SecurityEvent
Azure 資訊安全中心 或 Azure Sentinel 從 Windows 計算機收集的安全性事件。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 類別 | 安全性 |
| 方案 | Security、SecurityInsights |
| 基本記錄 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| AccessMask | 字串 | 所要求或已執行作業的十六進位遮罩。 |
| 客戶 | 字串 | 服務或使用者的安全性內容。 |
| AccountDomain | 字串 | 主體的網域或計算機名稱。 |
| AccountExpires | 字串 | 帳戶到期的日期。 |
| AccountName | 字串 | 要求「移除網域信任」作業的帳戶名稱。 |
| AccountSessionIdentifier | 字串 | 建立工作階段時電腦所產生的唯一標識碼。 |
| AccountType | 字串 | 識別帳戶是電腦帳戶 (電腦) 或使用者的 。 |
| 活動 | 字串 | 事件發生的描述性標題。 |
| AdditionalInfo | 字串 | 來源所提供的其他資訊,不會對應至清單所代表的其他欄位。 |
| AdditionalInfo2 | 字串 | 來源所提供的其他資訊,不會對應至清單所代表的其他欄位。 |
| AllowedToDelegateTo | 字串 | 此帳戶可以呈現委派認證的SPN清單。 |
| 屬性 | 字串 | 事件的其他資訊。 |
| AuditPolicyChanges | 字串 | 對檔案或登錄機碼上的系統審核策略或稽核設定進行變更時所產生的事件。 |
| AuditsDiscarded | int | 捨棄的稽核訊息數目。 |
| AuthenticationLevel | int | 捨棄的稽核訊息數目。 |
| AuthenticationPackageName | 字串 | 載入的驗證套件名稱。 格式為:DLL_PATH_AND_NAME:AUTHENTICATION_PACKAGE_NAME。 |
| AuthenticationProvider | 字串 | 負責驗證程式的提供者身分識別(可以包含證書頒發機構單位、使用者名稱、密碼驗證系統等)。 |
| AuthenticationServer | 字串 | 位於驗證提供者的伺服器。 |
| AuthenticationService | int | 位於驗證提供者的服務。 |
| AuthenticationType | 字串 | 用於事件的驗證類型(雙因素驗證、生物特徵辨識驗證等)。 |
| AzureDeploymentID | 字串 | 記錄所屬雲端服務的 Azure 部署標識碼。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CACertificateHash | 字串 | 用來驗證執行事件之使用者的證書頒發機構單位 (CA) 憑證哈希值。 |
| CalledStationID | 字串 | 起始導致安全性事件之動作之月臺標識碼的相關信息。 |
| CallerProcessId | 字串 | 嘗試登入之進程的十六進位進程標識碼。 進程識別碼 (PID) 是操作系統用來唯一識別使用中進程的數位。 |
| CallerProcessName | 字串 | 進程的完整路徑和可執行檔名稱。 |
| CallingStationID | 字串 | 起始導致安全性事件之動作之月臺標識碼的相關信息。 |
| CAPublicKeyHash | 字串 | 哈希值,識別核發憑證之證書頒發機構單位 (CA) 的公鑰。 |
| CategoryId | 字串 | 發生的安全性事件類別(登入嘗試、數據外泄等)。 |
| CertificateDatabaseHash | 字串 | 識別簽發憑證之資料庫的哈希值。 |
| 通道 | 字串 | 記錄事件的通道。 |
| ClassId | 字串 | 裝置的 『Class Guid』 屬性。 |
| ClassName | 字串 | 裝置的 『Class』 屬性。 |
| ClientAddress | 字串 | 收到 TGT 要求的電腦 IP 位址。 |
| ClientIPAddress | 字串 | 起始導致事件之動作的電腦IP位址。 |
| ClientName | 字串 | 使用者重新連線的計算機名稱。 主控台工作階段的 'Unknown' 值。 |
| CommandLine | 字串 | 傳遞至事件所涉及的應用程式或進程的命令行自變數。 |
| CompatibleIds | 字串 | 裝置的「相容標識碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| 電腦 | 字串 | 發生事件之電腦的名稱。 |
