Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Eventi di sicurezza raccolti dai computer Windows da Centro sicurezza di Azure o Azure Sentinel.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/macchine virtuali microsoft.compute/virtualmachinescalesets |
| Categorie | Sicurezza |
| Soluzioni | Sicurezza, Approfondimenti sulla Sicurezza |
| Log di base | Sì |
| Trasformazione del tempo di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Maschera di accesso | corda | Maschera esadecimale per l'operazione richiesta o eseguita. |
| Conto | corda | Contesto di sicurezza per i servizi o gli utenti. |
| DominioAccount | corda | Dominio o nome computer dell'oggetto. |
| AccountExpires | corda | Data di scadenza dell'account. |
| Nome dell'Account | corda | Nome dell'account che ha richiesto l'operazione di rimozione dell'attendibilità del dominio. |
| AccountSessionIdentifier | corda | Identificatore univoco generato dal computer quando viene creata la sessione. |
| Tipo di Account | corda | Identifica se l'account è un account computer (computer) o utente. |
| Attività | corda | Il titolo descrittivo dell'evento che si è verificato. |
| Informazioni Aggiuntive | corda | Informazioni aggiuntive fornite dall'origine, che non sono mappate ad altri campi, rappresentate dall'elenco. |
| InformazioniAggiuntive2 | corda | Informazioni aggiuntive fornite dall'origine, che non sono mappate ad altri campi, rappresentate dall'elenco. |
| ConsentitoDelegareA | corda | Elenco di nomi SPN a cui questo account può presentare credenziali delegate. |
| Attributi | corda | Informazioni aggiuntive sull'evento. |
| Modifiche delle politiche di controllo | corda | Eventi generati quando vengono apportate modifiche ai criteri di controllo del sistema o alle impostazioni di controllo in un file o in una chiave del Registro di sistema. |
| AuditsDiscarded | INT | Numero di messaggi di controllo eliminati. |
| Livello di Autenticazione | INT | Numero di messaggi di controllo eliminati. |
| NomePacchettoAutenticazione | corda | nome del pacchetto di autenticazione caricato. Il formato è: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | corda | Identità del provider responsabile del processo di autenticazione (può includere un'autorità di certificazione, un nome utente, un sistema di autenticazione password e così via). |
| Server di Autenticazione | corda | Server in cui si trova il provider di autenticazione. |
| AuthenticationService | INT | Servizio in cui si trova il provider di autenticazione. |
| TipoDiAutenticazione | corda | tipo di autenticazione usato per l'evento (autenticazione a due fattori, autenticazione biometrica e così via). |
| AzureDeploymentID | corda | ID distribuzione di Azure del servizio cloud a cui appartiene il log |
| _BilledSize | autentico | Dimensioni del record in byte |
| CACertificateHash | corda | Valore hash del certificato dell'autorità di certificazione (CA) usato per autenticare l'utente che ha eseguito l'evento. |
| CalledStationID | corda | Informazioni sull'ID della stazione che ha avviato l'azione che ha portato all'evento di sicurezza. |
| CallerProcessId | corda | ID del processo hex del processo che ha tentato l'accesso. L'ID processo (PID) è un numero usato dal sistema operativo per identificare in modo univoco un processo attivo. |
| CallerProcessName | corda | Percorso completo e nome dell'eseguibile per il processo. |
| CallingStationID | corda | Informazioni sull'ID della stazione che ha avviato l'azione che ha portato all'evento di sicurezza. |
| CAPublicKeyHash | corda | Valore hash che identifica la chiave pubblica di un'autorità di certificazione (CA) che ha emesso un certificato. |
| ID Categoria | corda | Categoria dell'evento di sicurezza che si è verificato (tentativo di accesso, violazione dei dati e così via). |
| Hash del database dei certificati | corda | Valore hash che identifica il database che ha emesso un certificato. |
| Canale | corda | Canale a cui è stato registrato l'evento. |
| ClassId | corda | Attributo 'Class Guid' del dispositivo. |
| ClassName | corda | Attributo 'Class' del dispositivo. |
| ClientAddress | corda | Indirizzo IP del computer da cui è stata ricevuta la richiesta TGT. |
