SecurityEvent
События безопасности, собранные с компьютеров windows, Центр безопасности Azure или Azure Sentinel.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Категории | Безопасность |
| Решения | Безопасность, SecurityInsights |
| Базовый журнал | No |
| Преобразование ingestion-time | Да |
| Примеры запросов | Да |
Столбцы
| Column | Type | Описание |
|---|---|---|
| AccessMask | строка | Шестнадцатеричная маска для запрошенной или выполненной операции. |
| Учетная запись | строка | Контекст безопасности для служб или пользователей. |
| AccountDomain | строка | Домен субъекта или имя компьютера. |
| AccountExpires | строка | Дата истечения срока действия учетной записи. |
| AccountName | строка | Имя учетной записи, запрашивающей операцию "удалить доверие домена". |
| AccountSessionIdentifier | строка | Уникальный идентификатор, созданный компьютером при создании сеанса. |
| Тип учетной записи | строка | Определяет, является ли учетная запись компьютером (компьютер) или пользователем. |
| Действие (Activity) | строка | Произошло описательное название события. |
| AdditionalInfo | строка | Дополнительные сведения, предоставляемые источником, которые не сопоставляются с другими полями, представленными списком. |
| AdditionalInfo2 | строка | Дополнительные сведения, предоставляемые источником, которые не сопоставляются с другими полями, представленными списком. |
| AllowedToDelegateTo | строка | Список субъектов-служб, для которых эта учетная запись может представлять делегированные учетные данные. |
| Атрибуты | строка | Дополнительные сведения о событии. |
| AuditPolicyChanges | строка | События, создаваемые при внесении изменений в политику аудита системы или параметры аудита в файле или разделе реестра. |
| АудитDiscarded | INT | Количество отброшенных сообщений аудита. |
| AuthenticationLevel | INT | Количество отброшенных сообщений аудита. |
| AuthenticationPackageName | строка | имя загруженного пакета проверки подлинности. Формат: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | строка | Удостоверение поставщика, ответственного за процесс проверки подлинности (может включать центр сертификации, имя пользователя, систему проверки подлинности паролей и т. д.). |
| AuthenticationServer | строка | Сервер, в котором расположен поставщик проверки подлинности. |
| AuthenticationService | INT | Служба, в которой расположен поставщик проверки подлинности. |
| authenticationType | строка | тип проверки подлинности, который использовался для события (двухфакторная проверка подлинности, биометрическая проверка подлинности и т. д.). |
| AzureDeploymentID | строка | Идентификатор развертывания Azure для облачной службы, к которой относится журнал. |
| _BilledSize | real | Размер записи в байтах |
| CACertificateHash | строка | Хэш-значение сертификата центра сертификации, который использовался для проверки подлинности пользователя, выполняющего событие. |
| Вызываемая аттестация | строка | Сведения об идентификаторе станции, инициирующей действие, которое привело к событию безопасности. |
| CallerProcessId | строка | Шестнадцатеричный идентификатор процесса, пытающегося выполнить вход. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. |
| CallerProcessName | строка | Полный путь и имя исполняемого файла для процесса. |
| Вызывающий идентификатор | строка | Сведения об идентификаторе станции, инициирующей действие, которое привело к событию безопасности. |
| CAPublicKeyHash | строка | Хэш-значение, определяющее открытый ключ центра сертификации (ЦС), выдавшего сертификат. |
| CategoryId | строка | Категория события безопасности, возникшее (попытка входа, нарушение данных и т. д.). |
| CertificateDatabaseHash | строка | Хэш-значение, определяющее базу данных, выдавающую сертификат. |
| Канал | строка | Канал, в который регистрировалось событие. |
| ClassId | строка | Атрибут Class Guid устройства. |
| ClassName | строка | Атрибут "Class" устройства. |
| ClientAddress | строка | IP-адрес компьютера, от которого был получен запрос TGT. |
| ClientIPAddress | строка | IP-адрес компьютера, инициирующего действие, которое привело к событию. |
| ClientName | строка | имя компьютера, из которого пользователь был повторно подключен. Имеет значение "Неизвестно" для сеанса консоли. |
| CommandLine | строка | Аргументы командной строки, переданные приложению или процессу, участвующим в событии. |
| Совместимые идентификаторы | строка | Атрибут "Совместимые идентификаторы" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| Компьютер | строка | имя компьютера, на котором произошло событие. |
