أحداث الأمان
أحداث الأمان التي تم جمعها من أجهزة windows بواسطة Azure Security Center أو Azure Sentinel.
سمات الجدول
| السمة | القيمة |
|---|---|
| أنواع الموارد | microsoft.securityinsights/securityinsights، microsoft.compute/virtualmachines، microsoft.conenctedvmwarevsphere/virtualmachines، microsoft.azurestackhci/virtualmachines، microsoft.scvmm/الأجهزة الظاهرية، microsoft.compute/virtualmachinescalesets |
| الفئات | الأمان |
| الحلول | الأمان، SecurityInsights |
| السجل الأساسي | لا |
| تحويل وقت الاستيعاب | نعم |
| نماذج الاستعلامات | نعم |
الأعمدة
| Column | نوع | الوصف |
|---|---|---|
| AccessMask | سلسلة | قناع سداسي عشري للعملية المطلوبة أو المنفذة. |
| العميل | سلسلة | سياق الأمان للخدمات أو المستخدمين. |
| AccountDomain | سلسلة | اسم مجال الموضوع أو الكمبيوتر. |
| حسابات الحسابات | سلسلة | تاريخ انتهاء صلاحية الحساب. |
| AccountName | سلسلة | اسم الحساب الذي طلب عملية "إزالة ثقة المجال". |
| معرف الحساب | سلسلة | معرف فريد يتم إنشاؤه بواسطة الجهاز عند إنشاء جلسة العمل. |
| AccountType | سلسلة | يحدد ما إذا كان الحساب هو حساب كمبيوتر (جهاز) أو مستخدم. |
| النشاط | سلسلة | حدث العنوان الوصفي للحدث. |
| AdditionalInfo | سلسلة | معلومات إضافية يوفرها المصدر، والتي لم يتم تعيينها إلى حقول أخرى، ممثلة بالقائمة. |
| معلومات إضافية2 | سلسلة | معلومات إضافية يوفرها المصدر، والتي لم يتم تعيينها إلى حقول أخرى، ممثلة بالقائمة. |
| AllowedToDelegateTo | سلسلة | قائمة SPNs التي يمكن لهذا الحساب تقديم بيانات الاعتماد المفوضة إليها. |
| السمات | سلسلة | معلومات إضافية حول الحدث. |
| تغييرات نهج التدقيق | سلسلة | الأحداث التي يتم إنشاؤها عند إجراء تغييرات على نهج تدقيق النظام أو إعدادات التدقيق على ملف أو مفتاح تسجيل. |
| AuditsDiscarded | العدد الصحيح | عدد رسائل التدقيق التي تم تجاهلها. |
| AuthenticationLevel | العدد الصحيح | عدد رسائل التدقيق التي تم تجاهلها. |
| AuthenticationPackageName | سلسلة | اسم حزمة المصادقة المحملة. التنسيق هو: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| موفر المصادقة | سلسلة | هوية الموفر المسؤول عن عملية المصادقة (يمكن أن تتضمن مرجعا مصدقا، واسم مستخدم، ونظام مصادقة كلمة مرور، وما إلى ذلك). |
| خادم المصادقة | سلسلة | الخادم الذي يوجد فيه موفر المصادقة. |
| خدمة المصادقة | العدد الصحيح | الخدمة التي حددت موقع موفر المصادقة. |
| نوع المصادقة | سلسلة | نوع المصادقة التي تم استخدامها للحدث (المصادقة الثنائية، المصادقة البيومترية، وما إلى ذلك). |
| AzureDeploymentID | سلسلة | معرف توزيع Azure للخدمة السحابية التي ينتمي إليها السجل. |
| _BilledSize | real | حجم السجل بالبايت |
| CACertificateHash | سلسلة | قيمة التجزئة لشهادة المرجع المصدق (CA) التي تم استخدامها لمصادقة المستخدم الذي أجرى الحدث. |
| يسمىStationID | سلسلة | معلومات حول معرف المحطة التي بدأت الإجراء الذي أدى إلى الحدث الأمني. |
| CallerProcessId | سلسلة | معرف العملية السداسية العشرية للعملية التي حاولت تسجيل الدخول. معرف العملية (PID) هو رقم يستخدمه نظام التشغيل لتعريف عملية نشطة بشكل فريد. |
| CallerProcessName | سلسلة | المسار الكامل واسم الملف التنفيذي للعملية. |