| ClientIPAddress | corda | Indirizzo IP del computer che ha avviato l'azione che ha portato all'evento. |
| NomeCliente | corda | nome computer da cui l'utente è stato riconnesso. Fornisce valore "Sconosciuto" per la sessione della console. |
| Linea di comando | corda | Argomenti della riga di comando passati a un'applicazione o a un processo coinvolto nell'evento. |
| CompatibleIds | corda | Attributo 'Compatible Ids' del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli": |
| Computatore | corda | nome del computer in cui si è verificato l'evento. |
| Correlazione | corda | Identificatori di attività che gli utenti possono usare per raggruppare gli eventi correlati. |
| DCDNSName | corda | Nome DNS del controller di dominio coinvolto nell'evento. |
| Descrizione del Dispositivo | corda | la descrizione del dispositivo coinvolto nell'evento. |
| DeviceId | corda | Identificatore univoco del dispositivo coinvolto nell'evento. |
| Nome visualizzato | corda | Si tratta di un nome, visualizzato nella rubrica per un account specifico. Si tratta in genere della combinazione del nome dell'utente, del secondo nome e del cognome dell'utente. |
| Disposizione | corda | Risultato o risoluzione dell'evento, ad esempio se l'evento è stato risolto o se è stata eseguita un'azione in risposta all'evento. |
| DomainBehaviorVersion | corda | Attributo di dominio msDS-Behavior-Version modificato. Valore numerico. |
| Nome del Dominio | corda | Nome del dominio attendibile rimosso. |
| PoliticaDelDominioModificata | corda | Indica se i criteri di dominio sono stati modificati come parte dell'evento (criteri password, criteri di sicurezza e così via). |
| DomainSid | corda | SID del partner attendibile. Questo parametro potrebbe non essere acquisito nell'evento e in questo caso viene visualizzato come "SID NULL". |
| EAPType | corda | Tipo di protocollo EAP (Extensible Authentication Protocol) usato per il processo di autenticazione degli eventi. |
| ElevatedToken | corda | Flag "Sì" o "No". Se "Sì", la sessione rappresentata da questo evento è elevata e dispone dei privilegi di amministratore. |
| Codice di errore | INT | Contiene il codice di errore per gli eventi di errore. Per gli eventi Success questo parametro ha il valore '0x0'. |
| Dati dell'Evento | corda | Dati specifici associati all'evento. |
| EventID | INT | Identificatore utilizzato dal provider per identificare l'evento. |
| NomeLivelloEvento | corda | Stringa del messaggio di cui è stato eseguito il rendering del livello specificato nell'evento. |
| EventRecordId | corda | Numero di record assegnato all'evento al momento della registrazione. |
| EventSourceName | corda | Nome del software che registra l'evento (applicazione o sottocomponente). |
| StatoDiQuarantenaEsteso | corda | Stato del processo di quarantena di rete, se applicabile. La quarantena di rete è un processo in base al quale i dispositivi non autorizzati non possono accedere a una rete fino a quando non soddisfano determinati requisiti di sicurezza o sono stati verificati la presenza di malware. |
| Motivo del fallimento | corda | spiegazione testuale del valore del campo Stato. Per questo evento, in genere ha il valore "Account bloccato". |
| Hash del file | corda | Valore hash per tutti i file a cui è stato eseguito l'accesso o la modifica come parte dell'evento o qualsiasi file usato nel processo di autenticazione o autorizzazione. |
| FilePath | corda | Percorso completo e nome file del file di chiave in cui è stata eseguita l'operazione. |
| FilePathNoUser | corda | Percorso di tutti i file correlati all'evento, esclusi il nome utente o altre informazioni specifiche dell'utente. |
| Filtro | corda | Filtri utilizzati nell'evento eseguito. |
| ForceLogoff | corda | Criteri di gruppo '\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Sicurezza della rete: Disconnetti forzatamente quando le ore di accesso scadono'. |
| Fqbn | corda | Nome binario completo (FQBN) per tutti i file correlati all'evento. |
| NomeMacchinaSoggettoCompletamenteQualificato | corda | Nome di dominio completo (FQDN) del computer che ha avviato l'evento. |