| Корреляция | строка | Идентификаторы действий, которые потребители могут использовать для группирования связанных событий вместе. |
| DCDNSName | строка | DNS-имя контроллера домена, который участвовал в событии. |
| DeviceDescription | строка | описание устройства, которое участвовало в событии. |
| DeviceId | строка | Уникальный идентификатор устройства, задействованного в событии. |
| DisplayName | строка | Это имя, отображаемое в адресной книге для определенной учетной записи. Обычно это сочетание имени пользователя, среднего и начального имени пользователя. |
| Disposition | строка | Результат или разрешение события, например разрешение события или выполнение каких-либо действий в ответ на событие. |
| DomainBehaviorVersion | строка | Изменен атрибут домена msDS-Behavior-Version. Числовое значение. |
| DomainName | строка | Имя удаленного доверенного домена. |
| DomainPolicyChanged | строка | Указывает, были ли изменены политики домена в рамках события (политики паролей, политики безопасности и т. д.). |
| DomainSid | строка | ИДЕНТИФИКАТОР партнера доверия. Этот параметр может не быть записан в событии, и в этом случае отображается как NULL SID. |
| EAPType | строка | Тип расширяемого протокола проверки подлинности (EAP), который использовался для процесса проверки подлинности события. |
| ElevatedToken | строка | Флаг "Да" или "Нет". Если значение "Да", то сеанс, представляющий это событие, является повышенным и имеет права администратора. |
| ErrorCode | INT | Содержит код ошибки для событий сбоя. Для событий success этот параметр имеет значение "0x0". |
| EventData | строка | Конкретные данные события, связанные с событием. |
| ИД события | INT | Идентификатор, используемый поставщиком для идентификации события. |
| EventLevelName | строка | Строка отрисованного сообщения уровня, указанного в событии. |
| EventRecordId | строка | Номер записи, назначенный событию при его регистрации. |
| Имя источника события | строка | Имя программного обеспечения, которое регистрирует событие (applicationor succomponent). |
| ExtendedQuarantineState | строка | Состояние процесса карантина сети, если применимо. Карантин сети — это процесс, с помощью которого неавторизованные устройства не могут получить доступ к сети, пока они не соответствуют определенным требованиям безопасности или не были проверены на наличие вредоносных программ. |
| FailureReason | строка | текстовое объяснение значения поля состояния. Для этого события обычно используется значение "Учетная запись заблокирована". |
| FileHash | строка | Хэш-значение для всех файлов, к которым были доступны или изменены как часть события, или все файлы, используемые в процессе проверки подлинности или авторизации. |
| FilePath | строка | Полный путь и имя файла ключа, на котором была выполнена операция. |
| FilePathNoUser | строка | Путь к любым файлам, связанным с событием, за исключением имени пользователя или других сведений о пользователе. |
| Фильтр | строка | Фильтры, используемые в выполняемом событии. |
| ForceLogoff | строка | '\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: принудительное отключение входа в систему при истечении срока действия групповой политики. |
| Fqbn | строка | Полное двоичное имя (FQBN) для всех файлов, связанных с событием. |
| FullyQualifiedSubjectMachineName | строка | Полное доменное имя компьютера, инициирующего событие. |
| FullyQualifiedSubjectUserName | строка | Имя пользователя или службы, инициирующего событие в формате FQDN. |
| GroupMembership | строка | Список идентификаторов групп, к которым относится учетная запись, зарегистрированная в журнале. Просмотр событий автоматически пытается разрешить идентификаторы безопасности и отобразить имя учетной записи. Если идентификатор безопасности не может быть разрешен, в событии будут отображаться исходные данные. |
| HandleId | строка | Шестнадцатеричное значение дескриптора в имя объекта. Это поле можно использовать для корреляции с другими событиями. |
| HardwareIds | строка | Атрибут "Аппаратные идентификаторы" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| HomeDirectory | строка | Домашний каталог пользователя. Если атрибут homeDrive задан и задает букву диска, homeDirectory должен быть UNC-путь. Путь должен быть сетевым UNC формы \Server\Share\Directory. |
| HomePath | строка | Путь к домой пользователя. Путь должен быть сетевым UNC формы \Server\Share\Directory. |
| InterfaceUuid | строка | Уникальный идентификатор (UUID) сетевого интерфейса, который использовался для события. |
| IpAddress | строка | сетевой адрес (обычно IPv4 или IPv6), связанный с событием. |
