SecurityEvent
Sicherheitsereignisse, die von Windows-Computern von Azure Security Center oder Azure Sentinel erfasst werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorien | Sicherheit |
| Lösungen | Sicherheit, SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccessMask | Zeichenfolge | Hexadezimalmaske für den angeforderten oder ausgeführten Vorgang. |
| Konto | Zeichenfolge | Der Sicherheitskontext für Dienste oder Benutzer. |
| AccountDomain | Zeichenfolge | Domänen- oder Computername des Antragstellers. |
| AccountExpires | Zeichenfolge | Das Datum, an dem das Konto abläuft. |
| AccountName | Zeichenfolge | Der Name des Kontos, das den Vorgang "Domänenvertrauensstellung entfernen" angefordert hat. |
| AccountSessionIdentifier | Zeichenfolge | Ein eindeutiger Bezeichner, der vom Computer generiert wird, wenn die Sitzung erstellt wird. |
| AccountType | Zeichenfolge | Gibt an, ob es sich bei dem Konto um ein Computerkonto (Computer) oder um ein Benutzerkonto handelt. |
| Aktivität | Zeichenfolge | Der beschreibende Titel des Ereignisses. |
| AdditionalInfo | Zeichenfolge | Zusätzliche Informationen, die von der Quelle bereitgestellt werden, die nicht anderen Feldern zugeordnet sind, dargestellt durch eine Liste. |
| AdditionalInfo2 | Zeichenfolge | Zusätzliche Informationen, die von der Quelle bereitgestellt werden, die nicht anderen Feldern zugeordnet sind, dargestellt durch eine Liste. |
| AllowedToDelegateTo | Zeichenfolge | Die Liste der SPNs, für die dieses Konto delegierte Anmeldeinformationen präsentieren kann. |
| Attribute | Zeichenfolge | Zusätzliche Informationen zum Ereignis. |
| AuditPolicyChanges | Zeichenfolge | Ereignisse, die generiert werden, wenn Änderungen an der Systemüberwachungsrichtlinie oder den Überwachungseinstellungen für eine Datei oder einen Registrierungsschlüssel vorgenommen werden. |
| AuditsDiscarded | INT | Anzahl der verworfenen Überwachungsnachrichten. |
| AuthenticationLevel | INT | Anzahl der verworfenen Überwachungsnachrichten. |
| AuthenticationPackageName | Zeichenfolge | der Name des geladenen Authentifizierungspakets. Das Format lautet: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | Zeichenfolge | Die Identität des Anbieters, der für den Authentifizierungsprozess verantwortlich ist (kann eine Zertifizierungsstelle, einen Benutzernamen, ein Kennwortauthentifizierungssystem usw. enthalten). |
| AuthenticationServer | Zeichenfolge | Der Server, auf dem sich der Authentifizierungsanbieter befindet. |
| Authenticationservice | INT | Der Dienst, in dem sich der Authentifizierungsanbieter befindet. |
| AuthenticationType | Zeichenfolge | der Authentifizierungstyp, der für das Ereignis verwendet wurde (zweistufige Authentifizierung, biometrische Authentifizierung usw.). |
| AzureDeploymentID | Zeichenfolge | Die Azure-Bereitstellungs-ID des Clouddiensts, zu dem das Protokoll gehört |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| CACertificateHash | Zeichenfolge | Der Hashwert des Zertifikats der Zertifizierungsstelle , das zum Authentifizieren des Benutzers verwendet wurde, der das Ereignis ausgeführt hat. |
| CalledStationID | Zeichenfolge | Informationen zur ID der Station, die die Aktion initiiert hat, die zum Sicherheitsereignis geführt hat. |
| CallerProcessId | Zeichenfolge | Hexadezimalprozess-ID des Prozesses, der die Anmeldung versucht hat. Prozess-ID (PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren. |
| CallerProcessName | Zeichenfolge | Vollständiger Pfad und der Name der ausführbaren Datei für den Prozess. |
| CallingStationID | Zeichenfolge | Informationen zur ID der Station, die die Aktion initiiert hat, die zum Sicherheitsereignis geführt hat. |