| 相互關聯 | 字串 | 取用者可用來將相關事件群組在一起的活動標識符。 |
| DCDNSName | 字串 | 與事件相關的域控制器 DNS 名稱。 |
| DeviceDescription | 字串 | 事件中涉及之裝置的描述。 |
| DeviceId | 字串 | 事件中涉及之裝置的唯一標識符。 |
| DisplayName | 字串 | 這是一個名稱,顯示在特定帳戶的通訊簿中。 這通常是使用者名字、中間縮寫和姓氏的組合。 |
| 配置 | 字串 | 事件結果/解決方式,例如事件是否已解決,或是否已採取任何動作來回應事件。 |
| DomainBehaviorVersion | 字串 | msDS-Behavior-Version 網域屬性已修改。 數值。 |
| DomainName | 字串 | 已移除受信任網域的名稱。 |
| DomainPolicyChanged | 字串 | 指出事件中是否有任何網域原則已變更(密碼原則、安全策略等)。 |
| DomainSid | 字串 | 信任夥伴的 SID。 這個參數可能不會在 事件中擷取,在此情況下會顯示為 『NULL SID』。 |
| EAPType | 字串 | 用於事件驗證程式的可延伸驗證通訊協定 (EAP) 類型。 |
| ElevatedToken | 字串 | 「是」或「否」旗標。 如果為 「是」,則此事件所代表的會話會提升,且具有系統管理員許可權。 |
| ErrorCode | int | 包含失敗事件的錯誤碼。 對於 Success 事件,此參數具有 『0x0』 值。 |
| EventData | 字串 | 與事件相關聯的事件特定數據。 |
| EventID | int | 提供者用來識別事件的標識碼。 |
| EventLevelName | 字串 | 事件中所指定層級的轉譯訊息字串。 |
| EventRecordId | 字串 | 記錄時指派給事件的記錄編號。 |
| EventSourceName | 字串 | 記錄事件的軟體名稱(應用程式或 succomponent)。 |
| ExtendedQuarantineState | 字串 | 如果適用,網路隔離程序的狀態。 網路隔離是防止未經授權的裝置存取網路的程式,直到它們符合特定安全性需求或已檢查惡意代碼為止。 |
| FailureReason | 字串 | 狀態域值的文字說明。 在此事件中,它通常會有「帳戶鎖定」值。 |
| FileHash | 字串 | 在事件中存取或修改之任何檔案的哈希值,或驗證或授權程式中使用的任何檔案。 |
| FilePath | 字串 | 執行作業之金鑰檔案的完整路徑和檔名。 |
| FilePathNoUser | 字串 | 與事件相關的任何檔案路徑,不包括用戶名稱或其他使用者特定資訊。 |
| 篩選器 | 字串 | 用於已執行事件的篩選條件。 |
| ForceLogoff | 字串 | '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire' 組策略。 |
| Fqbn | 字串 | 與事件相關的任何檔案的完整二進位名稱 (FQBN)。 |
| FullyQualifiedSubjectMachineName | 字串 | 起始事件之電腦的完整功能變數名稱 (FQDN)。 |
| FullyQualifiedSubjectUserName | 字串 | 以 FQDN 格式起始事件之用戶或服務的用戶名稱。 |
| GroupMembership | 字串 | 記錄帳戶所屬的群組 SID 清單(成員)。 事件檢視器 會自動嘗試解析 SID 並顯示帳戶名稱。 如果無法解析 SID,您會看到事件中的源數據。 |
| HandleId | 字串 | 物件名稱句柄的十六進位值。 此欄位可用來與其他事件相互關聯。 |
| HardwareIds | 字串 | 裝置的「硬體識別碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| HomeDirectory | 字串 | 使用者的主目錄。 如果 homeDrive 屬性已設定並指定驅動器號,homeDirectory 應該是 UNC 路徑。 路徑必須是格式為 \Server\Share\Directory 的網路 UNC。 |
| HomePath | 字串 | 使用者的首頁路徑。 路徑必須是格式為 \Server\Share\Directory 的網路 UNC。 |
| InterfaceUuid | 字串 | 用於事件之網路介面的唯一標識碼 (UUID)。 |
| IpAddress | 字串 | 與事件相關聯的網路位址(通常是 IPv4 或 IPv6)。 |
| IpPort | 字串 | 與事件相關聯的網路埠號碼。 |
