Dela via


SecurityEvent

Säkerhetshändelser som samlas in från Windows-datorer av Azure Security Center eller Azure Sentinel.

Tabellattribut

Attribut Värde
Resurstyper microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Kategorier Säkerhet
Lösningar Säkerhet, SecurityInsights
Grundläggande logg Nej
Inmatningstidstransformering Ja
Exempelfrågor Ja

Kolumner

Column Type Beskrivning
AccessMask sträng Hexadecimal mask för den begärda eller utförda åtgärden.
Konto sträng Säkerhetskontexten för tjänster eller användare.
AccountDomain sträng Ämnesdomän eller datornamn.
AccountExpires sträng Det datum då kontot upphör att gälla.
AccountName sträng Namnet på det konto som begärde åtgärden "ta bort domänförtroende".
AccountSessionIdentifier sträng En unik identifierare som genereras av datorn när sessionen skapas.
AccountType sträng Identifierar om kontot är ett datorkonto (dator) eller en användares.
Aktivitet sträng Den beskrivande rubriken för händelsen inträffade.
AdditionalInfo sträng Ytterligare information som tillhandahålls av källan, som inte mappas till andra fält, som representeras av en lista.
AdditionalInfo2 sträng Ytterligare information som tillhandahålls av källan, som inte mappas till andra fält, som representeras av en lista.
AllowedToDelegateTo sträng Listan över SPN som det här kontot kan presentera delegerade autentiseringsuppgifter för.
Attribut sträng Ytterligare information om händelsen.
AuditPolicyChanges sträng Händelser som genereras när ändringar görs i systemgranskningsprincipen eller granskningsinställningarna för en fil eller registernyckel.
AuditsDiscarded heltal Antal granskningsmeddelanden som har ignorerats.
AuthenticationLevel heltal Antal granskningsmeddelanden som har ignorerats.
AuthenticationPackageName sträng namnet på det inlästa autentiseringspaketet. Formatet är: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME.
AuthenticationProvider sträng Identiteten på den leverantör som ansvarar för autentiseringsprocessen (kan innehålla en certifikatutfärdare, ett användarnamn, ett system för lösenordsautentisering osv.).
AuthenticationServer sträng Servern där autentiseringsprovidern finns.
AuthenticationService heltal Tjänsten där autentiseringsprovidern finns.
AuthenticationType sträng den typ av autentisering som användes för händelsen (tvåfaktorsautentisering, biometrisk autentisering osv.).
AzureDeploymentID sträng Azure-distributions-ID för molntjänsten som loggen tillhör.
_BilledSize real Poststorleken i byte
CACertificateHash sträng Hash-värdet för certifikatutfärdarcertifikatet (CA) som användes för att autentisera användaren som utförde händelsen.
CalledStationID sträng Information om ID:t för den station som initierade åtgärden som ledde till säkerhetshändelsen.
CallerProcessId sträng Hexadecimalt process-ID för den process som försökte logga in. Process-ID (PID) är ett tal som används av operativsystemet för att unikt identifiera en aktiv process.
CallerProcessName sträng Fullständig sökväg och namnet på den körbara filen för processen.
CallingStationID sträng Information om ID:t för den station som initierade åtgärden som ledde till säkerhetshändelsen.
CAPublicKeyHash sträng Hash-värde som identifierar den offentliga nyckeln för en certifikatutfärdare (CA) som utfärdade ett certifikat.
CategoryId sträng Kategorin för säkerhetshändelsen som inträffade (inloggningsförsök, dataintrång osv.).
CertificateDatabaseHash sträng Hash-värde som identifierar databasen som utfärdade ett certifikat.
Kanal sträng Kanalen som händelsen loggades till.
ClassId sträng Attributet "Class Guid" för enheten.
ClassName sträng Attributet "Klass" för enheten.
ClientAddress sträng IP-adressen för den dator som TGT-begäran togs emot från.
ClientIPAddress sträng IP-adressen för den dator som initierade åtgärden som ledde till händelsen.
ClientName sträng datornamn som användaren återansluts från. Har värdet "Okänt" för konsolsessionen.
Kommandorad sträng Kommandoradsargumenten som skickades till ett program eller en process som var inblandad i händelsen.
CompatibleIds sträng Attributet "Kompatibla ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information:
Dator sträng Namnet på den dator där händelsen inträffade.
