Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
События безопасности, собранные с устройств под управлением Windows с помощью Центра безопасности Azure или Azure Sentinel.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, Microsoft Azure Stack HCI / виртуальные машины microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Категории | Безопасность |
| Решения | Безопасность, Аналитика безопасности |
| Базовый журнал | Да |
| Преобразование в момент загрузки | Да |
| Примеры запросов | Да |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Маска доступа | строка | Шестнадцатеричная маска для запрошенной или произведенной операции. |
| Учетная запись | строка | Контекст безопасности для служб или пользователей. |
| Домен аккаунта | строка | Домен субъекта или имя компьютера. |
| Срок действия учетной записи истекает | строка | Дата истечения срока действия учетной записи. |
| ИмяАккаунта | строка | Имя учетной записи, запрашивающей операцию "удалить доверие домена". |
| ИдентификаторСессииАккаунта | строка | Уникальный идентификатор, созданный компьютером при создании сеанса. |
| Тип учетной записи | строка | Определяет, является ли учетная запись учетной записью компьютера (машина) или учетной записью пользователя. |
| Действие (Activity) | строка | Произошло событие с описательным названием. |
| Дополнительная информация | строка | Дополнительные сведения, предоставляемые источником, которые не сопоставляются с другими полями, представленными списком. |
| ДополнительнаяИнформация2 | строка | Дополнительные сведения, предоставляемые источником, которые не сопоставляются с другими полями, представленными списком. |
| РазрешеноДелегировать | строка | Список SPN, для которых эта учетная запись может представлять делегированные учетные данные. |
| Атрибуты | строка | Дополнительные сведения о событии. |
| ИзмененияПолитикиАудита | строка | События, создаваемые при внесении изменений в политику аудита системы или параметры аудита на файле или ключе реестра. |
| АудитыОтброшенные | int (целочисленный тип данных) | Количество отброшенных сообщений аудита. |
| Уровень аутентификации | int (целочисленный тип данных) | Количество отброшенных сообщений аудита. |
| ИмяПакетаАутентификации | строка | имя загруженного пакета проверки подлинности. Формат: ПУТЬ_И_ИМЯ_DLL: ИМЯ_ПАКЕТА_АУТЕНТИФИКАЦИИ. |
| Поставщик аутентификации | строка | Удостоверение поставщика, ответственного за процесс проверки подлинности (может включать центр сертификации, имя пользователя, систему проверки подлинности паролей и т. д.). |
| Сервер аутентификации | строка | Сервер, в котором расположен поставщик проверки подлинности. |
| AuthenticationService | int (целочисленный тип данных) | Служба, где находится поставщик проверки подлинности. |
| Тип аутентификации | строка | тип проверки подлинности, который использовался для события (двухфакторная проверка подлинности, биометрическая проверка подлинности и т. д.). |
| AzureDeploymentID | строка | Идентификатор развертывания Azure для облачной службы, к которой относится журнал. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| CACertificateHash | строка | Хэш-значение сертификата центра сертификации, который использовался для проверки подлинности пользователя, выполняющего событие. |
| Идентификатор вызываемой станции | строка | Сведения об идентификаторе станции, инициирующей действие, которое привело к событию безопасности. |
| CallerProcessId | строка | Шестнадцатеричный идентификатор процесса, пытающегося выполнить вход. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. |
| CallerProcessName | строка | Полный путь и имя исполняемого файла для процесса. |
| Идентификатор вызывающей станции | строка | Сведения об идентификаторе станции, инициирующей действие, которое привело к событию безопасности. |
| Хеш публичного ключа CA | строка | Хэш-значение, определяющее открытый ключ центра сертификации (ЦС), выдавшего сертификат. |
| ИдентификаторКатегории | строка | Категория события безопасности, возникшее (попытка входа, нарушение данных и т. д.). |
| ХешБазыДанныхСертификатов | строка | Хэш-значение, определяющее базу данных, выдавающую сертификат. |
| Канал | строка | Канал, в который регистрировалось событие. |