| FullyQualifiedSubjectUserName | corda | Nome utente dell'utente o del servizio che ha avviato l'evento in formato FQDN. |
| Appartenenza al Gruppo | corda | Elenco di SID di gruppo a cui appartiene l'account registrato (membro di). Visualizzatore eventi tenta automaticamente di risolvere i SID e visualizzare il nome dell'account. Se il SID non può essere risolto, verranno visualizzati i dati di origine nell'evento . |
| HandleId | corda | Valore hex di un handle in Nome oggetto. Questo campo può essere usato per la correlazione con altri eventi. |
| HardwareIds | corda | Attributo "Id hardware" del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli": |
| HomeDirectory | corda | Home directory dell'utente. Se l'attributo homeDrive è impostato e specifica una lettera di unità, homeDirectory deve essere un percorso UNC. Il percorso deve essere un UNC di rete nel formato \Server\Share\Directory. |
| HomePath | corda | Percorso iniziale dell'utente. Il percorso deve essere un UNC di rete nel formato \Server\Share\Directory. |
| InterfaceUuid | corda | Identificatore univoco (UUID) per l'interfaccia di rete usata per l'evento. |
| indirizzo IP | corda | indirizzo di rete (in genere IPv4 o IPv6) associato all'evento. |
| IpPort | corda | Numero di porta di rete associato all'evento. |
| _ÈFatturabile | corda | Specificare se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene addebitato al tuo account Azure |
| LunghezzaChiave | INT | Lunghezza della chiave di sicurezza della sessione NTLM. In genere ha una lunghezza di 128 bit o 56 bit. |
| Parole chiave | corda | Maschera di bit delle parole chiave definite nell'evento. |
| Livello | corda | Windows classifica ogni evento con un livello di gravità. I livelli in ordine di gravità sono informazioni, di dettaglio, avviso, errore e critico espressi in numeri. |
| LmPackageName | corda | Nome del pacchetto o del componente software attualmente utilizzato dall'Autorità di sicurezza locale (LSA) nel computer in cui viene generato l'evento. |
| Informazioni sulla posizione | corda | Attributo "Informazioni sulla posizione" del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli": |
| Durata del Blocco | corda | Criteri di gruppo '\Impostazioni di sicurezza\Criteri account\Criteri di blocco dell'account\Durata blocco dell'account'. Valore numerico. |
| Finestra di Osservazione del Blocco | corda | Criteri di gruppo '\Impostazioni di sicurezza\Criteri account\Criteri di blocco dell'account\Reimposta il contatore di blocco dell'account dopo'. Valore numerico. |
| Soglia di Blocco | corda | Criteri di gruppo '\Impostazioni di sicurezza\Criteri account\Criteri di blocco dell'account\Soglia di blocco dell'account'. Valore numerico. |
| RisultatoRegistro | corda | Risultato del processo di accesso. |
| LogonGuid | corda | GUID che consente di correlare questo evento a un altro evento che può contenere lo stesso GUID di accesso. |
| Ore di accesso | corda | Ore in cui l'account è autorizzato ad accedere al dominio. |
| ID di accesso | corda | Valore esadecimale che consente di correlare questo evento con gli eventi recenti che potrebbero contenere lo stesso ID di accesso. |
| LogonProcessName | corda | Nome del processo di accesso registrato. |
| Tipo di accesso | INT | Tipo di accesso eseguito. |
| LogonTypeName | corda | Tipo di evento di accesso o autenticazione acquisito dal registro eventi (valori comuni: Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | corda | Attributo di dominio ms-DS-MachineAccountQuota modificato. Valore numerico. |
| Inventario Macchine | corda | Informazioni sulla configurazione hardware e sull'ambiente software del computer in cui viene generato l'evento. Può includere punti dati diversi, ad esempio il make e il modello del computer, la quantità di RAM o spazio di archiviazione disponibile, i numeri di versione di varie applicazioni software e così via. |
| MachineLogon | corda | Informazioni su un evento di accesso riuscito nel computer. |
| Nome del Gruppo di Gestione | corda | Informazioni aggiuntive basate sul tipo di risorsa. |
| Etichetta Obbligatoria | corda | ID dell'etichetta di integrità assegnata al nuovo processo. |