| IpPort | строка | Номер сетевого порта, связанный с событием. |
| _IsBillable | строка | Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| KeyLength | INT | Длина ключа безопасности сеанса NTLM. Обычно она имеет 128-разрядную или 56-разрядную длину. |
| Ключевые слова | строка | Битовая маска ключевых слов, определенных в событии. |
| Уровень | строка | Windows классифицирует каждое событие с уровнем серьезности. Уровни в порядке серьезности — это сведения, подробные сведения, предупреждение, ошибка и критические значения, выраженные в числах. |
| LmPackageName | строка | Имя пакета или программного компонента, который в настоящее время использует локальный центр безопасности (LSA) на компьютере, где создается событие. |
| Сведения о расположении | строка | Атрибут "Сведения о расположении" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| LockoutDuration | строка | "\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\Длительность блокировки учетной записи" групповой политики. Числовое значение. |
| LockoutObservationWindow | строка | "\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\Сброс счетчика блокировки учетной записи после" групповой политики. Числовое значение. |
| LockoutThreshold | строка | Групповая политика "\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\порог блокировки учетной записи". Числовое значение. |
| Ведение журналаResult | строка | Результат процесса входа. |
| LogonGuid | строка | GUID, который поможет сопоставить это событие с другим событием, которое может содержать тот же GUID входа. |
| Вход вhounHours | строка | Часы входа учетной записи в домен. |
| Вход в систему | строка | Шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа. |
| Имя входа в систему | строка | Имя зарегистрированного процесса входа. |
| Вход в систему | INT | Тип выполненного входа. |
| Имя входа в систему | строка | Тип события входа или проверки подлинности, которое фиксируется журналом событий (общие значения:Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | строка | Изменен атрибут домена ms-DS-MachineAccountQuota. Числовое значение. |
| MachineInventory | строка | Сведения о конфигурации оборудования и программной среде компьютера, где создается событие. Она может включать различные точки данных, например: создание и модель компьютера, объем ОЗУ или дискового пространства, номера версий различных программных приложений и т. д. |
| MachineLogon | строка | Сведения об успешном входе в систему на компьютере. |
| ManagementGroupName | строка | Дополнительные сведения на основе типа ресурса. |
| Обязательныйlabel | строка | Идентификатор метки целостности, назначенной новому процессу. |
| MaxPasswordAge | строка | Период времени (в днях), который может использоваться паролем перед тем, как система требует от пользователя изменить его. |
| MemberName | строка | Учетная запись пользователя, которая участвовала в событии. |
| MemberSid | строка | Идентификатор безопасности (SID), связанный с учетной записью пользователя, которая участвовала в событии. |
| MinPasswordAge | строка | Период времени (в днях), который должен использоваться паролем, прежде чем системе требуется изменить его. |
| MinPasswordLength | строка | Наименьшее количество символов, которые могут создать пароль для учетной записи пользователя. |
| MixedDomainMode | строка | Режим домена системы или контроллера домена. |
| NASIdentifier | строка | Идентификатор сервера сетевого доступа (NAS), который участвовал в событии. |
| NASIPv4Address | строка | IPv4Address сервера сетевого доступа (NAS), который участвовал в событии, если применимо. |
| NASIPv6Address | строка | IPv6Address сервера сетевого доступа (NAS), который участвовал в событии, если применимо. |
| NASPort | строка | порт на сервере сетевого доступа, который использовался в событии. |
| NASPortType | строка | Тип сервера доступа к сети (NAS), используемого в событии. |
| NetworkPolicyName | строка | Имя политики сети, связанной с событием. |
| NewDate | строка | Новая дата в часовом поясе UTC. Формат YYYY-MM-DD. |
| NewMaxUsers | строка | Новое максимальное число пользователей, разрешенных для ресурса в событии. |
| NewProcessId | строка | Шестнадцатеричный идентификатор процесса нового процесса. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. |
| NewProcessName | строка | Полный путь и имя исполняемого файла для нового процесса. |
| NewRemark | строка | Новое значение поля "Комментарии:" сетевого ресурса. Имеет значение "N/A", если оно не задано. |