| ИдентификаторКласса | строка | Атрибут Class GUID устройства. |
| ИмяКласса | строка | Атрибут "Class" устройства. |
| Адрес клиента | строка | IP-адрес компьютера, от которого был получен запрос TGT. |
| ClientIPAddress | строка | IP-адрес компьютера, инициирующего действие, которое привело к событию. |
| Имя клиента | строка | имя компьютера, из которого пользователь был повторно подключен. Имеет значение "Неизвестно" для сеанса консоли. |
| Командная строка | строка | Аргументы командной строки, переданные приложению или процессу, участвующим в событии. |
| Совместимые идентификаторы | строка | Атрибут "Совместимые идентификаторы" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| Компьютер | строка | имя компьютера, на котором произошло событие. |
| Корреляция | строка | Идентификаторы действий, которые потребители могут использовать для группирования связанных событий вместе. |
| DCDNSName | строка | DNS-имя контроллера домена, который участвовал в событии. |
| Описание устройства | строка | описание устройства, которое участвовало в событии. |
| DeviceId | строка | Уникальный идентификатор устройства, задействованного в событии. |
| Отображаемое имя | строка | Это имя, отображаемое в адресной книге для определенной учетной записи. Обычно это сочетание имени, инициала отчества и фамилии пользователя. |
| Расположение | строка | Результат или разрешение события, например разрешение события или выполнение каких-либо действий в ответ на событие. |
| Версия поведения домена | строка | Изменен атрибут домена msDS-Behavior-Version. Числовое значение. |
| имя домена | строка | Имя удаленного доверенного домена. |
| Изменена политика домена | строка | Указывает, были ли изменены политики домена в рамках события (политики паролей, политики безопасности и т. д.). |
| SID домена | строка | SID доверенного партнера. Этот параметр может не быть записан в событии, и в этом случае отображается как NULL SID. |
| EAPType | строка | Тип расширяемого протокола проверки подлинности (EAP), который использовался для процесса проверки подлинности события. |
| Высокопривилегированный токен | строка | Флаг "Да" или "Нет". Если значение "Да", то сеанс, представляющий это событие, является повышенным и имеет права администратора. |
| Код ошибки | int (целочисленный тип данных) | Содержит код ошибки для событий сбоя. Для событий success этот параметр имеет значение "0x0". |
| Данные события | строка | Данные, относящиеся к конкретному событию. |
| EventID | int (целочисленный тип данных) | Идентификатор, используемый поставщиком для идентификации события. |
| ИмяУровняСобытия | строка | Строка сообщения, выведенного для уровня, указанного в событии. |
| EventRecordId | строка | Номер записи, назначенный событию при его регистрации. |
| Имя источника события | строка | Имя программного обеспечения, которое регистрирует событие (приложение или подсистема). |
| РасширенноеСостояниеКарантина | строка | Состояние процесса карантина сети, если применимо. Карантин сети — это процесс, с помощью которого неавторизованные устройства не могут получить доступ к сети, пока они не соответствуют определенным требованиям безопасности или не были проверены на наличие вредоносных программ. |
| Причина отказа | строка | текстовое объяснение значения поля состояния. Для этого события обычно используется значение "Учетная запись заблокирована". |
| хеш файла | строка | Хэш-значение для любых файлов, к которым обращались или которые были модифицированы как часть события, или любых файлов, используемых в процессе проверки подлинности или авторизации. |
| FilePath | строка | Полный путь и имя файла ключа, на котором была выполнена операция. |
| FilePathNoUser | строка | Путь к любым файлам, связанным с событием, за исключением имени пользователя или других сведений о пользователе. |
| Фильтр | строка | Фильтры, используемые в выполняемом событии. |
| ForceLogoff | строка | '\Параметры безопасности\Локальные политики\Параметры безопасности\Сетевая безопасность: принудительное отключение входа в систему при истечении срока действия групповой политики. |
| Fqbn | строка | Полное двоичное имя (FQBN) для всех файлов, связанных с событием. |
