SecurityEvent
Eventos de segurança recolhidos de computadores windows por Centro de Segurança do Azure ou Azure Sentinel.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Categorias | Segurança |
Soluções | Security, SecurityInsights |
Registo básico | No |
Transformação em tempo de ingestão | Yes |
Consultas de Exemplo | Sim |
Colunas
Coluna | Tipo | Description |
---|---|---|
AccessMask | string | Máscara hexadecimal para a operação pedida ou executada. |
Conta | string | O Contexto de segurança para serviços ou utilizadores. |
AccountDomain | string | Nome de domínio ou computador do requerente. |
AccountExpires | string | A data em que a conta expira. |
AccountName | string | O nome da conta que pediu a operação "remover confiança do domínio". |
AccountSessionIdentifier | string | Um identificador exclusivo que é gerado pelo computador quando a sessão é criada. |
AccountType | string | Identifica se a conta é uma conta de computador (computador) ou de um utilizador. |
Atividade | string | O título descritivo do evento ocorreu. |
AdditionalInfo | string | Informações adicionais fornecidas pela origem, que não são mapeadas para outros campos, representadas por lista. |
AdditionalInfo2 | string | Informações adicionais fornecidas pela origem, que não são mapeadas para outros campos, representadas por lista. |
AllowedToDelegateTo | string | A lista de SPNs aos quais esta conta pode apresentar credenciais delegadas. |
Atributos | string | Informações adicionais sobre o evento. |
AuditPolicyChanges | string | Eventos gerados quando são efetuadas alterações à política de auditoria do sistema ou definições de auditoria num ficheiro ou chave de registo. |
AuditsDiscarded | int | Número de mensagens de auditoria que foram eliminadas. |
AuthenticationLevel | int | Número de mensagens de auditoria que foram eliminadas. |
AuthenticationPackageName | string | o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
AuthenticationProvider | string | A identidade do fornecedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de utilizador, um sistema de autenticação de palavra-passe, etc.). |
AuthenticationServer | string | O servidor no qual localizou o fornecedor de autenticação. |
AuthenticationService | int | O serviço no qual localizou o fornecedor de autenticação. |
AuthenticationType | string | o tipo de autenticação que foi utilizado para o evento (autenticação de dois fatores, autenticação biométrica, etc.). |
AzureDeploymentID | string | ID de implementação do Azure do serviço cloud ao qual o registo pertence. |
_BilledSize | real | O tamanho do registo em bytes |
CACertificateHash | string | O valor hash do certificado (AC) da autoridade de certificação que foi utilizado para autenticar o utilizador que realizou o evento. |
CalledStationID | string | Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança. |
CallerProcessId | string | ID do Processo Hexadecimal do processo que tentou iniciar sessão. O ID do Processo (PID) é um número utilizado pelo sistema operativo para identificar exclusivamente um processo ativo. |
CallerProcessName | string | Caminho completo e o nome do executável para o processo. |
CallingStationID | string | Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança. |
CAPublicKeyHash | string | Valor hash que identifica a chave pública de uma autoridade de certificação (AC) que emitiu um certificado. |
CategoryId | string | A categoria do evento de segurança que ocorreu (tentativa de início de sessão, violação de dados, etc.). |
CertificateDatabaseHash | string | Valor hash que identifica a base de dados que emitiu um certificado. |
Canal | string | O canal para o qual o evento foi registado. |
ClassId | string | Atributo "Guid de Classe" do dispositivo. |
ClassName | string | Atributo "Classe" do dispositivo. |
ClientAddress | string | Endereço IP do computador a partir do qual o pedido TGT foi recebido. |
ClientIPAddress | string | Endereço IP do computador que iniciou a ação que levou ao evento. |
ClientName | string | nome do computador a partir do qual o utilizador foi novamente ligado. Tem um valor "Desconhecido" para a sessão da consola. |
Linha de Comandos | string | Os argumentos da linha de comandos que foram transmitidos para uma aplicação ou processo envolvido no evento. |
CompatibleIds | string | Atributo "Ids compatíveis" do dispositivo. Para ver as propriedades do dispositivo, inicie Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes": |
Computador | string | O nome do computador no qual ocorreu o evento. |
DCDNSName | string | O nome DNS do controlador de domínio que esteve envolvido no evento. |
DeviceDescription | string | a descrição do dispositivo que esteve envolvido no evento. |
DeviceId | string | O identificador exclusivo do dispositivo que esteve envolvido no evento. |
DisplayName | string | É um nome, apresentado no livro de endereços de uma conta específica. Normalmente, esta é a combinação do nome próprio, da inicial do meio e do apelido do utilizador. |
Eliminação | string | O resultado do evento/resolução, como se o evento foi resolvido ou se foi tomada alguma ação em resposta ao evento. |
DomainBehaviorVersion | string | O atributo de domínio msDS-Behavior-Version foi modificado. Valor numérico. |
DomainName | string | O nome do domínio fidedigno removido. |
DomainPolicyChanged | string | Indica se alguma política de domínio foi alterada como parte do evento (políticas de palavra-passe, políticas de segurança, etc.). |
DomainSid | string | SID do parceiro de confiança. Este parâmetro pode não ser capturado no evento e, nesse caso, aparece como "SID NULL". |
EAPType | string | O tipo de Protocolo de Autenticação Extensível (EAP) que foi utilizado para o processo de autenticação de eventos. |