| CAPublicKeyHash | Zeichenfolge | Hashwert, der den öffentlichen Schlüssel einer Zertifizierungsstelle (CA) identifiziert, die ein Zertifikat ausgestellt hat. |
| CategoryId | Zeichenfolge | Die Kategorie des aufgetretenen Sicherheitsereignisses (Anmeldeversuch, Datenverletzung usw.). |
| CertificateDatabaseHash | Zeichenfolge | Hashwert, der die Datenbank identifiziert, die ein Zertifikat ausgestellt hat. |
| Kanal | Zeichenfolge | Der Kanal, in dem das Ereignis protokolliert wurde. |
| Classid | Zeichenfolge | Attribut "Class Guid" des Geräts. |
| ClassName | Zeichenfolge | Attribut "Class" des Geräts. |
| ClientAddress | Zeichenfolge | IP-Adresse des Computers, von dem die TGT-Anforderung empfangen wurde. |
| ClientIPAddress | Zeichenfolge | IP-Adresse des Computers, der die Aktion initiiert hat, die zum Ereignis geführt hat. |
| ClientName | Zeichenfolge | Computername, von dem der Benutzer wieder verbunden wurde. Hat den Wert "Unbekannt" für die Konsolensitzung. |
| CommandLine | Zeichenfolge | Die Befehlszeilenargumente, die an eine Anwendung oder einen Prozess übergeben wurden, die am Ereignis beteiligt waren. |
| CompatibleIds | Zeichenfolge | Attribut "Kompatible IDs" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details": |
| Computer | string | Der Name des Computers, auf dem das Ereignis aufgetreten ist. |
| DCDNSName | Zeichenfolge | Der DNS-Name des Domänencontrollers, der am Ereignis beteiligt war. |
| DeviceDescription | Zeichenfolge | die Beschreibung des Geräts, das an dem Ereignis beteiligt war. |
| deviceId | Zeichenfolge | Der eindeutige Bezeichner des Geräts, das am Ereignis beteiligt war. |
| DisplayName | Zeichenfolge | Es ist ein Name, der im Adressbuch für ein bestimmtes Konto angezeigt wird. Dies ist in der Regel die Kombination aus Vornamen, mittlerem Anfangs- und Nachname des Benutzers. |
| Disposition | Zeichenfolge | Das Ergebnis/die Auflösung des Ereignisses, z. B. ob das Ereignis aufgelöst wurde oder ob eine Aktion als Reaktion auf das Ereignis ausgeführt wurde. |
| DomainBehaviorVersion | Zeichenfolge | Das Domänenattribute msDS-Behavior-Version wurde geändert. Ein numerischer Wert. |
| DomainName | Zeichenfolge | Der Name der entfernten vertrauenswürdigen Domäne. |
| DomainPolicyChanged | Zeichenfolge | Gibt an, ob Domänenrichtlinien im Rahmen des Ereignisses geändert wurden (Kennwortrichtlinien, Sicherheitsrichtlinien usw.). |
| DomainSid | Zeichenfolge | SID des Vertrauenspartners. Dieser Parameter wird im Ereignis möglicherweise nicht erfasst und wird in diesem Fall als "NULL SID" angezeigt. |
| EAPType | Zeichenfolge | Der Typ des Extensible Authentication Protocol (EAP), der für den Ereignisauthentifizierungsprozess verwendet wurde. |
| ElevatedToken | Zeichenfolge | Ein "Ja"- oder "Nein"-Flag. Wenn "Ja", dann ist die Sitzung, die dieses Ereignis darstellt, erhöht und verfügt über Administratorrechte. |
| ErrorCode | INT | Enthält Fehlercode für Fehlerereignisse. Für Success-Ereignisse hat dieser Parameter den Wert "0x0". |
| EventData | Zeichenfolge | Ereignisspezifische Daten, die dem Ereignis zugeordnet sind. |
| EventId | INT | Der Bezeichner, den der Anbieter zum Identifizieren des Ereignisses verwendet hat. |
| EventSourceName | Zeichenfolge | Der Name der Software, die das Ereignis protokolliert (application oder ein succomponent). |
| ExtendedQuarantineState | Zeichenfolge | Der Status des Netzwerkquarantäneprozesses, falls zutreffend. Die Netzwerkquarantäne ist ein Prozess, bei dem nicht autorisierte Geräte am Zugriff auf ein Netzwerk gehindert werden, bis sie bestimmte Sicherheitsanforderungen erfüllen oder auf Schadsoftware überprüft wurden. |
| FailureReason | Zeichenfolge | Texterklärung des Statusfeldwerts. Für dieses Ereignis hat es in der Regel den Wert "Konto gesperrt". |