| ПолностьюКвалифицированноеИмяПредметнойМашины | строка | Полное доменное имя компьютера, инициирующего событие. |
| ПолностьюКвалифицированноеИмяПользователяСубъекта | строка | Имя пользователя или службы, инициирующего событие в формате FQDN. |
| Членство в группе | строка | Список идентификаторов групп, к которым относится учетная запись, зарегистрированная в журнале. Просмотр событий автоматически пытается разрешить идентификаторы безопасности и отобразить имя учетной записи. Если идентификатор безопасности не может быть определён, исходные данные будут отображены в событии. |
| HandleId | строка | Шестнадцатеричное значение дескриптора имени объекта. Это поле можно использовать для корреляции с другими событиями. |
| HardwareIds | строка | Атрибут "Аппаратный идентификатор" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| Домашний каталог | строка | Домашний каталог пользователя. Если атрибут homeDrive задан и задает букву диска, то homeDirectory должен быть задан как UNC-сетевой путь. Путь должен быть сетевым UNC формы \Server\Share\Directory. |
| ПутьДом (HomePath) | строка | Путь к домашнему каталогу пользователя. Путь должен быть сетевым UNC формы \Server\Share\Directory. |
| InterfaceUuid | строка | Уникальный идентификатор (UUID) сетевого интерфейса, который использовался для события. |
| IP-адрес | строка | сетевой адрес (обычно IPv4 или IPv6), связанный с событием. |
| IpPort | строка | Номер сетевого порта, связанный с событием. |
| _IsBillable (Подлежит оплате) | строка | Определяет, является ли прием данных платным. Если _IsBillable false, начисления за обработку данных не производятся в вашей учетной записи Azure. |
| ДлинаКлюча | int (целочисленный тип данных) | Длина ключа безопасности сеанса NTLM. Обычно она имеет 128-разрядную или 56-разрядную длину. |
| Ключевые слова | строка | Битовая маска ключевых слов, определенных в событии. |
| Уровень | строка | Windows классифицирует каждое событие с уровнем серьезности. Уровни в порядке серьезности — это сведения, подробные сведения, предупреждение, ошибка и критические значения, выраженные в числах. |
| LmPackageName | строка | Имя пакета или программного компонента, который в настоящее время использует локальный центр безопасности (LSA) на компьютере, где создается событие. |
| Сведения о расположении | строка | Атрибут "Сведения о расположении" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| Длительность блокировки | строка | "\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\Длительность блокировки учетной записи" групповой политики. Числовое значение. |
| ОкноНаблюденияБлокировки | строка | "\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\Сброс счетчика блокировки учетной записи после" групповой политики. Числовое значение. |
| Порог блокировки | строка | Групповая политика "\Параметры безопасности\Политики учетной записи\Политика блокировки учетной записи\порог блокировки учетной записи". Числовое значение. |
| Результат ведения журнала | строка | Результат процесса входа. |
| LogonGuid (Идентификатор входа) | строка | GUID, который поможет сопоставить это событие с другим событием, которое может содержать тот же GUID авторизации. |
| Часы входа | строка | Часы, в которые учетной записи разрешено входить в домен. |
| Идентификатор входа | строка | Шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа. |
| Имя входа в систему | строка | Имя зарегистрированного процесса входа. |
| Тип входа | int (целочисленный тип данных) | Тип выполненного входа. |
| Название типа входа | строка | Тип события входа или проверки подлинности, которое фиксируется журналом событий (общие значения:Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | строка | Изменен атрибут домена ms-DS-MachineAccountQuota. Числовое значение. |
| Инвентарь машин | строка | Сведения о конфигурации оборудования и программной среде компьютера, где создается событие. Она может включать различные точки данных, например: модель и производитель компьютера, объем ОЗУ или места на диске, номера версий различных программ и т. д. |
| MachineLogon | строка | Сведения об успешном входе в систему на компьютере. |
| НазваниеГруппыУправления | строка | Дополнительные сведения на основе типа ресурса. |