| _IsBillable | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| KeyLength | int | NTLM 會話安全性密鑰的長度。 一般而言,它有 128 位或 56 位長度。 |
| 關鍵字 | 字串 | 事件中定義的關鍵字位掩碼。 |
| 層級 | 字串 | Windows 會將每個事件分類為嚴重性層級。 嚴重性順序的層級是以數位表示的資訊、詳細資訊、警告、錯誤和嚴重性。 |
| LmPackageName | 字串 | 目前正在產生事件之電腦上的本機安全性授權單位 (LSA) 的套件或軟體元件名稱。 |
| LocationInformation | 字串 | 裝置的「位置資訊」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]: |
| LockoutDuration | 字串 | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration' 組策略。 數值。 |
| LockoutObservationWindow | 字串 | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' 組策略。 數值。 |
| LockoutThreshold | 字串 | '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold' 組策略。 數值。 |
| LoggingResult | 字串 | 登入程序的結果。 |
| LogonGuid | 字串 | GUID 可協助您將此事件與另一個可以包含相同登入 GUID 的事件相互關聯。 |
| LogonHours | 字串 | 允許帳戶登入網域的時數。 |
| LogonID | 字串 | 十六進位值,可協助您將此事件與可能包含相同登入標識碼的最近事件相互關聯。 |
| LogonProcessName | 字串 | 已註冊登入程式的名稱。 |
| LogonType | int | 執行的登入類型。 |
| LogonTypeName | 字串 | 事件記錄檔所擷取的登入或驗證事件類型(通用值:Interactive、Network、RemoteInteractive、Unlock)。 |
| MachineAccountQuota | 字串 | 已修改 ms-DS-MachineAccountQuota 網域屬性。 數值。 |
| MachineInventory | 字串 | 產生事件之計算機的硬體組態和軟體環境相關信息。 例如,它可以包含不同的數據點:計算機的製造和模型、可用的 RAM 或儲存空間量、各種軟體應用程式的版本號碼等等。 |
| MachineLogon | 字串 | 計算機中成功登入事件的相關信息。 |
| ManagementGroupName | 字串 | 根據資源類型的其他資訊。 |
| MandatoryLabel | 字串 | 指派給新進程的完整性標籤標識碼。 |
| MaxPasswordAge | 字串 | 在系統要求使用者變更密碼之前,可以使用密碼的期間(以天為單位)。 |
| MemberName | 字串 | 參與事件的用戶帳戶。 |
| MemberSid | 字串 | 與事件相關用戶帳戶相關聯的安全性標識碼 (SID)。 |
| MinPasswordAge | 字串 | 在系統要求使用者變更密碼之前,必須使用密碼的期間(以天為單位)。 |
| MinPasswordLength | 字串 | 可構成用戶帳戶密碼的最少字元數。 |
| MixedDomainMode | 字串 | 系統或域控制器的網域模式。 |
| NASIdentifier | 字串 | 與事件相關的網路存取伺服器 (NAS) 識別碼。 |
| NASIPv4Address | 字串 | 如果適用的話,涉及事件之網路存取伺服器的 IPv4Address。 |
| NASIPv6Address | 字串 | 如果適用的話,涉及事件的網路存取伺服器 IPv6Address。 |
| NASPort | 字串 | 事件中使用的網路存取伺服器上的埠。 |
| NASPortType | 字串 | 事件中使用的網路存取伺服器類型。 |
| NetworkPolicyName | 字串 | 與事件相關聯的網路原則名稱。 |
| NewDate | 字串 | UTC 時區的新日期。 格式為 YYYY-MM-DD。 |
| NewMaxUsers | 字串 | 事件中資源允許的新用戶數目上限。 |
| NewProcessId | 字串 | 新進程的十六進位進程標識碼。 進程識別碼 (PID) 是操作系統用來唯一識別使用中進程的數位。 |
| NewProcessName | 字串 | 新進程的完整路徑和可執行檔名稱。 |