| Dateihash | Zeichenfolge | Der Hashwert für alle Dateien, auf die im Rahmen des Ereignisses zugegriffen oder geändert wurde, oder für alle Dateien, die beim Authentifizierungs- oder Autorisierungsprozess verwendet wurden. |
| FilePath | Zeichenfolge | Vollständiger Pfad und Dateiname der Schlüsseldatei, für die der Vorgang ausgeführt wurde. |
| FilePathNoUser | Zeichenfolge | Der Pfad aller Dateien, die sich auf das Ereignis beziehen, mit Ausnahme des Benutzernamens oder anderer benutzerspezifischer Informationen. |
| Filter | Zeichenfolge | Filter, die im ausgeführten Ereignis verwendet werden. |
| ForceLogoff | Zeichenfolge | Gruppenrichtlinie "\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Abmelden erzwingen, wenn Anmeldezeiten ablaufen". |
| Fqbn | Zeichenfolge | Der vollqualifizierte binäre Name (FQBN) für alle Dateien, die sich auf das Ereignis beziehen. |
| FullyQualifiedSubjectMachineName | Zeichenfolge | Der vollqualifizierte Domänenname (FQDN) des Computers, der das Ereignis initiiert hat. |
| FullyQualifiedSubjectUserName | Zeichenfolge | Der Benutzername des Benutzers oder Diensts, der das Ereignis im FQDN-Format initiiert hat. |
| GroupMembership | Zeichenfolge | Die Liste der Gruppen-SIDs, zu denen das protokollierte Konto gehört (Mitglied von). Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten im -Ereignis angezeigt. |
| HandleId | Zeichenfolge | Hexadezimalwert eines Handles für Objektname. Dieses Feld kann für die Korrelation mit anderen Ereignissen verwendet werden. |
| HardwareIds | Zeichenfolge | "Hardware-IDs"-Attribut des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details": |
| HomeDirectory | Zeichenfolge | Das Basisverzeichnis des Benutzers. Wenn das homeDrive-Attribut festgelegt ist und einen Laufwerkbuchstaben angibt, sollte homeDirectory ein UNC-Pfad sein. Der Pfad muss eine Netzwerk-UNC im Format \Server\Share\Directory sein. |
| HomePath | Zeichenfolge | Der Startpfad des Benutzers. Der Pfad muss eine Netzwerk-UNC im Format \Server\Share\Directory sein. |
| InterfaceUuid | Zeichenfolge | Der eindeutige Bezeichner (UUID) für die Netzwerkschnittstelle, die für das Ereignis verwendet wurde. |
| IpAddress | Zeichenfolge | die Netzwerkadresse (in der Regel IPv4 oder IPv6), die dem Ereignis zugeordnet ist. |
| IpPort | Zeichenfolge | Die dem Ereignis zugeordnete Netzwerkportnummer. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| KeyLength | INT | Die Länge des NTLM-Sitzungssicherheitsschlüssels. In der Regel hat er eine Länge von 128 Bit oder 56 Bit. |
| Ebene | Zeichenfolge | Windows kategorisiert jedes Ereignis mit einem Schweregrad. Die Ebenen in der Reihenfolge des Schweregrads sind Informationen, Ausführlichkeit, Warnung, Fehler und kritisch ausgedrückt in Zahlen. |
| LmPackageName | Zeichenfolge | Der Name des Pakets oder der Softwarekomponente, die derzeit die lokale Sicherheitsautorität (Local Security Authority, LSA) auf dem Computer verwendet, auf dem das Ereignis generiert wird. |
| LocationInformation | Zeichenfolge | Attribut "Standortinformationen" des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details": |
| LockoutDuration | Zeichenfolge | Gruppenrichtlinie "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Dauer der Kontosperrung". Ein numerischer Wert. |
| LockoutObservationWindow | Zeichenfolge | Gruppenrichtlinie "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Kontosperrungszähler nach zurücksetzen". Ein numerischer Wert. |
| LockoutThreshold | Zeichenfolge | Gruppenrichtlinie "\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie\Kontosperrschwellenwert". Ein numerischer Wert. |
| LoggingResult | Zeichenfolge | Das Ergebnis des Anmeldeprozesses. |
| LogonGuid | Zeichenfolge | Eine GUID, die Ihnen helfen kann, dieses Ereignis mit einem anderen Ereignis zu korrelieren, das die gleiche Anmelde-GUID enthalten kann. |