| Età massima della password | corda | Periodo di tempo (in giorni) che è possibile usare una password prima che il sistema richieda all'utente di modificarla. |
| Nome del Membro | corda | Account utente coinvolto nell'evento. |
| MemberSid | corda | Identificatore di sicurezza (SID) associato all'account utente coinvolto nell'evento. |
| MinPasswordAge | corda | Periodo di tempo (in giorni) in cui deve essere usata una password prima che il sistema richieda all'utente di modificarla. |
| MinPasswordLength | corda | Numero minimo di caratteri che possono creare una password per un account utente. |
| Modalità Mista di Dominio | corda | La modalità di dominio di un sistema o di un controller di dominio. |
| NASIdentifier | corda | Identificatore del server di accesso alla rete (NAS) coinvolto nell'evento. |
| NASIPv4Address | corda | Indirizzo IPv4Address del server di accesso alla rete (NAS) coinvolto nell'evento, se applicabile. |
| Indirizzo NAS IPv6 | corda | Indirizzo IPv6Address del server di accesso alla rete (NAS) coinvolto nell'evento, se applicabile. |
| NASPort | corda | la porta sul server di accesso di rete utilizzata nell'evento. |
| NASPortType | corda | tipo di server di accesso alla rete (NAS) usato nell'evento. |
| NetworkPolicyName | corda | Nome dei criteri di rete associati all'evento. |
| NewDate | corda | Nuova data nel fuso orario UTC. Il formato è AAAA-MM-GG. |
| NewMaxUsers | corda | Nuovo numero massimo di utenti consentiti per una risorsa nell'evento. |
| NewProcessId | corda | Identificativo esadecimale del nuovo processo. L'ID processo (PID) è un numero usato dal sistema operativo per identificare in modo univoco un processo attivo. |
| NewProcessName | corda | Percorso completo e nome dell'eseguibile per il nuovo processo. |
| NuovoCommento | corda | Il nuovo valore del campo "Commenti:" della condivisione di rete. Ha il valore 'N/A' se non è impostato. |
| NuoviFlagDiCondivisione | corda | Flag di condivisione associati a una risorsa nell'evento, ad esempio: informazioni in caso di risorsa di sola lettura o di sola lettura/scrittura, se è nascosta e altri parametri che possono influire sull'accesso e sulle autorizzazioni. |
| NewTime | corda | Nuova ora impostata nel fuso orario UTC. Il formato è YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | corda | Specifica i flag che controllano password, blocco, disabilitazione/abilitazione, script e altro comportamento per l'account utente. |
| NewValue | corda | Nuovo valore per il valore della chiave del Registro di sistema modificato. |
| NuovoTipoDiValore | corda | Nuovo tipo di valore della chiave del Registro di sistema modificato. |
| NomeOggetto | corda | Nome e altre informazioni di identificazione per l'oggetto per cui è stato richiesto l'accesso. Ad esempio, per un file, il percorso verrebbe incluso. |
| ObjectServer | corda | Contiene il nome del sottosistema Windows che chiama la routine. |
| Tipo di Oggetto | corda | Tipo di oggetto a cui è stato eseguito l'accesso durante l'operazione. |
| ObjectValueName | corda | Nome del valore della chiave del Registro di sistema modificato. |
| Informazioni OEM | corda | Produttore di apparecchiature originali (OEM) associato a un dispositivo o sistema nell'evento. |
| OldMaxUsers | corda | Numero massimo precedente di utenti consentiti per una risorsa nell'evento. |
| Vecchio Commento | corda | il valore precedente del campo "Comments:" della condivisione di rete. Ha il valore 'N/A' se non è impostato. |
| OldShareFlags | corda | I flag di condivisione precedenti associati a una risorsa nell'evento, ad esempio: informazioni su se la risorsa è di sola lettura o di sola lettura/scrittura, se è nascosta e altri parametri che possono influire sull'accesso e sulle autorizzazioni. |
| OldUacValue | corda | Specifica i flag che controllano password, blocco, disabilitazione/abilitazione, script e altro comportamento per l'account utente. Questo parametro contiene il valore precedente dell'attributo userAccountControl dell'oggetto utente. |
| OldValue | corda | Valore precedente per la chiave di registro modificata. |
| OldValueType | corda | Tipo precedente di valore della chiave del Registro di sistema modificato. |