| CallingStationID | سلسلة | معلومات حول معرف المحطة التي بدأت الإجراء الذي أدى إلى الحدث الأمني. |
| CAPublicKeyHash | سلسلة | قيمة التجزئة التي تحدد المفتاح العام لمرجع مصدق (CA) الذي أصدر شهادة. |
| CategoryId | سلسلة | فئة حدث الأمان الذي حدث (محاولة تسجيل الدخول، وخرق البيانات، وما إلى ذلك). |
| CertificateDatabaseHash | سلسلة | قيمة التجزئة التي تعرف قاعدة البيانات التي أصدرت شهادة. |
| القناة | سلسلة | القناة التي تم تسجيل الحدث إليها. |
| معرف الفئة | سلسلة | سمة "المعرف الفريد العمومي للفئة" للجهاز. |
| اسم الفئة | سلسلة | سمة "الفئة" للجهاز. |
| عنوان العميل | سلسلة | عنوان IP للكمبيوتر الذي تم استلام طلب TGT منه. |
| ClientIPAddress | سلسلة | عنوان IP للكمبيوتر الذي بدأ الإجراء الذي أدى إلى الحدث. |
| اسم العميل | سلسلة | اسم الكمبيوتر الذي تمت إعادة اتصال المستخدم منه. يحتوي على قيمة "غير معروف" لجلسة عمل وحدة التحكم. |
| CommandLine | سلسلة | وسيطات سطر الأوامر التي تم تمريرها إلى تطبيق أو عملية تم تضمينها في الحدث. |
| المتوافقة | سلسلة | سمة "المعرف المتوافق" للجهاز. لمشاهدة خصائص الجهاز، ابدأ إدارة الأجهزة، وافتح خصائص جهاز معينة، وانقر فوق "التفاصيل": |
| الكمبيوتر | سلسلة | اسم الكمبيوتر الذي وقع عليه الحدث. |
| الارتباط | سلسلة | معرفات النشاط التي يمكن للمستهلكين استخدامها لتجميع الأحداث ذات الصلة معا. |
| اسم DCDNS | سلسلة | اسم DNS لوحدة التحكم بالمجال التي شاركت في الحدث. |
| وصف الجهاز | سلسلة | وصف الجهاز الذي شارك في الحدث. |
| DeviceId | سلسلة | المعرف الفريد للجهاز الذي شارك في الحدث. |
| DisplayName | سلسلة | إنه اسم، معروض في دفتر العناوين لحساب معين. عادة ما يكون هذا هو الجمع بين الاسم الأول للمستخدم والاسم الأول الأوسط واسم العائلة. |
| الترتيب | سلسلة | نتيجة/قرار الحدث، مثل ما إذا كان قد تم حل الحدث أو ما إذا كان قد تم اتخاذ أي إجراء استجابة للحدث. |
| DomainBehaviorVersion | سلسلة | تم تعديل سمة مجال msDS-Behavior-Version. قيمة رقمية. |
| DomainName | سلسلة | اسم المجال الموثوق به الذي تمت إزالته. |
| تغيير نهج المجال | سلسلة | يشير إلى ما إذا كان قد تم تغيير أي نهج مجال كجزء من الحدث (نهج كلمة المرور ونهج الأمان وما إلى ذلك). |
| معرف المجال | سلسلة | SID لشريك الثقة. قد لا يتم التقاط هذه المعلمة في الحدث، وفي هذه الحالة تظهر على أنها "NULL SID". |
| نوع EAP | سلسلة | نوع بروتوكول المصادقة القابل للتوسيع (EAP) الذي تم استخدامه لعملية مصادقة الحدث. |
| رمز مميز غير مقيد | سلسلة | علامة "نعم" أو "لا". إذا كانت "نعم"، فإن جلسة العمل التي يمثلها هذا الحدث مرتفعة ولها امتيازات المسؤول. |
| ErrorCode | العدد الصحيح | يحتوي على رمز خطأ لأحداث الفشل. بالنسبة لأحداث النجاح، تحتوي هذه المعلمة على قيمة "0x0". |
| بيانات الأحداث | سلسلة | بيانات خاصة بالحدث مقترنة بالحدث. |
| EventID | العدد الصحيح | المعرف الذي استخدمه الموفر لتعريف الحدث. |
| EventLevelName | سلسلة | سلسلة الرسالة المعروضة للمستوى المحدد في الحدث. |
| EventRecordId | سلسلة | رقم السجل المعين للحدث عند تسجيله. |
| EventSourceName | سلسلة | اسم البرنامج الذي يسجل الحدث (applicationor succomponent). |
| ExtendedQuarantineState | سلسلة | حالة عملية عزل الشبكة، إن أمكن. عزل الشبكة هو عملية يتم من خلالها منع الأجهزة غير المصرح بها من الوصول إلى شبكة حتى تفي بمتطلبات أمان معينة أو تم فحصها بحثا عن برامج ضارة. |