Korrelation sträng Aktivitetsidentifierarna som konsumenter kan använda för att gruppera relaterade händelser tillsammans.
DCDNSName sträng DNS-namnet på domänkontrollanten som var inblandad i händelsen.
DeviceDescription sträng beskrivningen av enheten som var inblandad i händelsen.
DeviceId sträng Den unika identifieraren för den enhet som var inblandad i händelsen.
DisplayName sträng Det är ett namn som visas i adressboken för ett visst konto. Detta är vanligtvis kombinationen av användarens förnamn, mellan initialt och efternamn.
Disposition sträng Händelseresultat/lösning, till exempel om händelsen löstes eller om någon åtgärd vidtogs som svar på händelsen.
DomainBehaviorVersion sträng domänattributet msDS-Behavior-Version ändrades. Numeriskt värde.
DomainName sträng Namnet på den borttagna betrodda domänen.
DomainPolicyChanged sträng Anger om några domänprinciper har ändrats som en del av händelsen (lösenordsprinciper, säkerhetsprinciper osv.).
DomainSid sträng SID för förtroendepartnern. Den här parametern kanske inte fångas in i händelsen, och i så fall visas den som "NULL SID".
EAPType sträng Den typ av EAP (Extensible Authentication Protocol) som användes för händelseautentiseringsprocessen.
ElevatedToken sträng En "Ja" eller "Nej"-flagga. Om "Ja" är sessionen som den här händelsen representerar upphöjd och har administratörsbehörighet.
Felkod heltal Innehåller felkod för felhändelser. För lyckade händelser har den här parametern värdet "0x0".
EventData sträng Händelsespecifika data som är associerade med händelsen.
EventID heltal Identifieraren som providern använde för att identifiera händelsen.
EventLevelName sträng Den renderade meddelandesträngen på den nivå som anges i händelsen.
EventRecordId sträng Det postnummer som tilldelades händelsen när den loggades.
EventSourceName sträng Namnet på programvaran som loggar händelsen (applicationor a succomponent).
ExtendedQuarantineState sträng Tillståndet för nätverkets karantänprocess, om tillämpligt. Nätverkskarantän är en process där obehöriga enheter hindras från att komma åt ett nätverk tills de uppfyller vissa säkerhetskrav eller har kontrollerats efter skadlig kod.
FailureReason sträng textuell förklaring av värdet för fältet Status. För den här händelsen har den vanligtvis värdet "Konto utelåst".
FileHash sträng Hash-värdet för alla filer som har använts eller ändrats som en del av händelsen, eller filer som användes i autentiserings- eller auktoriseringsprocessen.
FilePath sträng Fullständig sökväg och filnamn för nyckelfilen som åtgärden utfördes på.
FilePathNoUser sträng Sökvägen till filer som är relaterade till händelsen, exklusive användarnamnet eller annan användarspecifik information.
Filtrera sträng Filter som används i den utförda händelsen.
ForceLogoff sträng Grupprincipen '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire'.
Fqbn sträng Det fullständigt kvalificerade binära namnet (FQBN) för alla filer som är relaterade till händelsen.
FullyQualifiedSubjectMachineName sträng Det fullständigt kvalificerade domännamnet (FQDN) för den dator som initierade händelsen.
FullyQualifiedSubjectUserName sträng Användarnamnet för den användare eller tjänst som initierade händelsen i FQDN-format.
GroupMembership sträng Listan över grupp-SID:er som loggade konton tillhör (medlem i). Loggboken försöker automatiskt matcha SID:er och visa kontonamnet. Om SID inte kan matchas visas källdata i händelsen.
HandleId sträng Hexadecimalt värde för ett referensvärde till Objektnamn. Det här fältet kan användas för korrelation med andra händelser.
HardwareIds sträng "Maskinvaru-ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information:
HomeDirectory sträng Användarens hemkatalog. Om attributet homeDrive har angetts och anger en enhetsbeteckning bör homeDirectory vara en UNC-sökväg. Sökvägen måste vara ett unc-nätverk av formuläret \Server\Share\Directory.
HomePath sträng Användarens hemsökväg. Sökvägen måste vara ett unc-nätverk av formuläret \Server\Share\Directory.
InterfaceUuid sträng Den unika identifieraren (UUID) för nätverksgränssnittet som användes för händelsen.
IpAddress sträng nätverksadressen (vanligtvis IPv4 eller IPv6) som är associerad med händelsen.