| Codice operativo (Opcode) | corda | L'elemento opcode è definito dal tipo complesso SystemPropertiesType. |
| TipoOperazione | corda | Tipo di operazione eseguita su un oggetto |
| Nome del pacchetto | corda | Nome del pacchetto secondario di LAN Manager (nome del protocollo della famiglia NTLM) utilizzato durante l'accesso. |
| NomeDelProcessoGenitore | corda | Nome del processo padre associato all'evento. |
| LunghezzaStoricoPassword | corda | Criteri di gruppo '\Impostazioni di sicurezza\Criteri account\Criteri password\Applica cronologia password'. Valore numerico. |
| Ultima impostazione della password | corda | L'ultima volta che la password dell'account è stata modificata. |
| ProprietàPassword | corda | Criteri password o proprietà associati all'evento, ad esempio lunghezza della password, complessità e data di scadenza. |
| Data Precedente | corda | Data precedente associata all'evento. |
| Ora Precedente | corda | Ora precedente nel fuso orario UTC. Il formato è YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| IdGruppoPrincipale | corda | Identificatore relativo (RID) del gruppo primario dell'oggetto dell'utente. |
| ConteggioUtilizzoChiavePrivata | corda | Numero di volte in cui è stata usata una chiave privata. |
| Elenco di Privilegi | corda | Privilegi, inclusi utenti, gruppi o privilegi di sistema associati all'evento. |
| Processo | corda | Nome del processo che genera l'evento. |
| ProcessId | corda | Identifica il processo che ha generato l'evento. |
| ProcessName | corda | Percorso completo e nome dell'eseguibile per il processo. |
| ProfilePath | corda | Specifica il percorso al profilo dell'account. Questo valore può essere una stringa Null, un percorso assoluto locale o un percorso UNC. |
| Proprietà | corda | Dipende dal tipo di oggetto. Questo campo può essere vuoto o contenere l'elenco delle proprietà dell'oggetto a cui è stato eseguito l'accesso. |
| ProtocolSequence | corda | Informazioni sul protocollo usato per un tentativo di autenticazione. |
| ProxyPolicyName | corda | Nome dei criteri usati per configurare il server proxy per la connessione alla rete. |
| QuarantineHelpURL | corda | URL che fornisce assistenza per la risoluzione di un problema di quarantena di rete. |
| QuarantineSessionID | corda | Identificatore della sessione in cui è stato valutato il file per la quarantena. |
| QuarantineSessionIdentifier | corda | Identificatore della sessione in cui è stato valutato il file per la quarantena. |
| QuarantineState | corda | Indica se il file è in quarantena. |
| RisultatoSaluteSistemaDiQuarantena | corda | Report che mostra lo stato dei file in quarantena. |
| RelativeTargetName | corda | Nome relativo del file o della cartella di destinazione a cui si accede. Questo percorso di file è relativo alla condivisione di rete. Se l'accesso è stato richiesto per la condivisione stessa, questo campo viene visualizzato come "". |
| Indirizzo IP remoto | corda | Indirizzo IP del computer che ha avviato una connessione remota. |
| RemotePort | corda | Numero di porta del computer remoto che ha avviato una connessione. |
| Richiedente | corda | Identificatore del richiedente dell'evento. |
| ID di richiesta | corda | Identificatore univoco associato a richieste specifiche, ad esempio quelle effettuate tramite HTTP. |
| _ResourceId | corda | Identificatore univoco della risorsa a cui è associato il record. |
| ModalitàAdminRistretta | corda | Popolato solo per sessioni di tipo di accesso RemoteInteractive. Si tratta di un flag Sì/No che indica se le credenziali fornite sono state passate usando la modalità amministratore con restrizioni. La modalità di amministrazione con restrizioni è stata aggiunta in Win8.1/2012R2, ma questo flag è stato aggiunto all'evento in Win10. |
| RigheEliminate | corda | Numero di righe eliminate come parte di un'operazione specifica. |
| SamAccountName | corda | nome di accesso per l'account usato per supportare client e server di versioni precedenti di Windows (nome di accesso precedente a Windows 2000). |
| ScriptPath | corda | Specifica il percorso dello script di accesso dell'account. |
| Descrittore di Sicurezza | corda | Informazioni sulle impostazioni di sicurezza e sulle autorizzazioni di un determinato oggetto o risorsa. |