| NewRemark | 字串 | 網路共用 『Comments:』 欄位的新值。 如果未設定 ,則具有 『N/A』 值。 |
| NewShareFlags | 字串 | 例如,與事件中資源相關聯的共用旗標:資源是否為唯讀或讀取/寫入、隱藏,以及可能會影響存取權和許可權的其他參數的相關信息。 |
| NewTime | 字串 | 以UTC時區設定的新時間。 格式為YYYY-MM-DDThh:mm:ss.nnnnnnnNZ |
| NewUacValue | 字串 | 指定旗標,控制用戶帳戶的密碼、鎖定、停用/啟用、腳本和其他行為。 |
| NewValue | 字串 | 已變更登錄機碼值的新值。 |
| NewValueType | 字串 | 新類型的已變更登錄機碼值。 |
| ObjectName | 字串 | 要求存取的物件名稱和其他識別資訊。 例如,針對檔案,會包含路徑。 |
| ObjectServer | 字串 | 包含呼叫例程的 Windows 子系統名稱。 |
| ObjectType | 字串 | 作業期間所存取之物件的型別。 |
| ObjectValueName | 字串 | 已修改登錄機碼值的名稱。 |
| OemInformation | 字串 | 與裝置或系統相關聯的原始設備製造商(OEM)在事件中。 |
| OldMaxUsers | 字串 | 事件中資源所允許的用戶數目上限。 |
| OldRemark | 字串 | 網路共用 'Comments:' 字段的舊值。 如果未設定 ,則具有 『N/A』 值。 |
| OldShareFlags | 字串 | 例如,與事件中資源相關聯的上一個共用旗標:資源是否為唯讀或讀取/寫入、隱藏,以及可能會影響存取權和許可權的其他參數的相關信息。 |
| OldUacValue | 字串 | 指定旗標,控制用戶帳戶的密碼、鎖定、停用/啟用、腳本和其他行為。 此參數包含用戶物件的userAccountControl屬性先前的值。 |
| OldValue | 字串 | 已變更登錄機碼值的舊值。 |
| OldValueType | 字串 | 舊類型的已變更登錄機碼值。 |
| OpCode | 字串 | opcode 元素是由 SystemPropertiesType 複雜類型所定義。 |
| OperationType | 字串 | 在物件上執行的作業類型 |
| PackageName | 字串 | 登入期間使用的 LAN Manager 子套件名稱(NTLM 系列通訊協定名稱)。 |
| ParentProcessName | 字串 | 與事件相關聯的父進程名稱。 |
| PasswordHistoryLength | 字串 | \Security Settings\Account Policies\Password Policy\Enforce password history“ 組策略。 數值。 |
| PasswordLastSet | 字串 | 上次修改帳戶的密碼。 |
| PasswordProperties | 字串 | 與事件相關聯的密碼原則或屬性,例如:密碼長度、複雜度和到期日。 |
| PreviousDate | 字串 | 與事件相關聯的上一個日期。 |
| PreviousTime | 字串 | 先前的 UTC 時區時間。 格式為YYYY-MM-DDThh:mm:ss.nnnnnnnNZ。 |
| PrimaryGroupId | 字串 | 用戶物件主要群組的相對標識碼(RID)。 |
| PrivateKeyUsageCount | 字串 | 使用私鑰的次數。 |
| PrivilegeList | 字串 | 許可權,包括與事件相關聯的使用者、群組或系統許可權。 |
| 處理 | 字串 | 產生事件的進程名稱。 |
| ProcessId | 字串 | 識別已產生事件的處理序。 |
| ProcessName | 字串 | 進程的完整路徑和可執行檔名稱。 |
| ProfilePath | 字串 | 指定帳戶配置檔的路徑。 這個值可以是 Null 字串、本機絕對路徑或 UNC 路徑。 |
| 屬性 | 字串 | 取決於物件類型。 此欄位可以是空的,或包含已存取的物件屬性清單。 |
| ProtocolSequence | 字串 | 用於驗證嘗試的通訊協議相關信息。 |
| ProxyPolicyName | 字串 | 用來設定 Proxy 伺服器以連線到網路的原則名稱。 |
| QuarantineHelpURL | 字串 | 提供網路隔離問題疑難解答協助的URL。 |
| QuarantineSessionID | 字串 | 評估檔案隔離之會話的標識碼。 |
| QuarantineSessionIdentifier | 字串 | 評估檔案隔離之會話的標識碼。 |
| QuarantineState | 字串 | 它會顯示檔案是否已隔離。 |
| QuarantineSystemHealthResult | 字串 | 顯示已隔離之檔案狀態的報告。 |
