Biztonsági esemény
Az Azure Security Center vagy az Azure Sentinel által windowsos gépekről gyűjtött biztonsági események.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategóriák | Biztonság |
| Megoldások | Biztonság, SecurityInsights |
| Alapszintű napló | Nem |
| Betöltési idő átalakítás | Igen |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| AccessMask | húr | Hexadecimális maszk a kért vagy végrehajtott művelethez. |
| Számla | húr | A szolgáltatások vagy felhasználók biztonsági környezete. |
| AccountDomain | húr | A tulajdonos tartománya vagy számítógépneve. |
| AccountExpires | húr | A fiók lejáratának dátuma. |
| AccountName | húr | Annak a fióknak a neve, amely a "tartománymegbízhatóság eltávolítása" műveletet kérte. |
| AccountSessionIdentifier | húr | A gép által a munkamenet létrehozásakor létrehozott egyedi azonosító. |
| AccountType | húr | Azonosítja, hogy a fiók számítógépfiók (gép) vagy felhasználóé. |
| Tevékenység | húr | Megtörtént az esemény leíró címe. |
| További információk (Info) | húr | A forrás által biztosított további információk, amelyek nem más mezőkre vannak leképezve, listával jelölve. |
| AdditionalInfo2 | húr | A forrás által biztosított további információk, amelyek nem más mezőkre vannak leképezve, listával jelölve. |
| AllowedToDelegateTo | húr | Azon egyszerű felhasználónévk listája, amelyekhez ez a fiók delegált hitelesítő adatokat tud bemutatni. |
| Attribútumok | húr | További információ az eseményről. |
| AuditPolicyChanges | húr | A rendszer naplózási szabályzatának vagy a fájl- vagy beállításkulcs naplózási beállításainak módosításakor keletkező események. |
| AuditsDiscarded | egész | Az elvetett naplóüzenetek száma. |
| AuthenticationLevel | egész | Az elvetett naplóüzenetek száma. |
| AuthenticationPackageName | húr | a betöltött hitelesítési csomag neve. Formátuma: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | húr | A hitelesítési folyamatért felelős szolgáltató identitása (tartalmazhat hitelesítésszolgáltatót, felhasználónevet, jelszó-hitelesítési rendszert stb.). |
| AuthenticationServer | húr | Az a kiszolgáló, amelyben a hitelesítési szolgáltató található. |
| AuthenticationService | egész | Az a szolgáltatás, amelyben a hitelesítési szolgáltató található. |
| AuthenticationType | húr | az eseményhez használt hitelesítés típusa (kéttényezős hitelesítés, biometrikus hitelesítés stb.). |
| AzureDeploymentID | húr | Annak a felhőszolgáltatásnak az Azure-beli üzembehelyezési azonosítója, amelyhez a napló tartozik. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| CACertificateHash | húr | A hitelesítésszolgáltató (CA) tanúsítványának kivonatértéke, amelyet az eseményt végrehajtó felhasználó hitelesítésére használtak. |
| CalledStationID | húr | Információ a biztonsági eseményhez vezető műveletet kezdeményező állomás azonosítójáról. |
| Hívóprocesszor-azonosító | húr | A bejelentkezést megkísérlő folyamat hexadecimális folyamatazonosítója. A folyamatazonosító (PID) az operációs rendszer által egy aktív folyamat egyedi azonosítására használt szám. |
| CallerProcessName | húr | A folyamat teljes elérési útja és a végrehajtható fájl neve. |
| CallingStationID | húr | Információ a biztonsági eseményhez vezető műveletet kezdeményező állomás azonosítójáról. |
| CAPublicKeyHash | húr | Kivonatérték, amely azonosítja a tanúsítványt kiállító hitelesítésszolgáltató (CA) nyilvános kulcsát. |