| FailureReason | سلسلة | شرح نصي لقيمة حقل الحالة. لهذا الحدث، عادة ما يحتوي على قيمة "تم تأمين الحساب". |
| FileHash | سلسلة | قيمة التجزئة لأي ملفات تم الوصول إليها أو تعديلها كجزء من الحدث، أو أي ملفات تم استخدامها في عملية المصادقة أو التخويل. |
| مسار الملف | سلسلة | المسار الكامل واسم الملف لملف المفتاح الذي تم تنفيذ العملية عليه. |
| FilePathNoUser | سلسلة | مسار أي ملفات مرتبطة بالحدث، باستثناء اسم المستخدم أو معلومات أخرى خاصة بالمستخدم. |
| عامل التصفية | سلسلة | عوامل التصفية المستخدمة في الحدث الذي تم تنفيذه. |
| ForceLogoff | سلسلة | نهج المجموعة '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire'. |
| Fqbn | سلسلة | الاسم الثنائي المؤهل بالكامل (FQBN) لأي ملفات مرتبطة بالحدث. |
| اسم الجهاز الخاص ب FullyQualifiedSubject | سلسلة | اسم المجال المؤهل بالكامل (FQDN) للجهاز الذي بدأ الحدث. |
| FullyQualifiedSubjectUserName | سلسلة | اسم المستخدم للمستخدم أو الخدمة التي بدأت الحدث بتنسيق FQDN. |
| GroupMembership | سلسلة | قائمة معرفات الأمان الخاصة بالمجموعة التي ينتمي إليها الحساب المسجل (عضو). يحاول عارض الأحداث تلقائيا حل SIDs وإظهار اسم الحساب. إذا تعذر حل SID، فسترى البيانات المصدر في الحدث. |
| معرف المقبض | سلسلة | قيمة سداسية عشرية لمقبض إلى Object Name. يمكن استخدام هذا الحقل للارتباط بأحداث أخرى. |
| معرفات الأجهزة | سلسلة | سمة "معرفات الأجهزة" للجهاز. لمشاهدة خصائص الجهاز، ابدأ إدارة الأجهزة، وافتح خصائص جهاز معينة، وانقر فوق "التفاصيل": |
| دليل المنزل | سلسلة | الدليل الرئيسي للمستخدم. إذا تم تعيين سمة homeDrive وتحديد حرف محرك أقراص، يجب أن يكون homeDirectory مسار UNC. يجب أن يكون المسار UNC للشبكة من النموذج \Server\Share\Directory. |
| HomePath | سلسلة | المسار الرئيسي للمستخدم. يجب أن يكون المسار UNC للشبكة من النموذج \Server\Share\Directory. |
| واجهة المستخدم | سلسلة | المعرف الفريد (UUID) لواجهة الشبكة التي تم استخدامها للحدث. |
| IpAddress | سلسلة | عنوان الشبكة (عادة IPv4 أو IPv6) المقترن بالحدث. |
| IpPort | سلسلة | رقم منفذ الشبكة المقترن بالحدث. |
| _IsBillable | سلسلة | تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك |
| KeyLength | العدد الصحيح | طول مفتاح أمان جلسة NTLM. عادة ما يكون طوله 128 بت أو 56 بت. |
| الكلمات الأساسية | سلسلة | صورة نقطية للكلمات الأساسية المعرفة في الحدث. |
| المستوى | سلسلة | يصنف Windows كل حدث بمستوى خطورة. المستويات في ترتيب الخطورة هي المعلومات والإسهاب والتحذير والخطأ والنقاد المعبر عنها بالأرقام. |
| LmPackageName | سلسلة | اسم الحزمة أو مكون البرنامج الذي يستخدم حاليا سلطة الأمان المحلية (LSA) على الجهاز الذي يتم إنشاء الحدث فيه. |
| معلومات الموقع | سلسلة | سمة "معلومات الموقع" للجهاز. لمشاهدة خصائص الجهاز، ابدأ إدارة الأجهزة، وافتح خصائص جهاز معينة، وانقر فوق "التفاصيل": |
| تأمين الدخول | سلسلة | نهج المجموعة '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration'. قيمة رقمية. |
| LockoutObservationWindow | سلسلة | نهج المجموعة '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after'. قيمة رقمية. |
| تأمين الحيازة | سلسلة | نهج المجموعة '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold'. قيمة رقمية. |
