor 'N/A' se não estiver definido.
Sinalizadores de compartilhamento antigos string Os sinalizadores de compartilhamento anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é somente leitura ou leitura/gravação, se está oculto e outros parâmetros que podem afetar o acesso e as permissões.
Valor OldUac string Especifica sinalizadores que controlam senha, bloqueio, desabilitação/habilitação, script e outros comportamentos para a conta de usuário. Esse parâmetro contém o valor anterior do atributo userAccountControl do objeto de usuário.
OldValue string Valor antigo para o valor da chave do Registro alterado.
OldValueType string Tipo antigo de valor de chave do Registro alterado.
Opcode string O elemento opcode é definido pelo tipo complexo SystemPropertiesType.
OperationType string O tipo de operação que foi executada em um objeto
PackageName string O nome do subpacote do LAN Manager (nome do protocolo da família NTLM) que foi usado durante o logon.
ParentProcessName string O nome do processo pai associado ao evento.
Comprimento da Senha string \Configurações de segurança\Políticas de conta\Política de senha\Impor histórico de senhas". Valor numérico.
SenhaLastSet string Última vez que a senha da conta foi modificada.
Propriedades da senha string As políticas ou propriedades de senha associadas ao evento, por exemplo: comprimento, complexidade e data de expiração da senha.
AnteriorData string A data anterior associada ao evento.
AnteriorHorário string Hora anterior no fuso horário UTC. O formato é AAAA-MM-DDThh:mm:ss.nnnnnnnZ.
Primário string Identificador relativo (RID) do grupo primário de objetos do usuário.
Contagem de Uso de Chave Privada string O número de vezes que uma chave privada foi usada.
Lista de privilégios string Os privilégios, incluindo privilégios de usuário, grupo ou sistema associados ao evento.
Processo string O nome do processo que gera o evento.
ProcessId string Identifica o processo que gerou o evento.
ProcessName string Caminho completo e o nome do executável para o processo.
Caminho do perfil string Especifica um caminho para o perfil da conta. Esse valor pode ser uma cadeia de caracteres nula, um caminho absoluto local ou um caminho UNC.
Propriedades string Depende do tipo de objeto. Esse campo pode estar vazio ou conter a lista das propriedades do objeto que foram acessadas.
Sequência de Protocolo string Informações sobre o protocolo usado para uma tentativa de autenticação.
ProxyPolicyName string Nome da política que foi usada para configurar o servidor proxy para conexão com a rede.
URL de ajuda em quarentena string URL que fornece ajuda para solucionar um problema de quarentena de rede.
ID da sessão de quarentena string Identificador da sessão em que o arquivo foi avaliado para quarentena.
Identificador de sessão de quarentena string Identificador da sessão em que o arquivo foi avaliado para quarentena.
Estado de quarentena string Ele mostra se o arquivo está em quarentena.
Resultado da QuarentenaSystemHealthResult string Relatório que mostra o status dos arquivos que foram colocados em quarentena.
RelativeTargetName string Nome relativo do arquivo ou pasta de destino acessado. Esse caminho de arquivo é relativo ao compartilhamento de rede. Se o acesso foi solicitado para o compartilhamento em si, esse campo aparecerá como "".
Endereço RemoteIp string O endereço IP do computador que iniciou uma conexão remota.
RemotePort string O número da porta do computador remoto que iniciou uma conexão.
Solicitante string O identificador do solicitante do evento.
RequestId string Um identificador exclusivo associado a solicitações específicas, como as feitas por HTTP.
_ResourceId string Identificador exclusivo do recurso ao qual o registro está associado
Modo AdminRestrito string Preenchido apenas para sessões do tipo logon RemoteInteractive. Este é um sinalizador Sim/Não que indica se as credenciais fornecidas foram passadas usando o modo de Administração Restrito. O modo de Administração Restrito foi adicionado no Win8.1/2012R2, mas esse sinalizador foi adicionado ao evento no Win10.
LinhasExcluídas string O número de linhas que foram excluídas como parte de uma operação específica.
SamAccountName string nome de logon da conta usada para dar suporte a clientes e servidores de versões anteriores do Windows (nome de logon anterior ao Windows 2000).
ScriptPath string Especifica o caminho do script de logon da conta.
SecurityDescriptor string Informações sobre as configurações e permissões de segurança de um determinado objeto ou recurso.
ServiceAccount string O contexto de segurança que o serviço executará quando iniciado.
Nome_do_arquivo_serviço string Indica o tipo de serviço que foi registrado no Gerenciador de Controle de Serviço.
ServiceName string O nome do serviço instalado.
ServiceStartType int Contém informações sobre como um determinado serviço deve ser iniciado, se ele deve ser iniciado automática ou manualmente.
ServiceType string Indica o tipo de serviço que foi registrado no Gerenciador de Controle de Serviço.
Nome da sessão string O nome da sessão à qual o usuário foi reconectado.
ShareLocalPath string O caminho local do compartilhamento de rede acessado.
ShareName string O nome do compartilhamento de rede acessado. O formato é: \*\SHARE_NAME.
História do Sid string Contém SIDs anteriores usados para o objeto se o objeto tiver sido movido de outro domínio.
SourceComputerId string Identificador exclusivo atribuído a cada computador em um domínio do Windows.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
Status string O motivo pelo qual o logon falhou. Para esse evento, ele normalmente tem o valor '0xC0000234'. Os códigos de status mais comuns estão listados na Tabela 12. Códigos de status de logon do Windows.
StorageAccount string Define a chave de acesso da conta de armazenamento.
SubcategoriaGuid string O GUID exclusivo da subcategoria alterada.