| CategoryId | húr | A bekövetkezett biztonsági esemény kategóriája (bejelentkezési kísérlet, adatszivárgás stb.). |
| CertificateDatabaseHash | húr | Kivonatérték, amely azonosítja a tanúsítványt kiállító adatbázist. |
| Csatorna | húr | Az a csatorna, amelyre az eseményt naplózták. |
| Osztályazonosító | húr | Az eszköz "Class Guid" attribútuma. |
| ClassName | húr | Az eszköz "Class" attribútuma. |
| ClientAddress | húr | Annak a számítógépnek az IP-címe, amelyről a TGT-kérés érkezett. |
| ClientIPAddress | húr | Az eseményhez vezető műveletet kezdeményező számítógép IP-címe. |
| ClientName | húr | számítógép neve, amelyről a felhasználó újracsatlakozott. A konzol munkamenetének "Ismeretlen" értéke van. |
| CommandLine | húr | Az eseményben részt vevő alkalmazásnak vagy folyamatnak átadott parancssori argumentumok. |
| Kompatibilis azonosítók | húr | Az eszköz "Kompatibilis azonosítók" attribútuma. Az eszköz tulajdonságainak megtekintéséhez indítsa el a Eszközkezelő, nyissa meg az adott eszköztulajdonságokat, és kattintson a "Részletek" gombra: |
| Számítógép | húr | Annak a számítógépnek a neve, amelyen az esemény történt. |
| Korreláció | húr | A felhasználók által a kapcsolódó események csoportosítására használható tevékenységazonosítók. |
| DCDNSName | húr | Az eseményben részt vevő tartományvezérlő DNS-neve. |
| DeviceDescription | húr | az eseményben részt vevő eszköz leírása. |
| DeviceId | húr | Az eseményben részt vevő eszköz egyedi azonosítója. |
| Megjelenített név | húr | Ez egy név, amely egy adott fiók címjegyzékében jelenik meg. Ez általában a felhasználó utóneve, a középső kezdőbetű és a vezetéknév kombinációja. |
| Hajlam | húr | Az esemény kimenetele/ feloldása, például az esemény feloldása vagy az eseményre adott válaszként végrehajtott művelet. |
| DomainBehaviorVersion | húr | Az msDS-Behavior-Version tartományattribútum módosult. Számérték. |
| DomainName | húr | Az eltávolított megbízható tartomány neve. |
| DomainPolicyChanged | húr | Azt jelzi, hogy az esemény részeként módosultak-e tartományszabályzatok (jelszószabályzatok, biztonsági szabályzatok stb.). |
| DomainSid | húr | A megbízhatósági partner biztonsági azonosítója. Előfordulhat, hogy ez a paraméter nem lesz rögzítve az eseményben, és ebben az esetben "NULL SID" néven jelenik meg. |
| EAPType | húr | Az eseményhitelesítési folyamathoz használt Extensible Authentication Protocol (EAP) típusa. |
| Emelt szintű | húr | "Igen" vagy "Nem" jelző. Ha "Igen", akkor az esemény által képviselt munkamenet emelt szintű, és rendszergazdai jogosultságokkal rendelkezik. |
| ErrorCode | egész | Hibaesemények hibakódját tartalmazza. Sikeresemények esetén ez a paraméter "0x0" értékkel rendelkezik. |
| EventData | húr | Az eseményhez társított eseményspecifikus adatok. |
| Eseményazonosító | egész | Az az azonosító, amelyet a szolgáltató használt az esemény azonosításához. |
| EventLevelName | húr | Az eseményben megadott szint renderelt üzenetsztringje. |
| EventRecordId | húr | Az eseményhez hozzárendelt rekordszám a naplózáskor. |
| EventSourceName | húr | Az eseményt naplózó szoftver neve (az applicationor a succomponent). |
| ExtendedQuarantineState | húr | A hálózati karanténfolyamat állapota, ha van ilyen. A hálózati karantén egy olyan folyamat, amellyel a jogosulatlan eszközök nem férhetnek hozzá a hálózathoz, amíg meg nem felelnek bizonyos biztonsági követelményeknek, vagy nem ellenőrizték a kártevőket. |