| NewShareFlags | строка | Флаги общего ресурса, связанные с ресурсом в событии, например: сведения о том, доступен ли ресурс только для чтения или чтения или записи, является ли он скрытым, и другими параметрами, которые могут повлиять на доступ и разрешения. |
| NewTime | строка | Новое время, заданное в часовом поясе UTC. Формат YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | строка | Задает флаги, управляющие паролем, блокировкой, отключением и включением, скриптом и другим поведением учетной записи пользователя. |
| NewValue | строка | Новое значение для измененного значения раздела реестра. |
| NewValueType | строка | Новый тип измененного значения раздела реестра. |
| ObjectName | строка | Имя и другие сведения об идентификации объекта, для которого был запрошен доступ. Например, для файла будет включен путь. |
| ObjectServer | строка | Содержит имя подсистемы Windows, вызывающей подпрограмму. |
| ObjectType | строка | Тип объекта, доступ к которому был выполнен во время операции. |
| ObjectValueName | строка | Имя измененного значения раздела реестра. |
| OemInformation | строка | Исходный производитель оборудования (OEM), связанный с устройством или системой в событии. |
| OldMaxUsers | строка | Предыдущее максимальное число пользователей, разрешенных для ресурса в событии. |
| OldRemark | строка | Старое значение поля сетевого ресурса "Комментарии:". Имеет значение "N/A", если оно не задано. |
| OldShareFlags | строка | Предыдущие флаги общего ресурса, связанные с ресурсом в событии, например, сведения о том, доступен ли ресурс только для чтения или чтения или записи, является ли он скрытым, и другими параметрами, которые могут повлиять на доступ и разрешения. |
| OldUacValue | строка | Задает флаги, управляющие паролем, блокировкой, отключением и включением, скриптом и другим поведением учетной записи пользователя. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта пользователя. |
| OldValue | строка | Старое значение для измененного значения раздела реестра. |
| OldValueType | строка | Старый тип измененного значения раздела реестра. |
| Код операции | строка | Элемент opcode определяется сложным типом SystemPropertiesType. |
| Тип операции | строка | Тип операции, выполняемой для объекта |
| PackageName | строка | Имя вложенного пакета LAN Manager (имя протокола NTLM-family), которое использовалось во время входа. |
| ParentProcessName | строка | Имя родительского процесса, связанного с событием. |
| PasswordHistoryLength | строка | \Параметры безопасности\Политики учетных записей\Политика паролей\Принудительное использование журнала паролей" групповой политики. Числовое значение. |
| PasswordLastSet | строка | При последнем изменении пароля учетной записи. |
| PasswordProperties | строка | Политики паролей или свойства, связанные с событием, например длина пароля, сложность и срок действия. |
| Предыдущийdate | строка | Предыдущая дата, связанная с событием. |
| Предыдущее время | строка | Предыдущее время в часовом поясе UTC. Формат YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | строка | Относительный идентификатор (RID) основной группы объектов пользователя. |
| PrivateKeyUsageCount | строка | Количество использованных закрытых ключей. |
| PrivilegeList | строка | Привилегии, включая привилегии пользователя, группы или системы, связанные с событием. |
| Обработка | строка | Имя процесса, создающего событие. |
| ProcessId | строка | Указывает процесс, создавший событие. |
| Имя процесса | строка | Полный путь и имя исполняемого файла для процесса. |
| ProfilePath | строка | Указывает путь к профилю учетной записи. Это значение может быть пустой строкой, локальным абсолютным путем или UNC-пути. |
| Свойства | строка | Зависит от типа объекта. Это поле может быть пустым или содержать список свойств объекта, к которым был доступ. |
| ProtocolSequence | строка | Сведения о протоколе, используемом для попытки проверки подлинности. |
| ProxyPolicyName | строка | Имя политики, которая использовалась для настройки прокси-сервера для подключения к сети. |
| КарантинHelpURL | строка | URL-адрес, который предоставляет справку по устранению неполадок с карантином сети. |
| КарантинSessionID | строка | Идентификатор сеанса, в котором файл был оценен для карантина. |
| КарантинSessionIdentifier | строка | Идентификатор сеанса, в котором файл был оценен для карантина. |
| КарантинState | строка | В нем показано, помещается ли файл в карантин. |
| QuarantineSystemHealthResult | строка | Отчет, показывающий состояние файлов, которые были помещены в карантин. |