| تسجيل النتائج | سلسلة | نتيجة عملية تسجيل الدخول. |
| LogonGuid | سلسلة | GUID الذي يمكن أن يساعدك على ربط هذا الحدث بحدث آخر يمكن أن يحتوي على نفس معرف GUID لتسجيل الدخول. |
| تسجيل الدخولمناورس | سلسلة | الساعات التي يسمح للحساب فيها تسجيل الدخول إلى المجال. |
| معرف تسجيل الدخول | سلسلة | القيمة السداسية العشرية التي يمكن أن تساعدك على ربط هذا الحدث بالأحداث الأخيرة التي قد تحتوي على نفس معرف تسجيل الدخول. |
| اسم عملية تسجيل الدخول | سلسلة | اسم عملية تسجيل الدخول المسجلة. |
| نوع تسجيل الدخول | العدد الصحيح | نوع تسجيل الدخول الذي تم تنفيذه. |
| LogonTypeName | سلسلة | نوع حدث تسجيل الدخول أو المصادقة الذي يتم التقاطه بواسطة سجل الأحداث (القيم الشائعة: تفاعلي، شبكة، RemoteInteractive، إلغاء تأمين). |
| MachineAccountQuota | سلسلة | تم تعديل سمة المجال ms-DS-MachineAccountQuota. قيمة رقمية. |
| حدث الجهاز | سلسلة | معلومات حول تكوين الأجهزة وبيئة البرامج للكمبيوتر حيث يتم إنشاء الحدث. يمكن أن تتضمن نقاط بيانات مختلفة، على سبيل المثال: تكوين ونموذج الكمبيوتر، ومقدار ذاكرة الوصول العشوائي أو مساحة التخزين المتاحة، وأرقام إصدارات تطبيقات البرامج المختلفة، وما إلى ذلك). |
| سجل الجهاز | سلسلة | معلومات حول حدث تسجيل دخول ناجح في الجهاز. |
| ManagementGroupName | سلسلة | معلومات إضافية استنادا إلى نوع المورد. |
| إلزاميةLabel | سلسلة | معرف تسمية التكامل التي تم تعيينها للعملية الجديدة. |
| MaxPasswordAge | سلسلة | الفترة الزمنية (بالأيام) التي يمكن فيها استخدام كلمة مرور قبل أن يتطلب النظام من المستخدم تغييرها. |
| اسم العضو | سلسلة | حساب المستخدم الذي شارك في الحدث. |
| معرف الأعضاء | سلسلة | معرف الأمان (SID) المقترن بحساب المستخدم الذي شارك في الحدث. |
| MinPasswordAge | سلسلة | الفترة الزمنية (بالأيام) التي يجب فيها استخدام كلمة مرور قبل أن يتطلب النظام من المستخدم تغييرها. |
| MinPasswordLength | سلسلة | أقل عدد من الأحرف التي يمكن أن تشكل كلمة مرور لحساب مستخدم. |
| MixedDomainMode | سلسلة | وضع المجال للنظام أو وحدة التحكم بالمجال. |
| NASIdentifier | سلسلة | معرف خادم الوصول إلى الشبكة (NAS) الذي شارك في الحدث. |
| عنوان NASIPv4 | سلسلة | عنوان IPv4 لخادم الوصول إلى الشبكة (NAS) الذي شارك في الحدث، إن أمكن. |
| عنوان NASIPv6 | سلسلة | عنوان IPv6 لخادم الوصول إلى الشبكة (NAS) الذي شارك في الحدث، إن أمكن. |
| NASPort | سلسلة | المنفذ على خادم الوصول إلى الشبكة الذي تم استخدامه في الحدث. |
| نوع NASPort | سلسلة | نوع خادم الوصول إلى الشبكة (NAS) المستخدم في الحدث. |
| NetworkPolicyName | سلسلة | اسم نهج الشبكة المقترن بالحدث. |
| تاريخ جديد | سلسلة | تاريخ جديد في المنطقة الزمنية UTC. التنسيق هو YYYY-MM-DD. |
| مستخدمو NewMax | سلسلة | الحد الأقصى الجديد لعدد المستخدمين المسموح به لمورد في الحدث. |
| معرف المعالجة الجديدة | سلسلة | معرف العملية السداسية العشرية للعملية الجديدة. معرف العملية (PID) هو رقم يستخدمه نظام التشغيل لتعريف عملية نشطة بشكل فريد. |
| NewProcessName | سلسلة | المسار الكامل واسم الملف القابل للتنفيذ للعملية الجديدة. |
| علامة جديدة | سلسلة | القيمة الجديدة لحقل مشاركة الشبكة "التعليقات:". يحتوي على قيمة 'N/A' إذا لم يتم تعيينها. |