| Обязательная метка | строка | Идентификатор метки целостности, назначенной новому процессу. |
| МаксимальныйСрокДействияПароля | строка | Период времени (в днях), который может использоваться паролем перед тем, как система требует от пользователя изменить его. |
| ИмяУчастника | строка | Учетная запись пользователя, которая участвовала в событии. |
| MemberSid (идентификатор безопасности участника) | строка | Идентификатор безопасности (SID), связанный с учетной записью пользователя, которая участвовала в событии. |
| Минимальный возраст пароля | строка | Период времени (в днях), в течение которого пароль должен использоваться, прежде чем система потребует от пользователя его изменить. |
| МинДлинаПароля | строка | Наименьшее количество символов, которые могут создать пароль для учетной записи пользователя. |
| СмешанныйРежимДоменов | строка | Режим домена системы или контроллера домена. |
| NASIdentifier | строка | Идентификатор сервера сетевого доступа (NAS), который участвовал в событии. |
| NASIPv4Адрес | строка | IPv4-адрес сервера сетевого доступа (NAS), который участвовал в событии, если применимо. |
| Адрес IPv6 NAS | строка | IPv6-адрес сервера сетевого доступа (NAS), который участвовал в событии, если применимо. |
| NASPort | строка | порт на сервере сетевого доступа, использованный в событии. |
| NASPortType (тип порта NAS) | строка | Тип сервера доступа к сети (NAS), используемого в событии. |
| ИмяПолитикиСети | строка | Имя политики сети, связанной с событием. |
| НоваяДата | строка | Новая дата в часовом поясе UTC. Формат YYYY-MM-DD. |
| NewMaxUsers | строка | Новое максимальное число разрешенных пользователей для ресурса в событии. |
| НовыйИдентификаторПроцесса | строка | Шестнадцатеричный идентификатор процесса нового процесса. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. |
| Новое имя процесса | строка | Полный путь и имя исполняемого файла для нового процесса. |
| НоваяЗаметка | строка | Новое значение поля "Комментарии:" сетевого ресурса. Имеет значение "N/A", если оно не задано. |
| NewShareFlags | строка | Флаги совместного использования, связанные с ресурсом в рамках события, например: сведения о том, доступен ли ресурс только для чтения или для чтения и записи, является ли он скрытым и других параметрах, которые могут повлиять на доступ и разрешения. |
| NewTime | строка | Новое время, заданное в часовом поясе UTC. Формат YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | строка | Задает флаги, управляющие паролем, блокировкой, отключением и включением, скриптом и другим поведением учетной записи пользователя. |
| НовоеЗначение | строка | Новое значение для измененного ключа реестра. |
| НовыйТипЗначения | строка | Новый тип измененного значения ключа реестра. |
| ИмяОбъекта | строка | Имя и другие сведения об идентификации объекта, для которого был запрошен доступ. Например, для файла будет включен путь. |
| ObjectServer | строка | Содержит имя подсистемы Windows, вызывающей подпрограмму. |
| Тип объекта | строка | Тип объекта, доступ к которому был выполнен во время операции. |
| ObjectValueName | строка | Имя значения ключа реестра, измененного. |
| Информация о производителе | строка | Исходный производитель оборудования (OEM), связанный с устройством или системой в рассматриваемом случае. |
| OldMaxUsers | строка | Предыдущее максимальное количество пользователей, разрешенное для ресурса на мероприятии. |
| СтароеЗамечание | строка | Старое значение поля «Комментарии:» для сетевого ресурса. Имеет значение "N/A", если оно не задано. |
| OldShareFlags | строка | Предыдущие флаги совместного доступа, связанные с ресурсом в событии, например, сведения о том, доступен ли ресурс только для чтения или для чтения и записи, является ли он скрытым и другими параметрами, которые могут повлиять на доступ и разрешения. |
| OldUacValue | строка | Задает флаги, управляющие паролем, блокировкой, отключением и включением, скриптом и другим поведением учетной записи пользователя. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта пользователя. |
| Старое значение | строка | Старое значение для измененного ключа реестра. |
| СтарыйТипЗначения | строка | Старый тип измененного значения ключа реестра. |