| FailureReason | húr | Az Állapot mező értékének szöveges magyarázata. Ebben az eseményben általában a "Fiók zárolva" érték van megadva. |
| Fájlkivonat | húr | Az esemény részeként elért vagy módosított fájlok, illetve a hitelesítési vagy engedélyezési folyamat során használt fájlok kivonatértéke. |
| FilePath | húr | Annak a kulcsfájlnak a teljes elérési útja és fájlneve, amelyen a műveletet végrehajtották. |
| FilePathNoUser | húr | Az eseményhez kapcsolódó fájlok elérési útja, kivéve a felhasználónevet vagy más felhasználóspecifikus információkat. |
| Szűrő | húr | Az elvégzett eseményben használt szűrők. |
| ForceLogoff | húr | '\Security Settings\Local Policies\Security Options\Network security: Force logoff when logon hours expire' group policy. |
| Teljes tartomány | húr | Az eseményhez kapcsolódó fájlok teljes bináris neve (FQBN). |
| FullyQualifiedSubjectMachineName | húr | Az eseményt kezdeményező gép teljes tartományneve (FQDN). |
| FullyQualifiedSubjectUserName | húr | Az eseményt teljes tartománynév formátumban kezdeményező felhasználó vagy szolgáltatás felhasználóneve. |
| GroupMembership | húr | Azon csoportazonosítók listája, amelyekhez a naplózott fiók tartozik (tagja). Eseménynapló automatikusan megpróbálja feloldani az SID-ket, és megjeleníti a fiók nevét. Ha a biztonsági azonosító nem oldható fel, a forrásadatok megjelennek az eseményben. |
| Kezelőazonosító | húr | Objektumnévhez tartozó leíró hexadecimális értéke. Ez a mező használható más eseményekkel való korrelációhoz. |
| Hardverazonosítók | húr | Az eszköz "Hardverazonosítók" attribútuma. Az eszköz tulajdonságainak megtekintéséhez indítsa el a Eszközkezelő, nyissa meg az adott eszköztulajdonságokat, és kattintson a "Részletek" gombra: |
| HomeDirectory | húr | A felhasználó kezdőkönyvtára. Ha a HomeDrive attribútum be van állítva, és meghajtóbetűjelet ad meg, a homeDirectorynak UNC elérési útnak kell lennie. Az elérési útnak a \Server\Share\Directory formátumú hálózati UNC-nek kell lennie. |
| HomePath | húr | A felhasználó kezdőlapja. Az elérési útnak a \Server\Share\Directory formátumú hálózati UNC-nek kell lennie. |
| InterfaceUuid | húr | Az eseményhez használt hálózati adapter egyedi azonosítója (UUID). |
| IpAddress | húr | az eseményhez társított hálózati cím (általában IPv4 vagy IPv6). |
| IpPort | húr | Az eseményhez társított hálózati portszám. |
| _IsBillable | húr | Megadja, hogy az adatok betöltése számlázható-e. Ha a _IsBillable betölti, false a számlázás nem történik meg az Azure-fiókjában |
| KeyLength | egész | Az NTLM-munkamenet biztonsági kulcsának hossza. Általában 128 bites vagy 56 bites hosszúságú. |
| Kulcsszavak | húr | Az eseményben definiált kulcsszavak bitmaszkja. |
| Level | húr | A Windows minden súlyossági szintű eseményt kategorizál. A súlyossági szintek a számokban kifejezett információk, részletesek, figyelmeztetések, hibák és kritikus értékek. |
| LmPackageName | húr | Annak a csomagnak vagy szoftverösszetevőnek a neve, amely jelenleg a Helyi biztonsági szolgáltatót (LSA) használja azon a gépen, amelyen az esemény létre lett hozva. |
| LocationInformation | húr | Az eszköz "Helyadatok" attribútuma. Az eszköz tulajdonságainak megtekintéséhez indítsa el a Eszközkezelő, nyissa meg az adott eszköztulajdonságokat, és kattintson a "Részletek" gombra: |
| LockoutDuration | húr | '\Security Settings\Account Policies\Account Lockout Policy\Account Lockout Duration' csoportházirend. Számérték. |
| LockoutObservationWindow | húr | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' group policy. Számérték. |