| NewShareFlags | سلسلة | علامات المشاركة المقترنة بمورد في الحدث، على سبيل المثال: معلومات حول ما إذا كان المورد للقراءة فقط أو للقراءة/الكتابة، وما إذا كان مخفيا، والمعلمات الأخرى التي يمكن أن تؤثر على الوصول والأذونات. |
| NewTime | سلسلة | الوقت الجديد الذي تم تعيينه في المنطقة الزمنية UTC. التنسيق هو YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| قيمة NewUac | سلسلة | يحدد العلامات التي تتحكم في كلمة المرور والتأمين وتعطيل/تمكين البرنامج النصي والسلوك الآخر لحساب المستخدم. |
| NewValue | سلسلة | قيمة جديدة لقيمة مفتاح التسجيل التي تم تغييرها. |
| نوع القيمة الجديدة | سلسلة | نوع جديد من قيمة مفتاح التسجيل الذي تم تغييره. |
| ObjectName | سلسلة | الاسم ومعلومات التعريف الأخرى للكائن الذي تم طلب الوصول إليه. على سبيل المثال، بالنسبة إلى ملف، سيتم تضمين المسار. |
| ObjectServer | سلسلة | يحتوي على اسم نظام Windows الفرعي الذي يستدعي الروتين. |
| ObjectType | سلسلة | نوع الكائن الذي تم الوصول إليه أثناء العملية. |
| ObjectValueName | سلسلة | اسم قيمة مفتاح التسجيل المعدلة. |
| معلومات Oem | سلسلة | الشركة المصنعة للمعدات الأصلية (OEM) المرتبطة بجهاز أو نظام في الحدث. |
| OldMaxUsers | سلسلة | الحد الأقصى السابق لعدد المستخدمين المسموح به لمورد في الحدث. |
| علامة قديمة | سلسلة | القيمة القديمة لحقل مشاركة الشبكة 'Comments:'. يحتوي على قيمة 'N/A' إذا لم يتم تعيينها. |
| OldShareFlags | سلسلة | علامات المشاركة السابقة المقترنة بمورد في الحدث، على سبيل المثال: معلومات حول ما إذا كان المورد للقراءة فقط أو للقراءة/الكتابة، وما إذا كان مخفيا، والمعلمات الأخرى التي يمكن أن تؤثر على الوصول والأذونات. |
| OldUacValue | سلسلة | يحدد العلامات التي تتحكم في كلمة المرور والتأمين وتعطيل/تمكين البرنامج النصي والسلوك الآخر لحساب المستخدم. تحتوي هذه المعلمة على القيمة السابقة لسمة userAccountControl لعنصر المستخدم. |
| OldValue | سلسلة | القيمة القديمة لقيمة مفتاح التسجيل التي تم تغييرها. |
| نوع القيمة القديمة | سلسلة | نوع قديم من قيمة مفتاح التسجيل الذي تم تغييره. |
| رمز Opcode | سلسلة | يتم تعريف عنصر opcode بواسطة النوع المعقد SystemPropertiesType. |
| OperationType | سلسلة | نوع العملية التي تم تنفيذها على كائن |
| اسم الحزمة | سلسلة | اسم الحزمة الفرعية LAN Manager (اسم بروتوكول NTLM-family) الذي تم استخدامه أثناء تسجيل الدخول. |
| ParentProcessName | سلسلة | اسم العملية الأصل المقترنة بالحدث. |
| PasswordHistoryLength | سلسلة | نهج المجموعة \Security Settings\Account Policies\Password Policy\Enforce password history". قيمة رقمية. |
| PasswordLastSet | سلسلة | آخر مرة تم فيها تعديل كلمة مرور الحساب. |
| خصائص كلمة المرور | سلسلة | نهج كلمة المرور أو الخصائص المقترنة بالحدث، على سبيل المثال: طول كلمة المرور والتعقيد وتاريخ انتهاء الصلاحية. |
| تاريخ التحديث السابق | سلسلة | التاريخ السابق المقترن بالحدث. |
| وقت سابق | سلسلة | الوقت السابق في المنطقة الزمنية UTC. التنسيق هو YYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| معرف المجموعة الأساسية | سلسلة | المعرف النسبي (RID) للمجموعة الأساسية لكائن المستخدم. |
| PrivateKeyUsageCount | سلسلة | عدد المرات التي تم فيها استخدام مفتاح خاص. |