IpPort sträng Det nätverksportnummer som är associerat med händelsen.
_IsBillable sträng Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
Nyckellängd heltal Längden på NTLM-sessionssäkerhetsnyckeln. Vanligtvis har den 128 bitars eller 56 bitars längd.
Nyckelord sträng En bitmask av nyckelorden som definierats i händelsen.
Nivå sträng Windows kategoriserar varje händelse med allvarlighetsgrad. Nivåerna i ordning efter allvarlighetsgrad är information, utförlig, varning, fel och kritisk som uttrycks i tal.
LmPackageName sträng Namnet på paketet eller programvarukomponenten som för närvarande använder LSA (Local Security Authority) på den dator där händelsen genereras.
LocationInformation sträng Attributet Platsinformation för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information:
LockoutDuration sträng Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration'. Numeriskt värde.
LockoutObservationWindow sträng Grupprincipen '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after'. Numeriskt värde.
LockoutThreshold sträng Grupprincipen "\Säkerhetsinställningar\Kontoprinciper\Kontoutelåsningsprincip\Tröskelvärde för kontoutelåsning". Numeriskt värde.
LoggingResult sträng Resultatet av inloggningsprocessen.
Inloggning sträng Ett GUID som kan hjälpa dig att korrelera den här händelsen med en annan händelse som kan innehålla samma GUID för inloggning.
LogonHours sträng Timmar då kontot tillåts logga in på domänen.
Inloggnings-ID sträng Hexadecimalt värde som kan hjälpa dig att korrelera den här händelsen med de senaste händelserna som kan innehålla samma inloggnings-ID.
LogonProcessName sträng Namnet på den registrerade inloggningsprocessen.
Inloggningstyp heltal Den typ av inloggning som utfördes.
LogonTypeName sträng Den typ av inloggnings- eller autentiseringshändelse som registreras av händelseloggen (vanliga värden:Interaktiva, Nätverk, RemoteInteractive, Unlock).
MachineAccountQuota sträng domänattributet ms-DS-MachineAccountQuota ändrades. Numeriskt värde.
MachineInventory sträng Information om maskinvarukonfigurationen och programvarumiljön på den dator där händelsen genereras. Den kan innehålla olika datapunkter, till exempel datorns märke och modell, mängden RAM-minne eller tillgängligt lagringsutrymme, versionsnummer för olika program osv.).
MachineLogon sträng Information om en lyckad inloggningshändelse på datorn.
ManagementGroupName sträng Ytterligare information baserat på resurstypen.
MandatoryLabel sträng ID för den integritetsetikett som tilldelades den nya processen.
MaxPasswordAge sträng Tidsperioden (i dagar) som ett lösenord kan användas innan systemet kräver att användaren ändrar det.
MemberName sträng Det användarkonto som var involverat i händelsen.
MemberSid sträng Säkerhetsidentifieraren (SID) som är associerad med det användarkonto som var involverat i händelsen.
MinPasswordAge sträng Tidsperioden (i dagar) som ett lösenord måste användas innan systemet kräver att användaren ändrar det.
MinPasswordLength sträng Det minsta antalet tecken som kan utgöra ett lösenord för ett användarkonto.
MixedDomainMode sträng Domänläget för ett system eller en domänkontrollant.
NASIdentifier sträng Identifieraren för nätverksåtkomstservern (NAS) som var inblandad i händelsen.
NASIPv4Address sträng IPv4Address för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt.
NASIPv6Address sträng IPv6Address för nätverksåtkomstservern (NAS) som var inblandad i händelsen, om tillämpligt.
NASPort sträng porten på nätverksåtkomstservern som användes i händelsen.
NASPortType sträng vilken typ av nätverksåtkomstserver (NAS) som används i händelsen.
NetworkPolicyName sträng Namnet på den nätverksprincip som är associerad med händelsen.
NewDate sträng Nytt datum i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DD.
NewMaxUsers sträng Det nya maximala antalet användare som tillåts för en resurs i händelsen.
NewProcessId sträng Hexadecimalt process-ID för den nya processen. Process-ID (PID) är ett tal som används av operativsystemet för att unikt identifiera en aktiv process.
NewProcessName sträng Fullständig sökväg och namnet på den körbara filen för den nya processen.
NewRemark sträng Det nya värdet för fältet Kommentarer för nätverksresursen. Har värdet "N/A" om det inte har angetts.
NewShareFlags sträng Resursflaggor som är associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivskyddad, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter.