| RelativeTargetName | строка | Относительное имя доступного целевого файла или папки. Этот путь к файлу относится к сетевому ресурсу. Если для самой общей папки запрашивался доступ, это поле отображается как "". |
| RemoteIpAddress | строка | IP-адрес компьютера, инициирующего удаленное подключение. |
| RemotePort | строка | Номер порта удаленного компьютера, инициирующего подключение. |
| Инициатор запроса | строка | Идентификатор запрашивающего события. |
| RequestId | строка | Уникальный идентификатор, связанный с конкретными запросами, например, сделанными по протоколу HTTP. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| RestrictedAdminMode | строка | Заполнено только сеансами типа входа RemoteInteractive. Это флаг "Да/нет", указывающий, были ли предоставленные учетные данные переданы с помощью режима ограниченного администратора. Режим ограниченного администратора был добавлен в Win8.1/2012R2, но этот флаг был добавлен в событие в Win10. |
| RowsDeleted | строка | Количество строк, которые были удалены в рамках определенной операции. |
| SamAccountName | строка | Имя входа для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя входа в Windows 2000). |
| ScriptPath | строка | Указывает путь к скрипту входа учетной записи. |
| SecurityDescriptor | строка | Сведения о параметрах безопасности и разрешениях определенного объекта или ресурса. |
| ServiceAccount | строка | Контекст безопасности, который служба будет запускаться при запуске. |
| ServiceFileName | строка | Указывает тип службы, зарегистрированной в диспетчере управления службами. |
| ServiceName | строка | Имя установленной службы. |
| ServiceStartType | INT | Содержит сведения о том, как следует запускать определенную службу, независимо от того, следует ли запускать ее автоматически или вручную. |
| ServiceType | строка | Указывает тип службы, зарегистрированной в диспетчере управления службами. |
| Имя сеанса | строка | Имя сеанса, к которому был повторно подключен пользователь. |
| ShareLocalPath | строка | Локальный путь к доступу к сетевой общей папке. |
| ShareName | строка | Имя доступного сетевого ресурса. Формат: \*\SHARE_NAME. |
| SidHistory | строка | Содержит предыдущие идентификаторы SID, используемые для объекта, если объект был перемещен из другого домена. |
| SourceComputerId | строка | Уникальный идентификатор, назначенный каждому компьютеру в домене Windows. |
| SourceSystem | строка | Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| Состояние | строка | Причина сбоя входа. Для этого события обычно используется значение "0xC0000234". Наиболее распространенные коды состояния перечислены в таблице 12. Коды состояния входа в Систему Windows. |
| StorageAccount | строка | Задает ключ доступа к учетной записи хранения. |
| SubcategoryGuid | строка | Уникальный GUID измененной подкатегории. |
| SubcategoryId | строка | Уникальный идентификатор для определенного типа события. |
| Тема | строка | Сведения о субъекте безопасности (например, учетной записи пользователя), инициируемой событием. |
| SubjectAccount | строка | Сведения об учетной записи, инициирующей событие. |
| SubjectDomainName | строка | Сведения о домене или рабочей группе, к которой принадлежит учетная запись субъекта. |
| SubjectKeyIdentifier | строка | Уникальный идентификатор для конкретной субъекта сертификата. |
| SubjectLogonId | строка | Уникальный идентификатор сеанса входа, связанного с учетной записью субъекта. |
| SubjectMachineName | строка | Сведения о компьютере или системе, из которой было создано событие. |
| SubjectMachineSID | строка | Идентификатор безопасности (SID) для компьютера, создающего событие. |
| SubjectUserName | строка | Имя учетной записи пользователя, создающей событие. |
| SubjectUserSid | строка | Идентификатор безопасности (SID) для учетной записи пользователя, создающей событие. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| SubStatus | строка | Дополнительные сведения о сбое входа. Наиболее распространенные коды подстатов, перечисленные в таблице 12. Коды состояния входа в Систему Windows. |
| SystemProcessId | INT | Указывает процесс, создавший событие. |
| SystemThreadId | INT | Указывает поток, создавший событие. |
| SystemUserId | строка | Идентификатор пользователя, ответственного за событие. |
| TableId | строка | Идентификатор конкретной таблицы данных, в который хранятся данные события. |
| TargetAccount | строка | Учетная запись, предназначенная для события (имя пользователя, имя компьютера и т. д.). |
| TargetDomainName | строка | Имя домена, к которому принадлежит целевая учетная запись. |
| TargetInfo | строка | Дополнительные сведения о целевом объекте события (например, пути к файлу или папке, имени раздела реестра и т. д.). |