| قائمة الامتيازات | سلسلة | الامتيازات، بما في ذلك امتيازات المستخدم أو المجموعة أو النظام المقترنة بالحدث. |
| معالجة | سلسلة | اسم العملية التي تنشئ الحدث. |
| ProcessId | سلسلة | يحدد العملية التي أنشأت الحدث. |
| ProcessName | سلسلة | المسار الكامل واسم الملف التنفيذي للعملية. |
| مسار ملف التعريف | سلسلة | تحديد مسار إلى ملف تعريف الحساب. يمكن أن تكون هذه القيمة سلسلة فارغة أو مسار مطلق محلي أو مسار UNC. |
| خصائص | سلسلة | يعتمد على نوع الكائن. يمكن أن يكون هذا الحقل فارغا أو يحتوي على قائمة خصائص الكائن التي تم الوصول إليها. |
| ProtocolSequence | سلسلة | معلومات حول البروتوكول المستخدم لمحاولة مصادقة. |
| ProxyPolicyName | سلسلة | اسم النهج الذي تم استخدامه لتكوين الخادم الوكيل للاتصال بالشبكة. |
| QuarantineHelpURL | سلسلة | عنوان URL الذي يوفر المساعدة في استكشاف مشكلة عزل الشبكة وإصلاحها. |
| QuarantineSessionID | سلسلة | معرف الجلسة حيث تم تقييم الملف للعزل. |
| معرف العزل | سلسلة | معرف الجلسة حيث تم تقييم الملف للعزل. |
| حالة العزل | سلسلة | يظهر ما إذا كان الملف معزولا أم لا. |
| عزل النظامHealthResult | سلسلة | تقرير يوضح حالة الملفات التي تم عزلها. |
| RelativeTargetName | سلسلة | الاسم النسبي للملف أو المجلد الهدف الذي تم الوصول إليه. مسار الملف هذا مرتبط بمشاركة الشبكة. إذا تم طلب الوصول للمشاركة نفسها، فسيظهر هذا الحقل ك "". |
| RemoteIpAddress | سلسلة | عنوان IP للكمبيوتر الذي بدأ اتصالا عن بعد. |
| RemotePort | سلسلة | رقم المنفذ للكمبيوتر البعيد الذي بدأ الاتصال. |
| الطالب | سلسلة | معرف طالب الحدث. |
| RequestId | سلسلة | معرف فريد مقترن بطلبات معينة، مثل تلك التي تم إجراؤها عبر HTTP. |
| _ResourceId | سلسلة | معرّف فريد للمورد الذي يقترن به السجل |
| RestrictedAdminMode | سلسلة | يتم ملؤه فقط لجلسات نوع تسجيل الدخول RemoteInteractive. هذه علامة نعم/لا تشير إلى ما إذا تم تمرير بيانات الاعتماد المقدمة باستخدام وضع المسؤول المقيد. تمت إضافة وضع المسؤول المقيد في Win8.1/2012R2 ولكن تمت إضافة هذه العلامة إلى الحدث في Win10. |
| الصفوف التي تم حذفها | سلسلة | عدد الصفوف التي تم حذفها كجزء من عملية معينة. |
| SamAccountName | سلسلة | اسم تسجيل الدخول للحساب المستخدم لدعم العملاء والخوادم من الإصدارات السابقة من Windows (اسم تسجيل الدخول قبل Windows 2000). |
| مسار البرنامج النصي | سلسلة | تحديد مسار البرنامج النصي لتسجيل الدخول للحساب. |
| SecurityDescriptor | سلسلة | معلومات حول إعدادات الأمان وأذونات عنصر أو مورد معين. |
| ServiceAccount | سلسلة | سياق الأمان الذي سيتم تشغيل الخدمة عليه عند بدء التشغيل. |
| اسم ملف الخدمة | سلسلة | يشير إلى نوع الخدمة التي تم تسجيلها في Service Control Manager. |
| ServiceName | سلسلة | اسم الخدمة المثبتة. |
| نوع ServiceStart | العدد الصحيح | يحتوي على معلومات حول كيفية بدء تشغيل خدمة معينة، سواء كان يجب تشغيلها تلقائيا أو يدويا. |
| نوع الخدمة | سلسلة | يشير إلى نوع الخدمة التي تم تسجيلها في Service Control Manager. |
| اسم جلسة العمل | سلسلة | اسم جلسة العمل التي تمت إعادة اتصال المستخدم بها. |
| ShareLocalPath | سلسلة | المسار المحلي لمشاركة الشبكة التي تم الوصول إليها. |
| ShareName | سلسلة | اسم مشاركة الشبكة التي تم الوصول إليها. التنسيق هو: \*\SHARE_NAME. |