| Код операции | строка | Элемент opcode определяется сложным типом SystemPropertiesType. |
| Тип операции | строка | Тип операции, выполняемой для объекта |
| НазваниеПакета | строка | Имя подпакета LAN Manager (название протокола из семейства NTLM), которое использовалось при входе. |
| ParentProcessName | строка | Имя родительского процесса, связанного с событием. |
| ДлинаИсторииПаролей | строка | \Параметры безопасности\Политики учетных записей\Политика паролей\Принудительное использование журнала паролей\ групповая политика. Числовое значение. |
| Дата последней установки пароля | строка | В последний раз пароль учетной записи был изменен. |
| СвойстваПароля | строка | Политики паролей или свойства, связанные с событием, например длина пароля, сложность и срок действия. |
| Предыдущая дата | строка | Предыдущая дата, связанная с событием. |
| Предыдущее время | строка | Предыдущее время в часовом поясе UTC. Формат YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| ИдентификаторОсновнойГруппы | строка | Относительный идентификатор (RID) основной группы объектов пользователя. |
| КоличествоИспользованийЗакрытогоКлюча | строка | Количество использованных закрытых ключей. |
| Список привилегий | строка | Привилегии, включая привилегии пользователя, группы или системы, связанные с событием. |
| Процесс | строка | Имя процесса, создающего событие. |
| ProcessId | строка | Указывает процесс, создавший событие. |
| Имя процесса | строка | Полный путь и имя исполняемого файла для процесса. |
| Путь профиля | строка | Указывает путь к профилю учетной записи. Это значение может быть пустой строкой, локальным абсолютным путем или UNC-пути. |
| Свойства | строка | Зависит от типа объекта. Это поле может быть пустым или содержать список свойств объекта, к которым был доступ. |
| ПоследовательностьПротокола | строка | Сведения о протоколе, используемом для попытки проверки подлинности. |
| ProxyPolicyName | строка | Имя политики, которая использовалась для настройки прокси-сервера для подключения к сети. |
| QuarantineHelpURL | строка | URL-адрес, который предоставляет справку по устранению неполадок с сетевой изоляцией. |
| КарантинныйИдентификаторСессии | строка | Идентификатор сеанса, в котором файл был оценен для карантина. |
| ИдентификаторСессииКарантина | строка | Идентификатор сеанса, в котором файл был оценен для карантина. |
| Состояние карантина | строка | В нем показано, помещается ли файл в карантин. |
| РезультатСостоянияСистемыКарантина | строка | Отчет, показывающий состояние файлов, которые были помещены в карантин. |
| Относительное имя цели | строка | Относительное имя доступного целевого файла или папки. Этот путь к файлу является относительным к сетевому ресурсу. Если доступ запрашивался к самой общей папке, это поле отображается как "". |
| Удалённый IP-адрес | строка | IP-адрес компьютера, инициирующего удаленное подключение. |
| RemotePort | строка | Номер порта удаленного компьютера, инициирующего подключение. |
| Инициатор запроса | строка | Идентификатор запрашивающего мероприятие. |
| Идентификатор запроса | строка | Уникальный идентификатор, связанный с конкретными запросами, например, сделанными по протоколу HTTP. |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| РежимОграниченногоАдминистратора | строка | Заполняется только для сеансов входа типа RemoteInteractive. Это флаг "Да/нет", указывающий, были ли предоставленные учетные данные переданы с помощью режима ограниченного администратора. Режим ограниченного администратора был добавлен в Win8.1/2012R2, но этот флаг был добавлен в событие в Win10. |
| СтрокУдалено | строка | Количество строк, которые были удалены в рамках определенной операции. |
| имя учетной записи Sam | строка | Имя входа для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя входа в версии до Windows 2000). |
| ScriptPath | строка | Указывает путь к скрипту входа учетной записи. |
| ОписаниеБезопасности | строка | Сведения о параметрах безопасности и разрешениях определенного объекта или ресурса. |
| ServiceAccount | строка | Контекст безопасности, который служба будет запускаться при запуске. |
| ServiceFileName | строка | Указывает тип службы, зарегистрированной в диспетчере управления службами. |