| TargetLinkedLogonId | строка | Сведения, помогающие связать связанные события с помощью идентификаторов попыток входа. Это может быть полезно при сохранении всех соответствующих событий, отслеживания действий в нескольких сеансах и выявлении источника атаки. |
| TargetLogonGuid | строка | Глобальный уникальный идентификатор (GUID), связанный с сеансом входа, связанным с событием. |
| TargetLogonId | строка | Уникальный идентификатор, связанный с сеансом входа, связанным с событием. |
| TargetOutboundDomainName | строка | Домен, на который была выполнена проверка подлинности учетной записи, указанной в поле TargetAccount, во время попытки исходящей проверки подлинности. |
| TargetOutboundUserName | строка | Имя учетной записи пользователя, прошедшей проверку подлинности во время попытки исходящей проверки подлинности. |
| TargetServerName | строка | Имя сервера, на котором был запущен новый процесс. Имеет значение localhost, если процесс выполняется локально. |
| TargetSid | строка | Идентификатор безопасности сервера, на котором был запущен новый процесс. |
| TargetUser | строка | Идентификатор учетной записи пользователя, создающий новый процесс. |
| TargetUserName | строка | Имя учетной записи пользователя, создающей новый процесс. |
| TargetUserSid | строка | Идентификатор безопасности (SID), связанный с пользователем или ресурсом, участвующим в событии. |
| Задача | INT | Задача, определенная в событии. |
| TemplateContent | строка | Содержимое сообщения события или уведомления в структурированной форме. |
| TemplateDSObjectFQDN | строка | Полное доменное имя объекта DS, представляющего шаблон групповой политики. |
| TemplateInternalName | строка | Внутреннее имя шаблона групповой политики. |
| TemplateOID | строка | уникальный идентификатор шаблона, который использовался для создания события. |
| TemplateSchemaVersion | строка | Версия схемы шаблона, которая определяет данные для включения в событие. |
| TemplateVersion | строка | Версия шаблона, определяющего данные для включения в событие. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | datetime | Метка времени создания события на компьютере. |
| TokenElevationType | строка | Тип маркера, который был назначен новому процессу в соответствии с политикой контроля учетных записей пользователей. |
| Передаваемые службы | строка | Список передаваемых служб. Передаваемые службы заполняются, если вход был результатом процесса входа в систему S4U (Service For User). S4U — это расширение Корпорации Майкрософт для протокола Kerberos, позволяющее службе приложений получать запрос на обслуживание Kerberos от имени пользователя, чаще всего это делается интерфейсным веб-сайтом для доступа к внутреннему ресурсу от имени пользователя. Дополнительные сведения о S4U см. в статье https://msdn.microsoft.com/library/cc246072.aspx. |
| Тип | строка | Имя таблицы. |
| UserAccountControl | строка | Отображает список изменений в атрибуте userAccountControl. Вы увидите строку текста для каждого изменения. |
| UserParameters | строка | Если изменить любой параметр с помощью Пользователи и компьютеры Active Directory консоль управления на вкладке "Абонентская связь" свойств учетной записи пользователя, вы увидите <изменение значения, но не отображается> в этом поле. Для локальных учетных записей это поле неприменимо и всегда имеет значение, которое не задано<>. |
| UserPrincipalName | строка | Имя входа в интернет-стиле для учетной записи, основанное на стандарте INTERNET RFC 822. По соглашению это должно сопоставляться с именем электронной почты учетной записи. |
| UserWorkstations | строка | Содержит список имен NetBIOS или DNS компьютеров, из которых пользователь может выполнить вход. Каждое имя компьютера отделяется запятой. Имя компьютера — это свойство sAMAccountName объекта компьютера. |
| VendorIds | строка | Атрибут "Аппаратные идентификаторы" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| Версия | INT | Содержит номер версии определения события. |
| VirtualAccount | строка | Флаг "Да" или "Нет", указывающий, является ли учетная запись виртуальной учетной записью (например, Управляемой учетной записью службы), которая была представлена в Windows 7 и Windows Server 2008 R2, чтобы предоставить возможность определить учетную запись, используемую данной службой, а не только с помощью NetworkService. |
| Рабочая станция | строка | Имя компьютера, который использовался для выполнения события. |
| WorkstationName | строка | Имя компьютера, из которого была выполнена попытка входа. |