| SidHistory | سلسلة | يحتوي على SIDs السابقة المستخدمة للكائن إذا تم نقل الكائن من مجال آخر. |
| SourceComputerId | سلسلة | معرف فريد تم تعيينه لكل كمبيوتر في مجال Windows. |
| نظام المصدر | سلسلة | نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure |
| الحالة | سلسلة | سبب فشل تسجيل الدخول. لهذا الحدث، عادة ما يكون له قيمة "0xC0000234". يتم سرد رموز الحالة الأكثر شيوعا في الجدول 12. رموز حالة تسجيل الدخول إلى Windows. |
| حساب التخزين | سلسلة | تعيين مفتاح الوصول إلى حساب التخزين. |
| SubcategoryGuid | سلسلة | GUID الفريد للفئة الفرعية التي تم تغييرها. |
| معرف الفئة الفرعية | سلسلة | معرف فريد لنوع معين من الحدث. |
| الموضوع | سلسلة | معلومات حول أساس الأمان (على سبيل المثال: حساب المستخدم) الذي بدأ الحدث. |
| حساب الموضوع | سلسلة | معلومات حول الحساب الذي يقوم ببدء الحدث. |
| SubjectDomainName | سلسلة | معلومات حول المجال أو مجموعة العمل التي ينتمي إليها حساب الموضوع. |
| SubjectKeyIdentifier | سلسلة | معرف فريد لموضوع شهادة معين. |
| SubjectLogonId | سلسلة | معرف فريد لجلسة تسجيل الدخول المقترنة بحساب الموضوع. |
| SubjectMachineName | سلسلة | معلومات حول الجهاز أو النظام الذي تم إنشاء الحدث منه. |
| SubjectMachineSID | سلسلة | معرف الأمان (SID) للجهاز الذي أنشأ الحدث. |
| SubjectUserName | سلسلة | اسم حساب المستخدم الذي أنشأ الحدث. |
| SubjectUserSid | سلسلة | معرف الأمان (SID) لحساب المستخدم الذي أنشأ الحدث. |
| _SubscriptionId | سلسلة | معرّف فريد للاشتراك الذي يقترن السجل به |
| الإحصائيات الفرعية | سلسلة | معلومات إضافية حول فشل تسجيل الدخول. رموز الإحصائيات الفرعية الأكثر شيوعا المدرجة في 'الجدول 12. رموز حالة تسجيل الدخول إلى Windows". |
| معرف معالجة النظام | العدد الصحيح | يحدد العملية التي أنشأت الحدث. |
| SystemThreadId | العدد الصحيح | يحدد مؤشر الترابط الذي أنشأ الحدث. |
| SystemUserId | سلسلة | معرف المستخدم المسؤول عن الحدث. |
| معرف الجدول | سلسلة | معرف جدول البيانات المحدد الذي يتم تخزين بيانات الحدث فيه. |
| حساب الهدف | سلسلة | الحساب المستهدف بواسطة الحدث (اسم المستخدم واسم الكمبيوتر وما إلى ذلك). |
| TargetDomainName | سلسلة | اسم المجال الذي ينتمي إليه الحساب الهدف. |
| معلومات الهدف | سلسلة | معلومات إضافية حول هدف الحدث (على سبيل المثال: المسار إلى ملف أو مجلد، واسم مفتاح التسجيل، وما إلى ذلك). |
| TargetLinkedLogonId | سلسلة | المعلومات التي تساعد على ربط الأحداث ذات الصلة معا من خلال معرفات محاولة تسجيل الدخول الخاصة بهم. يمكن أن يكون مفيدا في الحفاظ على تنظيم جميع الأحداث ذات الصلة، وتتبع النشاط عبر جلسات متعددة، وتحديد مصدر الهجوم. |
| TargetLogonGuid | سلسلة | معرف فريد عمومي (GUID) مقترن بجلسة تسجيل الدخول المتعلقة بالحدث. |
| TargetLogonId | سلسلة | معرف فريد مقترن بجلسة تسجيل الدخول المتعلقة بالحدث. |
| TargetOutboundDomainName | سلسلة | المجال الذي تم مصادقة الحساب المحدد في حقل TargetAccount عليه أثناء محاولة مصادقة صادرة. |
| TargetOutboundUserName | سلسلة | اسم حساب المستخدم الذي تمت مصادقته أثناء محاولة مصادقة صادرة. |
| TargetServerName | سلسلة | اسم الخادم الذي تم تشغيل العملية الجديدة عليه. يحتوي على قيمة "المضيف المحلي" إذا تم تشغيل العملية محليا. |