| Название сервиса | строка | Имя установленной службы. |
| ТипЗапускаСервиса | int (целочисленный тип данных) | Содержит сведения о том, как следует запускать определенную службу, независимо от того, следует ли запускать ее автоматически или вручную. |
| Тип услуги | строка | Указывает тип службы, зарегистрированной в диспетчере управления службами. |
| Имя сеанса | строка | Имя сеанса, к которому был повторно подключен пользователь. |
| ДелитьсяЛокальнымПутём | строка | Локальный путь к доступу к сетевой общей папке. |
| ShareName | строка | Имя сетевого ресурса, к которому был осуществлён доступ. Формат: \*\SHARE_NAME. |
| История SID | строка | Содержит предыдущие идентификаторы SID, используемые для объекта, если объект был перемещен из другого домена. |
| ИдентификаторИсходногоКомпьютера | строка | Уникальный идентификатор, назначенный каждому компьютеру в домене Windows. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics |
| Состояние | строка | Причина сбоя входа. Для этого события обычно используется значение "0xC0000234". Наиболее распространенные коды состояния перечислены в таблице 12. Коды состояния входа в Систему Windows. |
| учетная запись хранения | строка | Задает ключ доступа к учетной записи хранения. |
| ИдентификаторПодкатегории | строка | Уникальный GUID измененной подкатегории. |
| ИдентификаторПодкатегории | строка | Уникальный идентификатор для определенного типа события. |
| Тема | строка | Сведения о субъекте безопасности (например, учетной записи пользователя), инициируемой событием. |
| Учетная запись субъекта | строка | Сведения об учетной записи, инициирующей событие. |
| ИмяДоменаСубъекта | строка | Сведения о домене или рабочей группе, к которой принадлежит учетная запись субъекта. |
| ИдентификаторКлючаСубъекта | строка | Уникальный идентификатор конкретного субъекта сертификата. |
| ИдентификаторВходаСубъекта | строка | Уникальный идентификатор сеанса входа, связанного с учетной записью субъекта. |
| SubjectMachineName | строка | Сведения о компьютере или системе, из которой было создано событие. |
| ИдентификаторКомпьютераSIDSID | строка | Идентификатор безопасности (SID) для компьютера, создающего событие. |
| ИмяПользователяПредмета | строка | Имя учетной записи пользователя, создающей событие. |
| ИдентификаторПользователяSubjectUserSid | строка | Идентификатор безопасности (SID) для учетной записи пользователя, создающей событие. |
| _SubscriptionId (идентификатор подписки) | строка | Уникальный идентификатор подписки, с которой связана запись |
| Подстатус | строка | Дополнительные сведения о сбое входа. Наиболее распространенные коды подстатов, перечисленные в таблице 12. Коды состояния входа в Систему Windows. |
| ИдентификаторПроцессаСистемы | int (целочисленный тип данных) | Указывает процесс, создавший событие. |
| Идентификатор системного потока | int (целочисленный тип данных) | Указывает поток, создавший событие. |
| SystemUserId | строка | Идентификатор пользователя, ответственного за событие. |
| ИдентификаторТаблицы | строка | Идентификатор конкретной таблицы данных, в который хранятся данные события. |
| Целевая учетная запись | строка | Учетная запись, предназначенная для события (имя пользователя, имя компьютера и т. д.). |
| ЦелевоеИмяДомен | строка | Имя домена, к которому принадлежит целевая учетная запись. |
| Информация о цели | строка | Дополнительные сведения о целевом объекте события (например, пути к файлу или папке, имени раздела реестра и т. д.). |
| ЦелевойСвязанныйИдентификаторВхода | строка | Сведения, помогающие связать связанные события с помощью идентификаторов попыток входа. Это может быть полезно при сохранении всех соответствующих событий, отслеживания действий в нескольких сеансах и выявлении источника атаки. |
| TargetLogonGuid (Идентификатор входа в систему) | строка | Глобальный уникальный идентификатор (GUID), связанный с сеансом входа, связанным с событием. |
| TargetLogonId | строка | Уникальный идентификатор, связанный с сеансом входа, связанным с событием. |
| ЦелевоеИсходящееИмяДоменa | строка | Домен, на который была выполнена проверка подлинности учетной записи, указанной в поле TargetAccount, во время попытки исходящей проверки подлинности. |