| LockoutThreshold | húr | '\Security Settings\Account Policies\Account Lockout Policy\Account Lockout Threshold' (Biztonsági beállítások\Fiókházirendek\Fiókzárolási szabályzat\Fiókzárolási küszöbérték) csoportházirend. Számérték. |
| LoggingResult | húr | A bejelentkezési folyamat eredménye. |
| LogonGuid | húr | Egy GUID, amely segíthet korrelálni ezt az eseményt egy másik olyan eseménysel, amely ugyanazt a bejelentkezési GUID-t tartalmazhatja. |
| LogonHours | húr | Órák, amikor a fiók bejelentkezhet a tartományba. |
| Bejelentkezési azonosító | húr | Hexadecimális érték, amely segíthet korrelálni ezt az eseményt olyan legutóbbi eseményekkel, amelyek ugyanazt a bejelentkezési azonosítót tartalmazhatják. |
| LogonProcessName | húr | A regisztrált bejelentkezési folyamat neve. |
| LogonType | egész | A végrehajtott bejelentkezés típusa. |
| LogonTypeName | húr | Az eseménynapló által rögzített bejelentkezési vagy hitelesítési esemény típusa (gyakori értékek: Interaktív, Hálózat, RemoteInteractive, Unlock). |
| MachineAccountQuota | húr | Az ms-DS-MachineAccountQuota tartományattribútum módosult. Számérték. |
| MachineInventory | húr | Az eseményt létrehozó számítógép hardverkonfigurációjára és szoftverkörnyezetére vonatkozó információk. Különböző adatpontokat tartalmazhat, például a számítógép méretét és modelljét, a rendelkezésre álló RAM-ot vagy tárterületet, a különböző szoftveralkalmazások verziószámait stb. |
| MachineLogon | húr | A gép sikeres bejelentkezési eseményével kapcsolatos információk. |
| ManagementGroupName | húr | További információk az erőforrástípus alapján. |
| Kötelezőcímke | húr | Az új folyamathoz hozzárendelt integritáscímke azonosítója. |
| MaxPasswordAge | húr | Az az időtartam (napokban), amikor a jelszó használható, mielőtt a rendszer megköveteli a felhasználótól a módosítást. |
| MemberName | húr | Az eseményben részt vevő felhasználói fiók. |
| MemberSid | húr | Az eseményben részt vevő felhasználói fiókhoz társított biztonsági azonosító (SID). |
| MinPasswordAge | húr | Az az időtartam (napokban), amikor a jelszót használni kell, mielőtt a rendszer megköveteli a felhasználótól a módosítást. |
| MinPasswordLength | húr | A felhasználói fiók jelszavát alkotó karakterek száma a legkevesebb. |
| MixedDomainMode | húr | Egy rendszer vagy tartományvezérlő tartományvezérlő tartományvezérlői üzemmódja. |
| NASIdentifier | húr | Az eseményben részt vevő hálózati hozzáférési kiszolgáló (NAS) azonosítója. |
| NASIPv4Address | húr | Az eseményben érintett hálózati hozzáférési kiszolgáló (NAS) IPv4Addresse, ha van ilyen. |
| NASIPv6Address | húr | Az eseményben érintett hálózati hozzáférési kiszolgáló (NAS) IPv6Addresse, ha van ilyen. |
| NASPort | húr | az eseményben használt hálózati hozzáférési kiszolgáló portja. |
| NASPortType | húr | az eseményben használt hálózati hozzáférési kiszolgáló (NAS) típusa. |
| NetworkPolicyName | húr | Az eseményhez társított hálózati házirend neve. |
| NewDate | húr | Új dátum az UTC időzónában. A formátum YYYYY-MM-DD. |
| NewMaxUsers | húr | Az erőforráshoz engedélyezett felhasználók új maximális száma az eseményben. |
| NewProcessId | húr | Az új folyamat hexadecimális folyamatazonosítója. A folyamatazonosító (PID) az operációs rendszer által egy aktív folyamat egyedi azonosítására használt szám. |
| NewProcessName | húr | Az új folyamat teljes elérési útja és a végrehajtható fájl neve. |