| LogonHours | Zeichenfolge | Stunden, in denen sich das Konto bei der Domäne anmelden darf. |
| Anmelde-ID | Zeichenfolge | Hexadezimalwert, der Ihnen helfen kann, dieses Ereignis mit aktuellen Ereignissen zu korrelieren, die möglicherweise dieselbe Anmelde-ID enthalten. |
| LogonProcessName | Zeichenfolge | Der Name des registrierten Anmeldeprozesses. |
| LogonType | INT | Der Typ der anmeldung, die ausgeführt wurde. |
| LogonTypeName | Zeichenfolge | Der Typ des Anmelde- oder Authentifizierungsereignisses, das vom Ereignisprotokoll erfasst wird (allgemeine Werte: Interaktiv, Netzwerk, RemoteInteractive, Entsperren). |
| MachineAccountQuota | Zeichenfolge | Das Domänenattribute ms-DS-MachineAccountQuota wurde geändert. Ein numerischer Wert. |
| MachineInventory | Zeichenfolge | Informationen zur Hardwarekonfiguration und Softwareumgebung des Computers, auf dem das Ereignis generiert wird. Es kann verschiedene Datenpunkte enthalten, für instance: die Herstellung und das Modell des Computers, die Menge des verfügbaren RAM- oder Speicherplatzes, die Versionsnummern verschiedener Softwareanwendungen usw.). |
| MachineLogon | Zeichenfolge | Informationen zu einem erfolgreichen Anmeldeereignis auf dem Computer. |
| ManagementGroupName | Zeichenfolge | Zusätzliche Informationen basierend auf dem Ressourcentyp. |
| MandatoryLabel | Zeichenfolge | ID der Integritätsbezeichnung, die dem neuen Prozess zugewiesen wurde. |
| MaxPasswordAge | Zeichenfolge | Der Zeitraum (in Tagen), in dem ein Kennwort verwendet werden kann, bevor das System es vom Benutzer ändern muss. |
| MemberName | Zeichenfolge | Das Benutzerkonto, das am Ereignis beteiligt war. |
| MemberSid | Zeichenfolge | Die Sicherheits-ID (SID), die dem Benutzerkonto zugeordnet ist, das am Ereignis beteiligt war. |
| MinPasswordAge | Zeichenfolge | Der Zeitraum (in Tagen), für den ein Kennwort verwendet werden muss, bevor es vom Benutzer geändert werden muss. |
| MinPasswordLength | Zeichenfolge | Die geringste Anzahl von Zeichen, die ein Kennwort für ein Benutzerkonto bilden können. |
| MixedDomainMode | Zeichenfolge | Der Domänenmodus eines System- oder Domänencontrollers. |
| NASIdentifier | Zeichenfolge | Der Bezeichner des Netzwerkzugriffsservers (NAS), der an dem Ereignis beteiligt war. |
| NASIPv4Address | Zeichenfolge | Die IPv4Address des Netzwerkzugriffsservers (NAS), der an dem Ereignis beteiligt war, falls zutreffend. |
| NASIPv6Address | Zeichenfolge | Die IPv6Address des Netzwerkzugriffsservers (NAS), der an dem Ereignis beteiligt war, falls zutreffend. |
| NASPort | Zeichenfolge | der Port auf dem Netzwerkzugriffsserver, der im Ereignis verwendet wurde. |
| NASPortType | Zeichenfolge | der Typ des netzwerkzugriffsservers (NAS), der im Ereignis verwendet wird. |
| NetworkPolicyName | Zeichenfolge | Der Name der Netzwerkrichtlinie, die dem Ereignis zugeordnet ist. |
| NewDate | Zeichenfolge | Neues Datum in der UTC-Zeitzone. Das Format lautet JJJJ-MM-TT. |
| NewMaxUsers | Zeichenfolge | Die neue maximale Anzahl von Benutzern, die für eine Ressource im Ereignis zulässig sind. |
| NewProcessId | Zeichenfolge | Hexadezimalprozess-ID des neuen Prozesses. Prozess-ID (PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren. |
| NewProcessName | Zeichenfolge | Vollständiger Pfad und der Name der ausführbaren Datei für den neuen Prozess. |
| NewRemark | Zeichenfolge | Der neue Wert des Felds "Kommentare:" der Netzwerkfreigabe. Hat den Wert "N/A", wenn er nicht festgelegt ist. |
| NewShareFlags | Zeichenfolge | Die Freigabeflags, die einer Ressource im Ereignis zugeordnet sind, für instance: Informationen dazu, ob die Ressource schreibgeschützt oder schreibgeschützt ist, ob sie ausgeblendet ist, und andere Parameter, die sich auf Zugriff und Berechtigungen auswirken können. |