| معرف الهدف | سلسلة | معرف الأمان (SID) للخادم الذي تم تشغيل العملية الجديدة عليه. |
| TargetUser | سلسلة | معرف حساب المستخدم الذي أنشأ العملية الجديدة. |
| TargetUserName | سلسلة | اسم حساب المستخدم الذي أنشأ العملية الجديدة. |
| TargetUserSid | سلسلة | معرف الأمان (SID) المقترن بالمستخدم أو المورد المشارك في الحدث. |
| مهمة | العدد الصحيح | المهمة المعرفة في الحدث. |
| عنصر تحكم القالب | سلسلة | محتوى رسالة الحدث أو الإعلام في نموذج منظم. |
| TemplateDSObjectFQDN | سلسلة | FQDN لكائن DS الذي يمثل قالب عنصر نهج المجموعة. |
| TemplateInternalName | سلسلة | الاسم الداخلي لقالب عنصر نهج المجموعة. |
| TemplateOID | سلسلة | المعرف الفريد للقالب الذي تم استخدامه لإنشاء الحدث. |
| TemplateSchemaVersion | سلسلة | إصدار مخطط القالب الذي يحدد البيانات المراد تضمينها مع حدث. |
| إصدار القالب | سلسلة | إصدار القالب الذي يحدد البيانات المراد تضمينها مع حدث. |
| TenantId | سلسلة | معرف مساحة عمل Log Analytics |
| TimeGenerated | datetime | الطابع الزمني عند إنشاء الحدث على الكمبيوتر. |
| نوع ترقيم الرمز المميز | سلسلة | نوع الرمز المميز الذي تم تعيينه لعملية جديدة وفقا لنهج التحكم في حساب المستخدم. |
| الخدمات المرسلة | سلسلة | قائمة الخدمات المرسلة. يتم ملء الخدمات المرسلة إذا كان تسجيل الدخول نتيجة لعملية تسجيل دخول S4U (خدمة للمستخدم). S4U هو ملحق Microsoft لبروتوكول Kerberos للسماح لخدمة تطبيق بالحصول على تذكرة خدمة Kerberos نيابة عن مستخدم - يتم ذلك عادة بواسطة موقع ويب أمامي للوصول إلى مورد داخلي نيابة عن مستخدم. لمزيد من المعلومات حول S4U، راجع https://msdn.microsoft.com/library/cc246072.aspx. |
| نوع | سلسلة | اسم الجدول |
| UserAccountControl | سلسلة | إظهار قائمة التغييرات في سمة userAccountControl. سترى سطر نص لكل تغيير. |
| معلمات المستخدم | سلسلة | إذا قمت بتغيير أي إعداد باستخدام وحدة تحكم إدارة Active Directory Users and Computers في علامة التبويب Dial-in لخصائص حساب المستخدم، فسترى <القيمة متغيرة، ولكن لا يتم عرضها> في هذا الحقل. بالنسبة للحسابات المحلية، هذا الحقل غير قابل للتطبيق وله <دائما قيمة غير محددة> . |
| UserPrincipalName | سلسلة | اسم تسجيل الدخول على نمط الإنترنت للحساب، استنادا إلى معيار الإنترنت RFC 822. حسب الاصطلاح، يجب تعيين هذا إلى اسم البريد الإلكتروني للحساب. |
| محطات عمل المستخدم | سلسلة | يحتوي على قائمة أسماء NetBIOS أو DNS لأجهزة الكمبيوتر التي يمكن للمستخدم تسجيل الدخول منها. يتم فصل كل اسم كمبيوتر بواسطة فاصلة. اسم الكمبيوتر هو الخاصية sAMAccountName لكائن كمبيوتر. |
| معرفات المورد | سلسلة | سمة "معرفات الأجهزة" للجهاز. لمشاهدة خصائص الجهاز، ابدأ إدارة الأجهزة، وافتح خصائص جهاز معينة، وانقر فوق "التفاصيل". |
| إصدار | العدد الصحيح | يحتوي على رقم إصدار تعريف الحدث. |
| حساب افتراضي | سلسلة | علامة "نعم" أو "لا"، التي تشير إلى ما إذا كان الحساب حسابا ظاهريا (على سبيل المثال، "حساب الخدمة المدارة")، الذي تم تقديمه في Windows 7 وWindows Server 2008 R2 لتوفير القدرة على تحديد الحساب الذي تستخدمه خدمة معينة، بدلا من مجرد استخدام "NetworkService". |
| المحطة | سلسلة | اسم الجهاز الذي تم استخدامه لتنفيذ الحدث. |
| اسم محطة العمل | سلسلة | اسم الجهاز الذي تم إجراء محاولة تسجيل الدخول منه. |