| NewRemark | húr | A hálózati megosztás "Megjegyzések:" mezőjének új értéke. Ha nincs beállítva, akkor "N/A" értékkel rendelkezik. |
| NewShareFlags | húr | Az eseményben egy erőforráshoz társított megosztási jelzők, például: információ arról, hogy az erőforrás írásvédett vagy írásvédett-e, rejtett-e, és egyéb paraméterek, amelyek hatással lehetnek a hozzáférésre és az engedélyekre. |
| NewTime | húr | Az UTC időzónában beállított új idő. A formátum YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | húr | A felhasználói fiók jelszavát, zárolását, letiltását/engedélyezését, parancsfájlját és egyéb viselkedését vezérlő jelzőket adja meg. |
| NewValue | húr | Új érték a módosított beállításkulcs-értékhez. |
| NewValueType | húr | A módosított beállításkulcs új típusa. |
| ObjectName | húr | Annak az objektumnak a neve és egyéb azonosító adatai, amelyhez hozzáférést kértek. Egy fájl esetében például az elérési út szerepelne. |
| ObjectServer | húr | A rutint hívó Windows-alrendszer nevét tartalmazza. |
| ObjectType | húr | A művelet során elért objektum típusa. |
| ObjectValueName | húr | A módosított beállításkulcs-érték neve. |
| OemInformation | húr | Az eseményben egy eszközhöz vagy rendszerhez társított eredeti berendezésgyártó (OEM). |
| OldMaxUsers | húr | Az erőforráshoz engedélyezett felhasználók előző maximális száma az eseményben. |
| OldRemark | húr | a "Megjegyzések:" hálózati megosztás régi értéke. Ha nincs beállítva, akkor "N/A" értékkel rendelkezik. |
| OldShareFlags | húr | Az eseményben egy erőforráshoz társított korábbi megosztási jelzők, például: információk arról, hogy az erőforrás írásvédett vagy írásvédett-e, rejtett-e, és egyéb paraméterek, amelyek hatással lehetnek a hozzáférésre és az engedélyekre. |
| OldUacValue | húr | A felhasználói fiók jelszavát, zárolását, letiltását/engedélyezését, parancsfájlját és egyéb viselkedését vezérlő jelzőket adja meg. Ez a paraméter a felhasználói objektum userAccountControl attribútumának előző értékét tartalmazza. |
| OldValue | húr | Régi érték a módosított beállításkulcs-értékhez. |
| OldValueType | húr | A módosított beállításkulcs régi típusa. |
| Opcode | húr | Az opcode elemet a SystemPropertiesType komplex típus határozza meg. |
| OperationType | húr | Az objektumon végrehajtott művelet típusa |
| PackageName | húr | A bejelentkezés során használt LAN Manager-alcsomag (NTLM-family protocol name) neve. |
| ParentProcessName | húr | Az eseményhez társított szülőfolyamat neve. |
| PasswordHistoryLength | húr | \Biztonsági beállítások\Fiókszabályzatok\Jelszóházirend\Jelszóelőzmények kényszerítése" csoportházirend. Számérték. |
| PasswordLastSet | húr | A fiók jelszavának legutóbbi módosítása. |
| PasswordProperties | húr | Az eseményhez társított jelszószabályzatok vagy tulajdonságok, például: jelszó hossza, összetettsége és lejárati dátuma. |
| PreviousDate | húr | Az eseményhez társított előző dátum. |
| PreviousTime | húr | Előző időpont az UTC időzónában. A formátum YYYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | húr | A felhasználó elsődleges objektumcsoportjának relatív azonosítója (RID). |
| PrivateKeyUsageCount | húr | A titkos kulcsok hányszor használatosak. |
| PrivilegeList | húr | Az eseményhez társított jogosultságok, beleértve a felhasználói, csoport- vagy rendszerjogokat. |
| Feldolgozás | húr | Az eseményt létrehozó folyamat neve. |
| ProcessId | húr | Azonosítja az eseményt létrehozó folyamatot. |