| NewTime | Zeichenfolge | Neue Zeit, die in der UTC-Zeitzone festgelegt wurde. Das Format ist JJJJ-MM-TTThh:mm:ss.nnnnnnnnz |
| NewUacValue | Zeichenfolge | Gibt Flags an, die Kennwort, Sperrung, Deaktivieren/Aktivieren, Skripts und anderes Verhalten für das Benutzerkonto steuern. |
| NewValue | Zeichenfolge | Neuer Wert für den geänderten Registrierungsschlüsselwert. |
| NewValueType | Zeichenfolge | Neuer Typ des geänderten Registrierungsschlüsselwerts. |
| ObjectName | Zeichenfolge | Name und andere identifizierende Informationen für das Objekt, für das Zugriff angefordert wurde. Für eine Datei wird beispielsweise der Pfad eingeschlossen. |
| ObjectServer | Zeichenfolge | Enthält den Namen des Windows-Subsystems, das die Routine aufruft. |
| ObjektType | Zeichenfolge | Der Typ eines Objekts, auf das während des Vorgangs zugegriffen wurde. |
| ObjectValueName | Zeichenfolge | Der Name des geänderten Registrierungsschlüsselwerts. |
| OemInformation | Zeichenfolge | Der original Equipment Manufacturer (OEM), der einem Gerät oder System in diesem Fall zugeordnet ist. |
| OldMaxUsers | Zeichenfolge | Die vorherige maximale Anzahl von Benutzern, die für eine Ressource im Ereignis zulässig sind. |
| OldRemark | Zeichenfolge | der alte Wert des Felds "Kommentare:" der Netzwerkfreigabe. Hat den Wert "N/A", wenn er nicht festgelegt ist. |
| OldShareFlags | Zeichenfolge | Die vorherigen Freigabeflags, die einer Ressource im Ereignis zugeordnet sind, für instance: Informationen dazu, ob die Ressource schreibgeschützt oder schreibgeschützt ist, ob sie ausgeblendet ist, und andere Parameter, die sich auf Zugriff und Berechtigungen auswirken können. |
| OldUacValue | Zeichenfolge | Gibt Flags an, die Kennwort, Sperrung, Deaktivieren/Aktivieren, Skripts und anderes Verhalten für das Benutzerkonto steuern. Dieser Parameter enthält den vorherigen Wert des UserAccountControl-Attributs des Benutzerobjekts. |
| OldValue | Zeichenfolge | Alter Wert für den geänderten Registrierungsschlüsselwert. |
| OldValueType | Zeichenfolge | Alter Typ des geänderten Registrierungsschlüsselwerts. |
| OperationType | Zeichenfolge | Der Typ des Vorgangs, der für ein Objekt ausgeführt wurde |
| PackageName | Zeichenfolge | Der Name des LAN Manager-Unterpakets (NTLM-Familienprotokollname), das während der Anmeldung verwendet wurde. |
| ParentProcessName | Zeichenfolge | Der Name des übergeordneten Prozesses, der dem Ereignis zugeordnet ist. |
| PasswordHistoryLength | Zeichenfolge | Gruppenrichtlinie "\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwortverlauf erzwingen". Ein numerischer Wert. |
| PasswordLastSet | Zeichenfolge | Letztes Mal wurde das Kennwort des Kontos geändert. |
| PasswordProperties | Zeichenfolge | Die kennwortrichtlinien oder -eigenschaften, die dem Ereignis zugeordnet sind, z. B. Kennwortlänge, Komplexität und Ablaufdatum. |
| PreviousDate | Zeichenfolge | Das dem Ereignis zugeordnete vorherige Datum. |
| PreviousTime | Zeichenfolge | Vorherige Uhrzeit in UTC-Zeitzone. Das Format ist JJJJ-MM-TTThh:mm:ss.nnnnnnnnz. |
| PrimaryGroupId | Zeichenfolge | Relative Bezeichner (RID) der primären Objektgruppe des Benutzers. |
| PrivateKeyUsageCount | Zeichenfolge | Die Häufigkeit der Verwendung eines privaten Schlüssels. |
| PrivilegeList | Zeichenfolge | Die Berechtigungen, einschließlich Benutzer-, Gruppen- oder Systemberechtigungen, die dem Ereignis zugeordnet sind. |
| Prozess | Zeichenfolge | Der Name des Prozesses, der das Ereignis generiert. |
| ProcessId | Zeichenfolge | Gibt den Prozess an, der das Ereignis generiert hat |
| ProcessName | Zeichenfolge | Vollständiger Pfad und der Name der ausführbaren Datei für den Prozess. |