NewTime sträng Ny tid som angavs i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DDThh:mm:ss.nnnnnnnZ
NewUacValue sträng Anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och annat beteende för användarkontot.
NewValue sträng Nytt värde för ändrat registernyckelvärde.
NewValueType sträng Ny typ av ändrat registernyckelvärde.
ObjectName sträng Namn och annan identifierande information för det objekt som åtkomst begärdes för. För en fil inkluderas till exempel sökvägen.
ObjectServer sträng Innehåller namnet på Windows-undersystemet som anropar rutinen.
ObjectType sträng Typen av ett objekt som användes under åtgärden.
ObjectValueName sträng Namnet på det ändrade registernyckelvärdet.
OemInformation sträng Den ursprungliga utrustningstillverkaren (OEM) som är associerad med en enhet eller ett system i händelsen.
OldMaxUsers sträng Det tidigare maximala antalet användare som tillåts för en resurs i händelsen.
OldRemark sträng det gamla värdet för fältet Kommentarer för nätverksresursen. Har värdet "N/A" om det inte har angetts.
OldShareFlags sträng Tidigare resursflaggor som är associerade med en resurs i händelsen, till exempel: information om huruvida resursen är skrivskyddad eller skrivskyddad, om den är dold och andra parametrar som kan påverka åtkomst och behörigheter.
OldUacValue sträng Anger flaggor som styr lösenord, utelåsning, inaktivera/aktivera, skript och annat beteende för användarkontot. Den här parametern innehåller det tidigare värdet för userAccountControl-attributet för användarobjektet.
OldValue sträng Gammalt värde för ändrat registernyckelvärde.
OldValueType sträng Gammal typ av ändrat registernyckelvärde.
Opcode sträng Opcode-elementet definieras av den komplexa typen SystemPropertiesType.
OperationType sträng Den typ av åtgärd som utfördes på ett objekt
PackageName sträng Namnet på det LAN Manager-underpaket (NTLM-family protocol name) som användes under inloggningen.
ParentProcessName sträng Namnet på den överordnade process som är associerad med händelsen.
PasswordHistoryLength sträng Grupprincip för \Säkerhetsinställningar\Kontoprinciper\Lösenordsprincip\Framtvinga lösenordshistorik. Numeriskt värde.
PasswordLastSet sträng Senaste gången kontots lösenord ändrades.
PasswordProperties sträng Lösenordsprinciper eller egenskaper som är associerade med händelsen, till exempel lösenordslängd, komplexitet och förfallodatum.
PreviousDate sträng Föregående datum som är associerat med händelsen.
PreviousTime sträng Tidigare tid i UTC-tidszonen. Formatet är ÅÅÅÅ-MM-DDThh:mm:ss.nnnnnnnZ.
PrimaryGroupId sträng Relativ identifierare (RID) för användarens primära objektgrupp.
PrivateKeyUsageCount sträng Antalet gånger en privat nyckel har använts.
PrivilegeList sträng Behörigheterna, inklusive användar-, grupp- eller systembehörigheter som är associerade med händelsen.
Process sträng Namnet på den process som genererar händelsen.
ProcessId sträng Identifierar den process som genererade händelsen.
ProcessName sträng Fullständig sökväg och namnet på den körbara filen för processen.
ProfilePath sträng Anger en sökväg till kontots profil. Det här värdet kan vara en null-sträng, en lokal absolut sökväg eller en UNC-sökväg.
Egenskaper sträng Beror på objekttyp. Det här fältet kan vara tomt eller innehålla listan över objektegenskaperna som användes.
ProtocolSequence sträng Information om protokollet som används för ett autentiseringsförsök.
ProxyPolicyName sträng Namnet på principen som användes för att konfigurera proxyservern för att ansluta till nätverket.
QuarantineHelpURL sträng URL som ger hjälp med att felsöka ett problem med nätverkskarantän.
QuarantineSessionID sträng Identifierare för sessionen där filen utvärderades för karantän.
QuarantineSessionIdentifier sträng Identifierare för sessionen där filen utvärderades för karantän.
QuarantineState sträng Den visar om filen har placerats i karantän.
QuarantineSystemHealthResult sträng Rapport som visar status för de filer som har placerats i karantän.
RelativeTargetName sträng Relativt namn på den använda målfilen eller mappen. Den här filsökvägen är relativ till nätverksresursen. Om åtkomst begärdes för själva resursen visas det här fältet som "".