| ProcessName | húr | A folyamat teljes elérési útja és a végrehajtható fájl neve. |
| ProfilePath | húr | Megadja a fiók profiljának elérési útját. Ez az érték lehet null sztring, helyi abszolút elérési út vagy UNC elérési út. |
| Tulajdonságok | húr | Az objektum típusától függ. Ez a mező lehet üres, vagy tartalmazza a hozzáfért objektumtulajdonságok listáját. |
| ProtocolSequence | húr | A hitelesítési kísérlethez használt protokollra vonatkozó információk. |
| ProxyPolicyName | húr | A proxykiszolgáló hálózathoz való csatlakozáshoz való konfigurálásához használt házirend neve. |
| QuarantineHelpURL | húr | Az URL-cím segítséget nyújt a hálózati karanténnal kapcsolatos problémák elhárításához. |
| QuarantineSessionID | húr | Annak a munkamenetnek az azonosítója, amelyben a fájlt karanténba helyezték. |
| QuarantineSessionIdentifier | húr | Annak a munkamenetnek az azonosítója, amelyben a fájlt karanténba helyezték. |
| QuarantineState | húr | Megmutatja, hogy a fájl karanténba van-e helyezve. |
| QuarantineSystemHealthResult | húr | A karanténba helyezett fájlok állapotát megjelenítő jelentés. |
| RelativeTargetName | húr | A elért célfájl vagy mappa relatív neve. Ez a fájlútvonal a hálózati megosztáshoz képest van. Ha magának a megosztásnak a hozzáférését kérték, akkor ez a mező "" néven jelenik meg. |
| RemoteIpAddress | húr | A távoli kapcsolatot kezdeményező számítógép IP-címe. |
| RemotePort | húr | A kapcsolatot kezdeményező távoli számítógép portszáma. |
| Igénylő | húr | Az eseménykérő azonosítója. |
| RequestId | húr | Egyedi azonosító, amely adott kérésekhez, például HTTP-en keresztül érkezett. |
| _ResourceId | húr | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| RestrictedAdminMode | húr | Csak RemoteInteractive bejelentkezési típusú munkamenetekhez van feltöltve. Ez egy Igen/Nem jelölő, amely azt jelzi, hogy a megadott hitelesítő adatok korlátozott rendszergazdai módban lettek-e átadva. A korlátozott rendszergazdai mód a Win8.1/2012R2-ben lett hozzáadva, de ez a jelző hozzá lett adva az eseményhez a Win10-ben. |
| Törölt sorok | húr | Az adott művelet részeként törölt sorok száma. |
| SamAccountName | húr | a Windows korábbi verzióiból származó ügyfelek és kiszolgálók támogatásához használt fiók bejelentkezési neve (Windows 2000 előtti bejelentkezési név). |
| ScriptPath | húr | Megadja a fiók bejelentkezési szkriptjének elérési útját. |
| SecurityDescriptor | húr | Információk egy adott objektum vagy erőforrás biztonsági beállításairól és engedélyeiről. |
| ServiceAccount | húr | A szolgáltatás által az indításkor megadott biztonsági környezet. |
| ServiceFileName | húr | A Service Control Managerben regisztrált szolgáltatástípust jelzi. |
| ServiceName | húr | A telepített szolgáltatás neve. |
| ServiceStartType | egész | Információkat tartalmaz arról, hogyan kell elindítani egy adott szolgáltatást, függetlenül attól, hogy automatikusan vagy manuálisan kell-e elindítani. |
| ServiceType | húr | A Service Control Managerben regisztrált szolgáltatástípust jelzi. |
| SessionName | húr | Annak a munkamenetnek a neve, amelyhez a felhasználó újracsatlakozott. |
| ShareLocalPath | húr | A hozzáféréssel rendelkező hálózati megosztás helyi elérési útja. |
| ShareName | húr | A hozzáféréssel rendelkező hálózati megosztás neve. A formátum a következő: \*\SHARE_NAME. |
| SidHistory | húr | Az objektumhoz használt korábbi SID-ket tartalmazza, ha az objektumot másik tartományból helyezték át. |