| ProfilePath | Zeichenfolge | Gibt einen Pfad zum Profil des Kontos an. Dieser Wert kann eine NULL-Zeichenfolge, ein lokaler absoluter Pfad oder ein UNC-Pfad sein. |
| Eigenschaften | Zeichenfolge | Abhängig vom Objekttyp. Dieses Feld kann leer sein oder die Liste der Objekteigenschaften enthalten, auf die zugegriffen wurde. |
| ProtocolSequence | Zeichenfolge | Informationen zum Protokoll, das für einen Authentifizierungsversuch verwendet wird. |
| ProxyPolicyName | Zeichenfolge | Name der Richtlinie, die zum Konfigurieren des Proxyservers für die Verbindung mit dem Netzwerk verwendet wurde. |
| QuarantineHelpURL | Zeichenfolge | URL, die Hilfe bei der Problembehandlung eines Problems mit der Netzwerkquarantäne bietet. |
| QuarantineSessionID | Zeichenfolge | Bezeichner der Sitzung, in der die Datei für quarantänebegutachtet wurde. |
| QuarantineSessionIdentifier | Zeichenfolge | Bezeichner der Sitzung, in der die Datei für quarantänebegutachtet wurde. |
| QuarantineState | Zeichenfolge | Es wird angezeigt, ob die Datei unter Quarantäne steht. |
| QuarantineSystemHealthResult | Zeichenfolge | Bericht, der die status der Dateien anzeigt, die unter Quarantäne gestellt wurden. |
| RelativeTargetName | Zeichenfolge | Relativer Name der Zieldatei oder des Zielordners. Dieser Dateipfad ist relativ zur Netzwerkfreigabe. Wenn der Zugriff für die Freigabe selbst angefordert wurde, wird dieses Feld als "\" angezeigt. |
| RemoteIpAddress | Zeichenfolge | Die IP-Adresse des Computers, der eine Remoteverbindung initiiert hat. |
| RemotePort | Zeichenfolge | Die Portnummer des Remotecomputers, der eine Verbindung initiiert hat. |
| Antragsteller | Zeichenfolge | Der Ereignisanforderungsbezeichner. |
| RequestId | Zeichenfolge | Ein eindeutiger Bezeichner, der bestimmten Anforderungen zugeordnet ist, z. B. solchen, die über HTTP erfolgen. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| RestrictedAdminMode | Zeichenfolge | Nur für RemoteInteractive-Anmeldesitzungen aufgefüllt. Dies ist ein Ja/Nein-Flag, das angibt, ob die angegebenen Anmeldeinformationen im Eingeschränkten Admin-Modus übergeben wurden. Der eingeschränkte Admin Modus wurde in Win8.1/2012R2 hinzugefügt, aber dieses Flag wurde dem Ereignis in Win10 hinzugefügt. |
| RowsDeleted | Zeichenfolge | Die Anzahl der Zeilen, die als Teil eines bestimmten Vorgangs gelöscht wurden. |
| SamAccountName | Zeichenfolge | Anmeldename für das Konto, das zur Unterstützung von Clients und Servern aus früheren Windows-Versionen verwendet wird (Anmeldename vor Windows 2000). |
| scriptPath | Zeichenfolge | Gibt den Pfad des Anmeldeskripts des Kontos an. |
| SecurityDescriptor | Zeichenfolge | Informationen zu den Sicherheitseinstellungen und Berechtigungen eines bestimmten Objekts oder einer bestimmten Ressource. |
| ServiceAccount | Zeichenfolge | Der Sicherheitskontext, den der Dienst wie beim Starten ausgeführt wird. |
| ServiceFileName | Zeichenfolge | Gibt den Typ des Diensts an, der beim Dienststeuerungs-Manager registriert wurde. |
| Dienstname | Zeichenfolge | Der Name des installierten Diensts. |
| ServiceStartType | INT | Enthält Informationen dazu, wie ein bestimmter Dienst gestartet werden soll, ob er automatisch oder manuell gestartet werden soll. |
| ServiceType | Zeichenfolge | Gibt den Typ des Diensts an, der beim Dienststeuerungs-Manager registriert wurde. |
| SessionName | Zeichenfolge | Der Name der Sitzung, mit der der Benutzer erneut verbunden wurde. |
| ShareLocalPath | Zeichenfolge | Der lokale Pfad der Netzwerkfreigabe. |
| ShareName | Zeichenfolge | Der Name der netzwerkfreigabe. Das Format lautet: \*\SHARE_NAME. |
| Sidhistory | Zeichenfolge | Enthält frühere SIDs, die für das Objekt verwendet wurden, wenn das Objekt aus einer anderen Domäne verschoben wurde. |