RemoteIpAddress sträng IP-adressen för den dator som initierade en fjärranslutning.
RemotePort sträng Portnumret för fjärrdatorn som initierade en anslutning.
Beställare sträng Identifieraren för händelseförfrågan.
RequestId sträng En unik identifierare som är associerad med specifika begäranden, till exempel de som görs via HTTP.
_ResourceId sträng En unik identifierare för resursen som posten är associerad med
RestrictedAdminMode sträng Fylls endast i för RemoteInteractive-inloggningstypsessioner. Det här är en ja/nej-flagga som anger om de angivna autentiseringsuppgifterna skickades med begränsat administratörsläge. Läget Begränsad administratör lades till i Win8.1/2012R2, men den här flaggan lades till i händelsen i Win10.
RaderTa bort sträng Antalet rader som har tagits bort som en del av en viss åtgärd.
SamAccountName sträng inloggningsnamn för konto som används för att stödja klienter och servrar från tidigare versioner av Windows (inloggningsnamn före Windows 2000).
ScriptPath sträng Anger sökvägen till kontots inloggningsskript.
SecurityDescriptor sträng Information om säkerhetsinställningar och behörigheter för ett visst objekt eller en viss resurs.
ServiceAccount sträng Säkerhetskontexten som tjänsten ska köra som när den startas.
ServiceFileName sträng Anger vilken typ av tjänst som registrerades med Service Control Manager.
ServiceName sträng Namnet på den installerade tjänsten.
ServiceStartType heltal Innehåller information om hur en viss tjänst ska startas, om den ska startas automatiskt eller manuellt.
ServiceType sträng Anger vilken typ av tjänst som registrerades med Service Control Manager.
SessionName sträng Namnet på sessionen som användaren återanslutdes till.
ShareLocalPath sträng Den lokala sökvägen till den anslutna nätverksresursen.
ShareName sträng Namnet på den anslutna nätverksresursen. Formatet är: \*\SHARE_NAME.
SidHistory sträng Innehåller tidigare SID:er som användes för objektet om objektet flyttades från en annan domän.
SourceComputerId sträng Unik identifierare tilldelad till varje dator i en Windows-domän.
SourceSystem sträng Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
Status sträng Anledningen till att inloggningen misslyckades. För den här händelsen har den vanligtvis värdet "0xC0000234". De vanligaste statuskoderna visas i tabell 12. Statuskoder för Windows-inloggning.
StorageAccount sträng Anger åtkomstnyckeln för lagringskontot.
UnderkategoriGuid sträng Det unika GUID:et för ändrad underkategori.
SubcategoryId sträng En unik identifierare för en viss typ av händelse.
Ämne sträng Information om säkerhetsobjektet (till exempel användarkontot) som initierade händelsen.
SubjectAccount sträng Information om det konto som initierar händelsen.
SubjectDomainName sträng Information om den domän eller arbetsgrupp som ämneskontot tillhör.
SubjectKeyIdentifier sträng En unik identifierare för ett visst certifikatämne.
SubjectLogonId sträng En unik identifierare för inloggningssessionen som är associerad med ämneskontot.
SubjectMachineName sträng Information om den dator eller det system som händelsen skapades från.
SubjectMachineSID sträng Säkerhetsidentifieraren (SID) för den dator som genererade händelsen.
SubjectUserName sträng Namnet på det användarkonto som genererade händelsen.
SubjectUserSid sträng Säkerhetsidentifieraren (SID) för användarkontot som genererade händelsen.
_SubscriptionId sträng En unik identifierare för prenumerationen som posten är associerad med
Understatus- sträng Ytterligare information om inloggningsfel. De vanligaste understatuskoderna som anges i tabell 12. Statuskoder för Windows-inloggning".
SystemProcessId heltal Identifierar den process som genererade händelsen.
SystemThreadId heltal Identifierar tråden som genererade händelsen.
SystemUserId sträng ID för den användare som ansvarar för händelsen.
TableId sträng Den specifika datatabellidentifieraren som händelsedata lagras i.
TargetAccount sträng Det konto som händelsen riktar sig till (användarnamn, datornamn osv.).
TargetDomainName sträng Namnet på den domän som målkontot tillhör.
TargetInfo sträng Ytterligare information om händelsemålet (till exempel sökvägen till en fil eller mapp, namnet på en registernyckel osv.).