| SourceComputerId | húr | Egy Windows-tartomány minden számítógépéhez hozzárendelt egyedi azonosító. |
| SourceSystem | húr | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure az Azure Diagnostics esetében |
| Állapot | húr | A bejelentkezés sikertelenségének oka. Ehhez az eseményhez általában "0xC0000234" érték tartozik. A leggyakoribb állapotkódok a 12. táblázatban találhatók. Windows bejelentkezési állapotkódok. |
| StorageAccount | húr | Beállítja a tárfiók hozzáférési kulcsát. |
| SubcategoryGuid | húr | A módosított alkategória egyedi GUID azonosítója. |
| Alkategóriaazonosító | húr | Az esemény egy adott típusának egyedi azonosítója. |
| Tárgy | húr | Az eseményt kezdeményező biztonsági tagra (például felhasználói fiókra) vonatkozó információk. |
| SubjectAccount | húr | Információ az eseményt kezdeményező fiókról. |
| SubjectDomainName | húr | Információ arról a tartományról vagy munkacsoportról, amelyhez a tulajdonosfiók tartozik. |
| SubjectKeyIdentifier | húr | Egy adott tanúsítványtulajdonos egyedi azonosítója. |
| SubjectLogonId | húr | A tulajdonosfiókhoz társított bejelentkezési munkamenet egyedi azonosítója. |
| SubjectMachineName | húr | Információ arról a gépről vagy rendszerről, amelyből az esemény létrejött. |
| SubjectMachineSID | húr | Az eseményt létrehozó gép biztonsági azonosítója (SID). |
| SubjectUserName | húr | Az eseményt létrehozó felhasználói fiók neve. |
| SubjectUserSid | húr | Az eseményt létrehozó felhasználói fiók biztonsági azonosítója (SID). |
| _SubscriptionId | húr | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| Alállapot | húr | További információ a bejelentkezési hibáról. A 12. táblázatban felsorolt leggyakoribb alállapotkódok. Windows bejelentkezési állapotkódok". |
| SystemProcessId | egész | Azonosítja az eseményt létrehozó folyamatot. |
| SystemThreadId | egész | Azonosítja az eseményt létrehozó szálat. |
| SystemUserId | húr | Az eseményért felelős felhasználó azonosítója. |
| Táblaazonosító | húr | Az eseményadatok tárolására szolgáló adattábla-azonosító. |
| TargetAccount | húr | Az esemény által megcélzott fiók (felhasználónév, számítógépnév stb.). |
| TargetDomainName | húr | Annak a tartománynak a neve, amelyhez a célfiók tartozik. |
| TargetInfo | húr | További információ az eseménycélról (például egy fájl vagy mappa elérési útja, egy beállításkulcs neve stb.). |
| TargetLinkedLogonId | húr | Információk, amelyek segítenek összekapcsolni a kapcsolódó eseményeket a bejelentkezési kísérlet azonosítói alapján. Hasznos lehet az összes releváns esemény rendszerezésében, a tevékenységek több munkamenetben történő nyomon követésében és a támadási forrás azonosításában. |
| TargetLogonGuid | húr | Az eseményhez kapcsolódó bejelentkezési munkamenethez társított globálisan egyedi azonosító (GUID). |
| TargetLogonId | húr | Az eseményhez kapcsolódó bejelentkezési munkamenethez társított egyedi azonosító. |
| TargetOutboundDomainName | húr | A TargetAccount mezőben megadott tartomány hitelesítése kimenő hitelesítési kísérlet során történt. |
| TargetOutboundUserName | húr | A kimenő hitelesítési kísérlet során hitelesített felhasználói fiók neve. |
| TargetServerName | húr | Annak a kiszolgálónak a neve, amelyen az új folyamatot futtatták. A "localhost" értéke akkor van, ha a folyamatot helyileg futtatták. |
| TargetSid | húr | Annak a kiszolgálónak a biztonsági azonosítója (SID), amelyen az új folyamatot futtatták. |