ID da subcategoria string Um identificador exclusivo para um tipo específico do evento.
Assunto string Informações sobre a entidade de segurança (por exemplo: conta de usuário) que iniciou o evento.
SubjectAccount string Informações sobre a conta que está iniciando o evento.
AssuntoDomínioDomínio string Informações sobre o domínio ou grupo de trabalho ao qual a conta de assunto pertence.
SubjectKeyIdentifier string Um identificador exclusivo para uma entidade de certificado específica.
SubjectLogonId string Um identificador exclusivo para a sessão de logon associada à conta da entidade.
SubjectMachineName string Informações sobre a máquina ou sistema a partir do qual o evento foi criado.
SubjectMachineSID string O SID (identificador de segurança) do computador que gerou o evento.
AssuntoNome_do_Usuário string O nome da conta de usuário que gerou o evento.
SubjectUserSid string O SID (identificador de segurança) da conta de usuário que gerou o evento.
_SubscriptionId string Identificador exclusivo da assinatura à qual o registro está associado
Substatus string Informações adicionais sobre falha de logon. Os códigos de substatus mais comuns listados na 'Tabela 12. Códigos de status de logon do Windows'.
SystemProcessId int Identifica o processo que gerou o evento.
SystemThreadId int Identifica o thread que gerou o evento.
SystemUserId string A ID do usuário responsável pelo evento.
TableId string O identificador de tabela de dados específico em que os dados do evento são armazenados.
VisaConta string A conta direcionada pelo evento (nome de usuário, nome do computador etc.).
Nome_do_Domínio_alvo string O nome do domínio ao qual a conta de destino pertence.
Informações de destino string Informações adicionais sobre o destino do evento (por exemplo: o caminho para um arquivo ou pasta, o nome de uma chave do Registro etc.).
TargetLinkedLogonId string Informações que ajudam a vincular eventos relacionados por suas IDs de tentativa de logon. Pode ser útil para manter todos os eventos relevantes organizados, rastrear atividades em várias sessões e identificar a origem do ataque.
TargetLogonGuid string Um identificador global exclusivo (GUID) associado à sessão de logon relacionada ao evento.
TargetLogonId string Um identificador exclusivo associado à sessão de logon relacionada ao evento.
TargetOutboundDomainName string O domínio no qual a conta especificada no campo TargetAccount foi autenticada durante uma tentativa de autenticação de saída.
TargetOutboundUserName string O nome da conta de usuário que foi autenticada durante uma tentativa de autenticação de saída.
TargetServerName string O nome do servidor no qual o novo processo foi executado. Tem valor "localhost" se o processo foi executado localmente.
Alvo Sid string O SID (identificador de segurança) do servidor no qual o novo processo foi executado.
TargetUser string O identificador de conta de usuário que gerou o novo processo.
TargetUserName string O nome da conta de usuário que gerou o novo processo.
TargetUserSid string O SID (identificador de segurança) associado ao usuário ou recurso envolvido no evento.
Tarefa int A tarefa definida no evento.
TemplateContent string O conteúdo da mensagem ou notificação de evento de forma estruturada.
TemplateDSObjectFQDN string FQDN do objeto DS que representa o modelo de GPO.
Nome_Interno do Modelo string O nome interno do modelo de GPO.
ModeloOID string O identificador exclusivo do modelo que foi usado para criar o evento.
TemplateSchemaVersion string Versão do esquema de modelo que define os dados a serem incluídos em um evento.
Versão do modelo string Versão do modelo que define os dados a serem incluídos em um evento.
TenantId string A ID do workspace do Log Analytics
TimeGenerated datetime O carimbo de data/hora em que o evento foi gerado no computador.
TokenElevationType string Tipo de token que foi atribuído a um novo processo de acordo com a Política de Controle de Conta de Usuário.
Serviços Transmitidos string A lista de serviços transmitidos. Os serviços transmitidos serão preenchidos se o logon for resultado de um processo de logon S4U (Service For User). S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicativo obtenha um tíquete de serviço Kerberos em nome de um usuário - mais comumente feito por um site front-end para acessar um recurso interno em nome de um usuário. Para obter mais informações sobre o S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx.
Type string O nome da tabela
UserAccountControl string Mostra a lista de alterações no atributo userAccountControl. Você verá uma linha de texto para cada alteração.
Parâmetros de usuário string Se você alterar qualquer configuração usando o console de gerenciamento Usuários e Computadores do Active Directory na guia Discagem das propriedades da conta do usuário, verá <o valor alterado, mas não exibido> neste campo. Para contas locais, esse campo não é aplicável e sempre tem <valor não valor definido> .
UserPrincipalName string Nome de login no estilo da Internet para a conta, com base no padrão da Internet RFC 822. Por convenção, isso deve ser mapeado para o nome de e-mail da conta.
UserWorkstations string Contém a lista de nomes NetBIOS ou DNS dos computadores dos quais o usuário pode fazer logon. Cada nome de computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador.
VendorIds string Atributo 'Hardware Ids' do dispositivo. Para ver as propriedades do dispositivo, inicie o Gerenciador de dispositivos, abra as propriedades específicas do dispositivo e clique em 'Detalhes'.
Versão int Contém o número da versão da definição do evento.
Conta Virtual string Um sinalizador 'Sim' ou 'Não', que indica se a conta é uma conta virtual (por exemplo, 'Conta de Serviço Gerenciado'), que foi introduzido no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço usa, em vez de apenas usar 'NetworkService'.
Estação de Trabalho string O nome da máquina que foi usada para executar o evento.
WorkstationName string Nome do computador a partir do qual uma tentativa de logon foi executada.