| Account di Servizio | corda | Il contesto di sicurezza con cui il servizio verrà eseguito all'avvio. |
| NomeFileDiServizio | corda | Indica il tipo di servizio registrato con Gestione controllo servizi. |
| NomeDelServizio | corda | Nome del servizio installato. |
| TipoDiAvvioDelServizio | INT | Contiene informazioni su come deve essere avviato un particolare servizio, indipendentemente dal fatto che debba essere avviato automaticamente o manualmente. |
| Tipo di Servizio | corda | Indica il tipo di servizio registrato con Gestione controllo servizi. |
| SessionName | corda | Nome della sessione a cui l'utente è stato riconnesso. |
| CondividiPercorsoLocale | corda | Percorso locale della condivisione di rete a cui si accede. |
| ShareName | corda | Nome della condivisione di rete a cui si accede. Il formato è: \*\SHARE_NAME. |
| SidHistory | corda | Contiene i SID precedenti utilizzati per l'oggetto se l'oggetto è stato spostato da un altro dominio. |
| SourceComputerId | corda | Identificatore univoco assegnato a ogni computer in un dominio Windows. |
| SourceSystem | corda | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Stato | corda | Motivo per cui l'accesso non è riuscito. Per questo evento, in genere ha il valore '0xC0000234'. I codici di stato più comuni sono elencati nella tabella 12. Codici di stato di accesso di Windows. |
| Account di Archiviazione | corda | Imposta la chiave di accesso dell'account di archiviazione. |
| SubcategoryGUID | corda | GUID univoco della sottocategoria modificata. |
| ID Sottocategoria | corda | Identificatore univoco per un tipo specifico dell'evento. |
| Oggetto | corda | Informazioni sull'entità di sicurezza (ad esempio: account utente) che ha avviato l'evento. |
| ContoOggetto | corda | Informazioni sull'account che avvia l'evento. |
| NomeDelDominioDellOggetto | corda | Informazioni sul dominio o sul gruppo di lavoro a cui appartiene l'account soggetto. |
| IdentificatoreChiaveSoggetto | corda | Identificatore univoco per un determinato soggetto del certificato. |
| ID di accesso del soggetto | corda | Identificatore univoco per la sessione di accesso associata all'account soggetto. |
| NomeMacchinaOggetto | corda | Informazioni sul computer o sul sistema da cui è stato creato l'evento. |
| SubjectMachineSID | corda | Identificatore di sicurezza (SID) per il computer che ha generato l'evento. |
| NomeUtenteOggetto | corda | Nome dell'account utente che ha generato l'evento. |
| SubjectUserSid | corda | Identificatore di sicurezza (SID) per l'account utente che ha generato l'evento. |
| _SubscriptionId (ID sottoscrizione) | corda | Identificatore univoco della sottoscrizione a cui è associato il record |
| SottoStato | corda | Informazioni aggiuntive sull'errore di accesso. I codici di stato secondario più comuni elencati nella tabella 12. Codici di stato di accesso di Windows'. |
| SystemProcessId | INT | Identifica il processo che ha generato l'evento. |
| SystemThreadId | INT | Identifica il thread che ha generato l'evento. |
| SystemUserId | corda | ID dell'utente responsabile dell'evento. |
| TableId | corda | Identificatore di tabella dati specifico in cui vengono archiviati i dati dell'evento. |
| TargetAccount | corda | Account di destinazione dell'evento (nome utente, nome computer e così via). |
| TargetDomainName | corda | Nome del dominio a cui appartiene l'account di destinazione. |
| TargetInfo | corda | Informazioni aggiuntive sulla destinazione dell'evento, ad esempio il percorso di un file o di una cartella, il nome di una chiave del Registro di sistema e così via. |
| TargetLinkedLogonId | corda | Informazioni che consentono di collegare gli eventi correlati in base agli ID tentativi di accesso. Può essere utile per mantenere organizzati tutti gli eventi rilevanti, tenere traccia delle attività in più sessioni e identificare l'origine degli attacchi. |
| TargetLogonGuid | corda | Identificatore univoco globale (GUID) associato alla sessione di accesso correlata all'evento. |
| TargetLogonId | corda | Identificatore univoco associato alla sessione di accesso correlata all'evento. |