| RelativeTargetName | 字串 | 存取的目標檔案或資料夾的相對名稱。 這個檔案路徑相對於網路共用。 如果已要求共用本身的存取權,則此字段會顯示為 “”。 |
| RemoteIpAddress | 字串 | 起始遠端連線之電腦的IP位址。 |
| RemotePort | 字串 | 起始連線之遠端電腦的埠號碼。 |
| 要求者 | 字串 | 事件要求者標識碼。 |
| RequestId | 字串 | 與特定要求相關聯的唯一標識碼,例如透過 HTTP 進行的唯一標識碼。 |
| _ResourceId | string | 記錄相關資源的唯一識別碼 |
| RestrictedAdminMode | 字串 | 僅填入 RemoteInteractive 登入類型會話。 這是 [是/否] 旗標,指出所提供的認證是否使用受限制管理員模式傳遞。 在 Win8.1/2012R2 中新增了受限制的系統管理模式,但此旗標已新增至 Win10 中的事件。 |
| RowsDeleted | 字串 | 作為特定作業一部分刪除的數據列數目。 |
| SamAccountName | 字串 | 用來支援舊版 Windows 之用戶端和伺服器的帳戶登入名稱(Windows 2000 前登入名稱)。 |
| ScriptPath | 字串 | 指定帳戶登入文稿的路徑。 |
| SecurityDescriptor | 字串 | 特定物件或資源的安全性設定和許可權的相關信息。 |
| ServiceAccount | 字串 | 服務會在啟動時執行的安全性內容。 |
| ServiceFileName | 字串 | 指出已向服務控制管理員註冊的服務類型。 |
| ServiceName | 字串 | 已安裝的服務名稱。 |
| ServiceStartType | int | 包含應該如何啟動特定服務的相關信息,無論是應該自動啟動還是手動啟動。 |
| ServiceType | 字串 | 指出已向服務控制管理員註冊的服務類型。 |
| SessionName | 字串 | 使用者重新連線的會話名稱。 |
| ShareLocalPath | 字串 | 存取網路共用的本機路徑。 |
| ShareName | 字串 | 存取的網路共享名稱。 格式為:\*\SHARE_NAME。 |
| SidHistory | 字串 | 如果物件已從另一個定義域移動,則包含用於物件的先前 SID。 |
| SourceComputerId | 字串 | 指派給 Windows 網域中每部電腦的唯一標識碼。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| 狀態 | 字串 | 登入失敗的原因。 在此事件中,它通常具有 「0xC0000234」值。 最常見的狀態代碼列在表 12 中。 Windows 登入狀態代碼。 |
| StorageAccount | 字串 | 設定記憶體帳戶存取金鑰。 |
| SubcategoryGuid | 字串 | 已變更子類別的唯一 GUID。 |
| SubcategoryId | 字串 | 特定事件類型的唯一標識符。 |
| 主旨 | 字串 | 起始事件之安全性主體的相關信息(例如:用戶帳戶)。 |
| SubjectAccount | 字串 | 起始事件之帳戶的相關信息。 |
| SubjectDomainName | 字串 | 主體帳戶所屬網域或工作組的相關信息。 |
| SubjectKeyIdentifier | 字串 | 特定憑證主體的唯一標識符。 |
| SubjectLogonId | 字串 | 與主體帳戶相關聯的登入會話的唯一標識符。 |
| SubjectMachineName | 字串 | 建立事件的電腦或系統相關信息。 |
| SubjectMachineSID | 字串 | 產生事件之計算機的安全性識別碼 (SID)。 |
| SubjectUserName | 字串 | 產生事件的用戶帳戶名稱。 |
| SubjectUserSid | 字串 | 產生事件之用戶帳戶的安全性標識碼 (SID)。 |
| _SubscriptionId | string | 與記錄相關的訂用帳戶唯一識別碼 |
| SubStatus | 字串 | 登入失敗的其他資訊。 'Table 12' 中列出的最常見子狀態代碼。 Windows 登入狀態代碼』。 |
| SystemProcessId | int | 識別已產生事件的處理序。 |
| SystemThreadId | int | 識別已產生事件的執行緒。 |
| SystemUserId | 字串 | 負責事件之使用者的標識碼。 |
| TableId | 字串 | 事件數據儲存在的特定數據表標識碼。 |
| TargetAccount | 字串 | 以事件為目標的帳戶(用戶名稱、計算機名稱等)。 |