| TargetUser | húr | Az új folyamatot létrehozó felhasználói fiók azonosítója. |
| TargetUserName | húr | Az új folyamatot létrehozó felhasználói fiók neve. |
| TargetUserSid | húr | Az eseményben érintett felhasználóhoz vagy erőforráshoz társított biztonsági azonosító (SID). |
| Task | egész | Az eseményben definiált feladat. |
| TemplateContent | húr | Az eseményüzenet vagy értesítés tartalma strukturált formában. |
| TemplateDSObjectFQDN | húr | A GPO-sablont képviselő DS-objektum teljes tartományneve. |
| TemplateInternalName | húr | A csoportházirend-objektum sablonjának belső neve. |
| TemplateOID | húr | az esemény létrehozásához használt sablon egyedi azonosítója. |
| TemplateSchemaVersion | húr | A sablonséma azon verziója, amely meghatározza az eseményhez felvenni kívánt adatokat. |
| TemplateVersion | húr | A sablon azon verziója, amely meghatározza az eseménybe belefoglalandó adatokat. |
| TenantId | húr | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | Az időbélyeg, amikor az esemény létrejött a számítógépen. |
| TokenElevationType | húr | Az új folyamathoz a felhasználói fiókkezelési szabályzattal összhangban hozzárendelt jogkivonat típusa. |
| Továbbított szolgáltatások | húr | A továbbított szolgáltatások listája. A továbbított szolgáltatások akkor lesznek feltöltve, ha a bejelentkezés S4U (Service For User) bejelentkezési folyamat eredménye volt. Az S4U a Kerberos-protokoll Microsoft-bővítménye, amely lehetővé teszi, hogy egy alkalmazásszolgáltatás kerberos szolgáltatásjegyet szerezzen be egy felhasználó nevében – amelyet leggyakrabban egy előtér-webhely végez egy belső erőforrás felhasználó nevében való elérésére. További információ az S4U-ról: https://msdn.microsoft.com/library/cc246072.aspx. |
| Típus | húr | A tábla neve |
| UserAccountControl | húr | A userAccountControl attribútum módosításainak listáját jeleníti meg. Minden módosításhoz megjelenik egy szövegsor. |
| UserParameters | húr | Ha módosít egy beállítást Active Directory - felhasználók és számítógépek felügyeleti konzol használatával a felhasználói fióktulajdonságok Betárcsázás lapján, akkor <az érték módosul, de nem jelenik meg> ebben a mezőben. Helyi fiókok esetén ez a mező nem alkalmazható, és mindig van olyan érték, amely <nem állít be> értéket. |
| UserPrincipalName | húr | A fiók internetes bejelentkezési neve az RFC 822 internetes szabvány alapján. Konvenció szerint ennek a fiók e-mail-nevére kell megfelelnie. |
| UserWorkstations | húr | Azon számítógépek NetBIOS- vagy DNS-nevének listáját tartalmazza, amelyekről a felhasználó bejelentkezhet. Minden számítógép nevét vessző választja el egymástól. A számítógép neve egy számítógépobjektum sAMAccountName tulajdonsága. |
| VendorIds | húr | Az eszköz "Hardverazonosítók" attribútuma. Az eszköz tulajdonságainak megtekintéséhez indítsa el Eszközkezelő, nyissa meg az adott eszköztulajdonságokat, és kattintson a Részletek gombra. |
| Verzió | egész | Az esemény definíciójának verziószámát tartalmazza. |
| VirtualAccount | húr | "Igen" vagy "Nem" jelző, amely azt jelzi, hogy a fiók egy virtuális fiók -e (például "Felügyelt szolgáltatásfiók"), amelyet a Windows 7 és a Windows Server 2008 R2 rendszerben vezettek be, így lehetővé teszi az adott szolgáltatás által használt fiók azonosítását a "NetworkService" helyett. |
| Munkaállomás | húr | Az esemény végrehajtásához használt gép neve. |
| WorkstationName | húr | A gép neve, amelyről bejelentkezési kísérletet hajtottak végre. |