| NomeDominioDestinazioneUscita | corda | Il dominio su cui è stato autenticato l'account specificato nel campo TargetAccount durante un tentativo di autenticazione in uscita. |
| TargetOutboundUserName | corda | Nome dell'account utente autenticato durante un tentativo di autenticazione in uscita. |
| NomeDelServerDiDestinazione | corda | Nome del server in cui è stato eseguito il nuovo processo. Ha il valore "localhost" se il processo è stato eseguito localmente. |
| TargetSid | corda | Identificatore di sicurezza (SID) del server in cui è stato eseguito il nuovo processo. |
| TargetUser | corda | Identificatore dell'account utente che ha generato il nuovo processo. |
| TargetUserName | corda | Nome dell'account utente che ha generato il nuovo processo. |
| TargetUserSid | corda | Identificatore di sicurezza (SID) associato all'utente o alla risorsa coinvolta nell'evento. |
| Attività | INT | Attività definita nell'evento. |
| TemplateContent | corda | Contenuto del messaggio o della notifica dell'evento in un formato strutturato. |
| TemplateDSObjectFQDN | corda | FQDN dell'oggetto DS che rappresenta il modello di oggetto Criteri di gruppo. |
| TemplateInternalName | corda | Nome interno del modello di oggetto Criteri di gruppo. |
| TemplateOID | corda | identificatore univoco per il modello utilizzato per creare l'evento. |
| TemplateSchemaVersion | corda | Versione dello schema del modello che definisce i dati da includere con un evento. |
| VersioneModello | corda | Versione del modello che definisce i dati da includere con un evento. |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Timestamp quando l'evento è stato generato nel computer. |
| TipoDiElevazioneDelToken | corda | Tipo di token assegnato a un nuovo processo in base ai criteri di controllo dell'account utente. |
| Servizi Trasferiti | corda | Elenco dei servizi trasmessi. I servizi trasmessi vengono popolati se il logon è avvenuto tramite un processo di accesso S4U (Service For User). S4U è un'estensione Microsoft del protocollo Kerberos per consentire a un servizio dell'applicazione di ottenere un ticket di servizio Kerberos per conto di un utente, in genere eseguito da un sito Web front-end per accedere a una risorsa interna per conto di un utente. Per altre informazioni su S4U, vedere https://msdn.microsoft.com/library/cc246072.aspx. |
| Tipo | corda | Nome della tabella |
| Controllo dell'account utente | corda | Mostra l'elenco delle modifiche apportate all'attributo userAccountControl. Verrà visualizzata una riga di testo per ogni modifica. |
| UserParameters | corda | Se si modifica un'impostazione utilizzando la console di gestione Utenti e computer di Active Directory nella scheda "Accesso remoto" delle proprietà dell'account dell'utente, vedrai che <il valore è stato modificato, ma non è visualizzato> in questo campo. Per gli account locali, questo campo non è applicabile e ha <sempre valore non impostato> . |
| NomePrincipaleUtente | corda | Nome di accesso in stile Internet per l'account, basato sullo standard Internet RFC 822. Per convenzione, questo deve essere mappato al nome di posta elettronica dell'account. |
| Postazioni di lavoro utente | corda | Contiene l'elenco di nomi NetBIOS o DNS dei computer da cui l'utente può accedere. Ogni nome computer è separato da una virgola. Il nome di un computer è la proprietà sAMAccountName di un oggetto computer. |
| VendorIds | corda | Attributo "Id hardware" del dispositivo. Per visualizzare le proprietà del dispositivo, avviare Gestione dispositivi, aprire proprietà specifiche del dispositivo e fare clic su "Dettagli". |
| Versione | INT | Contiene il numero di versione della definizione dell'evento. |
| VirtualAccount | corda | Flag "Sì" o "No", che indica se l'account è un account virtuale (ad esempio, "Account del servizio gestito"), introdotto in Windows 7 e Windows Server 2008 R2 per fornire la possibilità di identificare l'account usato da un determinato servizio, invece di usare semplicemente "NetworkService". |
| Postazione di lavoro | corda | Nome del computer utilizzato per eseguire l'evento. |
| NomePostazioneDiLavoro | corda | Nome del computer da cui è stato eseguito un tentativo di accesso. |