| TargetDomainName | 字串 | 目標帳戶所屬的功能變數名稱。 |
| TargetInfo | 字串 | 事件目標的其他資訊(例如:檔案或資料夾的路徑、登錄機碼的名稱等等)。 |
| TargetLinkedLogonId | 字串 | 有助於透過登入嘗試標識符將相關事件連結在一起的資訊。 它有助於讓所有相關事件保持組織、追蹤跨多個會話的活動,以及識別攻擊來源。 |
| TargetLogonGuid | 字串 | 與事件相關登入會話相關聯的全域唯一標識碼 (GUID)。 |
| TargetLogonId | 字串 | 與與事件相關的登入會話相關聯的唯一標識符。 |
| TargetOutboundDomainName | 字串 | 在輸出驗證嘗試期間,TargetAccount 字段中指定的帳戶已針對 該網域進行驗證。 |
| TargetOutboundUserName | 字串 | 在輸出驗證嘗試期間驗證的用戶帳戶名稱。 |
| TargetServerName | 字串 | 執行新進程之伺服器的名稱。 如果進程是在本機執行,則具有 「localhost」 值。 |
| TargetSid | 字串 | 執行新進程之伺服器的安全性識別碼 (SID)。 |
| TargetUser | 字串 | 產生新進程的用戶帳戶標識碼。 |
| TargetUserName | 字串 | 產生新進程的用戶帳戶名稱。 |
| TargetUserSid | 字串 | 與事件相關使用者或資源相關聯的安全性標識碼 (SID)。 |
| Task | int | 事件中定義的工作。 |
| TemplateContent | 字串 | 結構化格式的事件訊息或通知內容。 |
| TemplateDSObjectFQDN | 字串 | 代表 GPO 範本之 DS 物件的 FQDN。 |
| TemplateInternalName | 字串 | GPO 樣本的內部名稱。 |
| TemplateOID | 字串 | 用來建立事件之範本的唯一標識符。 |
| TemplateSchemaVersion | 字串 | 範本架構的版本,定義要與事件包含的數據。 |
| TemplateVersion | 字串 | 範本版本,定義要與事件包含的數據。 |
| TenantId | 字串 | Log Analytics 工作區識別碼 |
| TimeGenerated | Datetime | 在電腦上產生事件的時間戳。 |
| TokenElevationType | 字串 | 根據用戶帳戶控制原則指派給新程式的令牌類型。 |
| TransmittedServices | 字串 | 傳輸的服務清單。 如果登入是 S4U (使用者服務)登入程序的結果,則會填入傳輸的服務。 S4U 是 Kerberos 通訊協定的Microsoft延伸模組,可讓應用程式服務代表使用者取得 Kerberos 服務票證-最常由前端網站代表使用者存取內部資源。 如需 S4U 的詳細資訊,請參閱 https://msdn.microsoft.com/library/cc246072.aspx。 |
| 型別 | string | 資料表的名稱 |
| UserAccountControl | 字串 | 顯示userAccountControl屬性中的變更清單。 您會看到每個變更的文字行。 |
| UserParameters | 字串 | 如果您在使用者帳戶屬性的 [撥入] 索引標籤中使用 Active Directory 使用者和電腦 管理主控台變更任何設定,則您會看到<值已變更,但不會顯示在>此欄位中。 針對本機帳戶,此字段不適用,且一律有 <值未設定> 值。 |
| UserPrincipalName | 字串 | 帳戶的因特網樣式登入名稱,以因特網標準 RFC 822 為基礎。 依照慣例,這應該對應至帳戶的電子郵件名稱。 |
| UserWorkstations | 字串 | 包含使用者可以登入之電腦的 NetBIOS 或 DNS 名稱清單。 每部計算機名稱都會以逗號分隔。 計算機的名稱是計算機物件的 sAMAccountName 屬性。 |
| VendorIds | 字串 | 裝置的「硬體識別碼」屬性。 若要查看裝置屬性,請啟動 裝置管理員、開啟特定的裝置屬性,然後按兩下 [詳細數據]。 |
| 版本 | int | 包含事件定義的版本號碼。 |
| VirtualAccount | 字串 | 「是」或「否」旗標,指出帳戶是否為虛擬帳戶(例如「受控服務帳戶」),這是在 Windows 7 和 Windows Server 2008 R2 中引進,以提供識別指定服務所使用的帳戶的能力,而不只是使用 'NetworkService'。 |
| 工作站 | 字串 | 用來執行事件的計算機名稱。 |
| WorkstationName | 字串 | 執行登入嘗試的計算機名稱。 |