| ИмяПользователяЦелевогоОтправления | строка | Имя учетной записи пользователя, прошедшей проверку подлинности во время попытки исходящей проверки подлинности. |
| ИмяЦелевогоСервера | строка | Имя сервера, на котором был запущен новый процесс. Имеет значение localhost, если процесс выполняется локально. |
| TargetSid | строка | Идентификатор безопасности сервера, на котором был запущен новый процесс. |
| Целевой пользователь | строка | Идентификатор учетной записи пользователя, создающий новый процесс. |
| ИмяПользователяЦели | строка | Имя учетной записи пользователя, создающей новый процесс. |
| ИдентификаторЦелевогоПользователя | строка | Идентификатор безопасности (SID), связанный с пользователем или ресурсом, участвующим в событии. |
| Задача | int (целочисленный тип данных) | Задача, определенная в событии. |
| ШаблонноеСодержимое | строка | Содержимое сообщения события или уведомления в структурированной форме. |
| TemplateDSObjectFQDN | строка | Полное доменное имя объекта DS, представляющего шаблон групповой политики (GPO). |
| ВнутреннееИмяШаблона | строка | Внутреннее имя шаблона групповой политики. |
| TemplateOID | строка | уникальный идентификатор шаблона, который использовался для создания события. |
| TemplateSchemaVersion | строка | Версия схемы шаблона, которая определяет данные для включения в событие. |
| Версия шаблона | строка | Версия шаблона, определяющего данные для включения в событие. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Время генерации | дата и время | Метка времени создания события на компьютере. |
| Тип Повышения Токена | строка | Тип маркера, который был присвоен новому процессу в соответствии с Политикой контроля учетных записей пользователей. |
| Передаваемые службы | строка | Список передаваемых служб. Передаваемые службы заполняются, если вход был результатом процесса входа в систему S4U (Service For User). S4U — это расширение Корпорации Майкрософт для протокола Kerberos, позволяющее службе приложений получать запрос на обслуживание Kerberos от имени пользователя, чаще всего это делается интерфейсным веб-сайтом для доступа к внутреннему ресурсу от имени пользователя. Дополнительные сведения о S4U см. в статье https://msdn.microsoft.com/library/cc246072.aspx. |
| Тип | строка | Имя таблицы. |
| Контроль учетных записей пользователей | строка | Отображает список изменений в атрибуте userAccountControl. Вы увидите строку текста для каждого изменения. |
| Параметры пользователя | строка | Если вы измените любой параметр с помощью консоли управления "Пользователи и компьютеры Active Directory" на вкладке "Абонентская связь" свойств учетной записи пользователя, вы увидите <измененное значение, но оно не отображается> в этом поле. Для локальных учетных записей это поле неприменимо и всегда имеет значение, которое не задано<>. |
| Имя_пользователя (UserPrincipalName) | строка | Имя входа в интернет-стиле для учетной записи, основанное на стандарте INTERNET RFC 822. По общепринятой практике это должно сопоставляться с именем учетной записи электронной почты. |
| Рабочие станции пользователей | строка | Содержит список имен NetBIOS или DNS компьютеров, из которых пользователь может выполнить вход. Каждое имя компьютера отделяется запятой. Имя компьютера — это свойство sAMAccountName объекта компьютера. |
| Идентификаторы поставщиков | строка | Атрибут "Аппаратный идентификатор" устройства. Чтобы просмотреть свойства устройства, запустите диспетчер устройств, откройте определенные свойства устройства и нажмите кнопку "Сведения". |
| Версия | int (целочисленный тип данных) | Содержит номер версии определения события. |
| VirtualAccount | строка | Флаг "Да" или "Нет", указывающий, является ли учетная запись виртуальной учетной записью (например, Управляемой учетной записью службы), которая была представлена в Windows 7 и Windows Server 2008 R2, чтобы предоставить возможность определить учетную запись, используемую данной службой, а не только с помощью NetworkService. |
| Рабочая станция | строка | Имя компьютера, который использовался для выполнения события. |
| Имя рабочей станции | строка | Имя компьютера, из которого была выполнена попытка входа. |