| SourceComputerId | Zeichenfolge | Eindeutiger Bezeichner, der jedem Computer in einer Windows-Domäne zugewiesen ist. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| Status | Zeichenfolge | Der Grund, warum die Anmeldung fehlgeschlagen ist. Für dieses Ereignis hat es in der Regel den Wert "0xC0000234". Die gängigsten status Codes sind in Tabelle 12 aufgeführt. Windows-Anmeldecodes status. |
| StorageAccount | Zeichenfolge | Legt den Zugriffsschlüssel des Speicherkontos fest. |
| UnterkategorieGuid | Zeichenfolge | Die eindeutige GUID der geänderten Unterkategorie. |
| SubcategoryId | Zeichenfolge | Ein eindeutiger Bezeichner für einen bestimmten Typ des Ereignisses. |
| Subject | Zeichenfolge | Informationen zum Sicherheitsprinzipal (für instance: Benutzerkonto), der das Ereignis initiiert hat. |
| SubjectAccount | Zeichenfolge | Informationen zu dem Konto, das das Ereignis initiiert. |
| SubjectDomainName | Zeichenfolge | Informationen zur Domäne oder Arbeitsgruppe, zu der das Antragstellerkonto gehört. |
| SubjectKeyIdentifier | Zeichenfolge | Ein eindeutiger Bezeichner für einen bestimmten Zertifikatsubjekt. |
| SubjectLogonId | Zeichenfolge | Ein eindeutiger Bezeichner für die Anmeldesitzung, die dem Antragstellerkonto zugeordnet ist. |
| SubjectMachineName | Zeichenfolge | Informationen zu dem Computer oder System, auf dem bzw. dem das Ereignis erstellt wurde. |
| SubjectMachineSID | Zeichenfolge | Die Sicherheits-ID (SID) für den Computer, der das Ereignis generiert hat. |
| SubjectUserName | Zeichenfolge | Der Name des Benutzerkontos, das das Ereignis generiert hat. |
| SubjectUserSid | Zeichenfolge | Die Sicherheits-ID (SID) für das Benutzerkonto, das das Ereignis generiert hat. |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| SubStatus | Zeichenfolge | Zusätzliche Informationen zu Anmeldefehlern. Die gängigsten Unterstatuscodes, die in der Tabelle 12 aufgeführt sind. Windows-Anmeldecodes status". |
| TableId | Zeichenfolge | Der spezifische Datentabellenbezeichner, in dem die Ereignisdaten gespeichert sind. |
| TargetAccount | Zeichenfolge | Das Konto, auf das das Ereignis abzielt (Benutzername, Computername usw.). |
| Targetdomainname | Zeichenfolge | Der Name der Domäne, zu der das Zielkonto gehört. |
| TargetInfo | Zeichenfolge | Zusätzliche Informationen zum Ereignisziel (z. B. der Pfad zu einer Datei oder einem Ordner, der Name eines Registrierungsschlüssels usw.). |
| TargetLinkedLogonId | Zeichenfolge | Informationen, die beim Verknüpfen verwandter Ereignisse durch die Anmeldeversuchs-IDs helfen. Es kann hilfreich sein, alle relevanten Ereignisse zu organisieren, Aktivitäten über mehrere Sitzungen hinweg zu verfolgen und die Angriffsquelle zu identifizieren. |
| TargetLogonGuid | Zeichenfolge | Ein global eindeutiger Bezeichner (GUID), der der Anmeldesitzung zugeordnet ist, die sich auf das Ereignis bezieht. |
| TargetLogonId | Zeichenfolge | Ein eindeutiger Bezeichner, der der Anmeldesitzung zugeordnet ist, die sich auf das Ereignis bezieht. |
| TargetOutboundDomainName | Zeichenfolge | Die Domäne, für die das im Feld TargetAccount angegebene Konto bei einem ausgehenden Authentifizierungsversuch authentifiziert wurde. |
| TargetOutboundUserName | Zeichenfolge | Der Name des Benutzerkontos, das während eines ausgehenden Authentifizierungsversuchs authentifiziert wurde. |
| TargetServerName | Zeichenfolge | Der Name des Servers, auf dem der neue Prozess ausgeführt wurde. Hat den Wert "localhost", wenn der Prozess lokal ausgeführt wurde. |
| TargetSid | Zeichenfolge | Die Sicherheits-ID (SID) des Servers, auf dem der neue Prozess ausgeführt wurde. |
| TargetUser | Zeichenfolge | Der Benutzerkontobezeichner, der den neuen Prozess generiert hat. |