TargetLinkedLogonId sträng Information som hjälper till att länka relaterade händelser tillsammans med deras inloggningsförsöks-ID:n. Det kan vara användbart för att hålla alla relevanta händelser organiserade, spåra aktivitet över flera sessioner och identifiera attackkällan.
TargetLogonGuid sträng En globalt unik identifierare (GUID) som är associerad med inloggningssessionen som är relaterad till händelsen.
TargetLogonId sträng En unik identifierare som är associerad med inloggningssessionen som är relaterad till händelsen.
TargetOutboundDomainName sträng Domänen som kontot som anges i fältet TargetAccount autentiserades mot under ett utgående autentiseringsförsök.
TargetOutboundUserName sträng Namnet på användarkontot som autentiserades under ett utgående autentiseringsförsök.
TargetServerName sträng Namnet på servern där den nya processen kördes. Har värdet "localhost" om processen kördes lokalt.
TargetSid sträng Säkerhetsidentifieraren (SID) för den server där den nya processen kördes.
TargetUser sträng Identifieraren för användarkontot som genererade den nya processen.
TargetUserName sträng Namnet på användarkontot som genererade den nya processen.
TargetUserSid sträng Säkerhetsidentifieraren (SID) som är associerad med användaren eller resursen som är inblandad i händelsen.
Uppgift heltal Uppgiften som definierats i händelsen.
TemplateContent sträng Innehållet i händelsemeddelandet eller meddelandet i ett strukturerat formulär.
TemplateDSObjectFQDN sträng FQDN för DS-objektet som representerar GPO-mallen.
TemplateInternalName sträng Det interna namnet på grupprincipobjektmallen.
TemplateOID sträng den unika identifieraren för mallen som användes för att skapa händelsen.
TemplateSchemaVersion sträng Version av mallschemat som definierar de data som ska inkluderas med en händelse.
TemplateVersion sträng Version av mallen som definierar de data som ska inkluderas med en händelse.
TenantId sträng Log Analytics-arbetsytans ID
TimeGenerated datetime Tidsstämpeln när händelsen genererades på datorn.
TokenElevationType sträng Typ av token som har tilldelats till en ny process i enlighet med principen för användarkontokontroll.
TransmittedServices sträng Listan över överförda tjänster. Överförda tjänster fylls i om inloggningen berodde på en inloggningsprocess för S4U (Tjänst för användare). S4U är ett Microsoft-tillägg till Kerberos-protokollet som gör att en programtjänst kan hämta en Kerberos-tjänstbiljett åt en användare – oftast via en klientdelswebbplats för att få åtkomst till en intern resurs åt en användare. Mer information om S4U finns i https://msdn.microsoft.com/library/cc246072.aspx.
Typ sträng Namnet på tabellen
UserAccountControl sträng Visar listan över ändringar i userAccountControl-attributet. Du ser en textrad för varje ändring.
UserParameters sträng Om du ändrar en inställning med hjälp av Active Directory - användare och datorer-hanteringskonsolen på fliken Uppringning i användarens kontoegenskaper visas <värdet ändrat, men visas> inte i det här fältet. För lokala konton är det här fältet inte tillämpligt och har <alltid ett värde som inte har angetts> .
UserPrincipalName sträng Inloggningsnamn i Internetstil för kontot, baserat på Internetstandarden RFC 822. Enligt konventionen bör detta mappas till kontots e-postnamn.
UserWorkstations sträng Innehåller listan över NetBIOS- eller DNS-namn på de datorer som användaren kan logga in från. Varje datornamn avgränsas med ett kommatecken. Namnet på en dator är egenskapen sAMAccountName för ett datorobjekt.
VendorIds sträng "Maskinvaru-ID:n" för enheten. Om du vill se enhetsegenskaper startar du Enhetshanteraren, öppnar specifika enhetsegenskaper och klickar på Information.
Version heltal Innehåller versionsnumret för händelsens definition.
VirtualAccount sträng Flaggan "Ja" eller "Nej", som anger om kontot är ett virtuellt konto (t.ex. "Hanterat tjänstkonto", som introducerades i Windows 7 och Windows Server 2008 R2 för att ge möjlighet att identifiera det konto som en viss tjänst använder, i stället för att bara använda "NetworkService".
Arbetsstation sträng Namnet på den dator som användes för att utföra händelsen.
WorkstationName sträng Datornamn som ett inloggningsförsök utfördes från.