| TargetUserName | Zeichenfolge | Der Name des Benutzerkontos, das den neuen Prozess generiert hat. |
| TargetUserSid | Zeichenfolge | Die Sicherheits-ID (SID), die dem Benutzer oder der Ressource zugeordnet ist, der bzw. die an dem Ereignis beteiligt ist. |
| Aufgabe | INT | Die im -Ereignis definierte Aufgabe. |
| TemplateContent | Zeichenfolge | Der Inhalt der Ereignisnachricht oder Benachrichtigung in strukturierter Form. |
| TemplateDSObjectFQDN | Zeichenfolge | FQDN des DS-Objekts, das die GPO-Vorlage darstellt. |
| TemplateInternalName | Zeichenfolge | Der interne Name der Gruppenrichtlinienobjektvorlage. |
| TemplateOID | Zeichenfolge | der eindeutige Bezeichner für die Vorlage, die zum Erstellen des Ereignisses verwendet wurde. |
| TemplateSchemaVersion | Zeichenfolge | Version des Vorlagenschemas, das die Daten definiert, die in ein Ereignis eingeschlossen werden sollen. |
| TemplateVersion | Zeichenfolge | Version der Vorlage, die die Daten definiert, die in ein Ereignis eingeschlossen werden sollen. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitstempel, zu dem das Ereignis auf dem Computer generiert wurde. |
| TokenElevationType | Zeichenfolge | Typ des Tokens, der einem neuen Prozess gemäß der Richtlinie für die Benutzerkontensteuerung zugewiesen wurde. |
| Übertragene Dienste | Zeichenfolge | Die Liste der übertragenen Dienste. Übertragene Dienste werden aufgefüllt, wenn die Anmeldung das Ergebnis eines S4U-Anmeldeprozesses (Service For User) war. S4U ist eine Microsoft-Erweiterung des Kerberos-Protokolls, die es einem Anwendungsdienst ermöglicht, im Namen eines Benutzers ein Kerberos-Dienstticket zu erhalten– am häufigsten von einer Front-End-Website für den Zugriff auf eine interne Ressource im Namen eines Benutzers. Weitere Informationen zu S4U finden Sie unter https://msdn.microsoft.com/library/cc246072.aspx. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserAccountControl | Zeichenfolge | Zeigt die Liste der Änderungen im userAccountControl-Attribut an. Für jede Änderung wird eine Textzeile angezeigt. |
| UserParameters | Zeichenfolge | Wenn Sie eine Einstellung mithilfe von Active Directory-Benutzer und -Computer Verwaltungskonsole auf der Registerkarte Einwahl der Kontoeigenschaften des Benutzers ändern, wird <der Wert geändert, aber in diesem Feld nicht angezeigt>. Für lokale Konten ist dieses Feld nicht zutreffend und weist <immer wert keinen festgelegten Wert auf> . |
| UserPrincipalName | Zeichenfolge | Anmeldename im Internetformat für das Konto basierend auf dem Internetstandard RFC 822. Gemäß Konvention sollte dies dem E-Mail-Namen des Kontos zugeordnet werden. |
| UserWorkstations | Zeichenfolge | Enthält die Liste der NetBIOS- oder DNS-Namen der Computer, von denen sich der Benutzer anmelden kann. Jeder Computername ist durch ein Komma getrennt. Der Name eines Computers ist die sAMAccountName-Eigenschaft eines Computerobjekts. |
| VendorIds | Zeichenfolge | "Hardware-IDs"-Attribut des Geräts. Um Geräteeigenschaften anzuzeigen, starten Sie Geräte-Manager, öffnen Sie bestimmte Geräteeigenschaften, und klicken Sie auf "Details". |
| VirtualAccount | Zeichenfolge | Ein Flag "Ja" oder "Nein", das angibt, ob es sich bei dem Konto um ein virtuelles Konto handelt (z. B. "Verwaltetes Dienstkonto"), das in Windows 7 und Windows Server 2008 R2 eingeführt wurde, um die Möglichkeit zu bieten, das Konto zu identifizieren, das ein bestimmter Dienst verwendet, anstatt nur "NetworkService" zu verwenden. |
| Arbeitsstation | Zeichenfolge | Der Name des Computers, der zum Ausführen des Ereignisses verwendet wurde. |
| WorkstationName | Zeichenfolge | Computername, von dem aus ein Anmeldeversuch ausgeführt wurde. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für