ElevatedToken | string | Um sinalizador "Sim" ou "Não". Se "Sim", a sessão que este evento representa é elevada e tem privilégios de administrador. |
CódigoDoErro | int | Contém o código de erro para eventos de Falha. Para eventos de êxito, este parâmetro tem o valor "0x0". |
EventData | string | Dados específicos do evento associados ao evento. |
ID do Evento | int | O identificador que o fornecedor utilizou para identificar o evento. |
EventSourceName | string | O nome do software que regista o evento (applicationor um succomponent). |
ExtendedQuarantineState | string | O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual os dispositivos não autorizados são impedidos de aceder a uma rede até cumprirem determinados requisitos de segurança ou terem sido verificados quanto a software maligno. |
FailureReason | string | Explicação textual do valor do campo Estado. Para este evento, normalmente tem o valor "Conta bloqueada". |
FileHash | string | O valor hash para quaisquer ficheiros que tenham sido acedidos ou modificados como parte do evento ou quaisquer ficheiros que tenham sido utilizados no processo de autenticação ou autorização. |
FilePath | string | Caminho completo e nome de ficheiro do ficheiro de chave no qual a operação foi executada. |
FilePathNoUser | string | O caminho de quaisquer ficheiros relacionados com o evento, excluindo o nome de utilizador ou outras informações específicas do utilizador. |
Filtro | string | Filtros que são utilizados no evento realizado. |
ForceLogoff | string | "\Definições de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: forçar o início de sessão quando as horas de início de sessão expirarem" política de grupo. |
Fqbn | string | O nome binário completamente qualificado (FQBN) para quaisquer ficheiros relacionados com o evento. |
FullyQualifiedSubjectMachineName | string | O nome de domínio completamente qualificado (FQDN) do computador que iniciou o evento. |
FullyQualifiedSubjectUserName | string | O nome de utilizador do utilizador ou serviço que iniciou o evento no formato FQDN. |
GroupMembership | string | A lista de SIDs de grupo aos quais a conta registada pertence (membro de). Visualizador de Eventos tenta resolver automaticamente SIDs e mostrar o nome da conta. Se não for possível resolver o SID, verá os dados de origem no evento. |
HandleId | string | Valor hexadecimal de uma alça para Nome do Objeto. Este campo pode ser utilizado para correlação com outros eventos. |
HardwareIds | string | Atributo "IDs de hardware" do dispositivo. Para ver as propriedades do dispositivo, inicie Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes": |
HomeDirectory | string | Diretório principal do utilizador. Se o atributo homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho tem de ser uma UNC de rede do formulário \Server\Share\Directory. |
HomePath | string | O caminho principal do utilizador. O caminho tem de ser uma UNC de rede do formulário \Server\Share\Directory. |
InterfaceUuid | string | O identificador exclusivo (UUID) da interface de rede que foi utilizada para o evento. |
IpAddress | string | o endereço de rede (normalmente IPv4 ou IPv6) associado ao evento. |
IpPort | string | O número da porta de rede associado ao evento. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
KeyLength | int | O comprimento da chave de Segurança de Sessão NTLM. Normalmente, tem 128 bits ou 56 bits de comprimento. |
Level | string | O Windows categoriza todos os eventos com um nível de gravidade. Os níveis por ordem de gravidade são informações, verbosos, avisos, erros e críticos expressos em números. |
LmPackageName | string | O nome do pacote ou componente de software que está atualmente a utilizar a Autoridade de Segurança Local (LSA) no computador onde o evento está a ser gerado. |
LocationInformation | string | Atributo "Informações de localização" do dispositivo. Para ver as propriedades do dispositivo, inicie Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes": |
LockoutDuration | string | Política de grupo "\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio da conta". Valor numérico. |
LockoutObservationWindow | string | "\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Repor contador de bloqueio de conta após" política de grupo. Valor numérico. |
LockoutThreshold | string | Política de grupo "\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limiar de bloqueio de conta". Valor numérico. |
LoggingResult | string | O resultado do processo de início de sessão. |
LogonGuid | string | Um GUID que pode ajudá-lo a correlacionar este evento com outro evento que pode conter o mesmo GUID de Início de Sessão. |
LogonHours | string | Horas em que a conta tem permissão para iniciar sessão no domínio. |
Início de SessãoID | string | Valor hexadecimal que pode ajudá-lo a correlacionar este evento com eventos recentes que podem conter o mesmo ID de Início de Sessão. |
LogonProcessName | string | O nome do processo de início de sessão registado. |
LogonType | int | O tipo de início de sessão que foi executado. |
LogonTypeName | string | O tipo de evento de início de sessão ou autenticação que está a ser capturado pelo registo de eventos (valores comuns:Interativo, Rede, RemoteInteractive, Desbloquear). |
MachineAccountQuota | string | o atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico. |
MachineInventory | string | Informações sobre a configuração de hardware e o ambiente de software do computador onde o evento está a ser gerado. Pode incluir diferentes pontos de dados, por exemplo: a criação e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de várias aplicações de software, etc. |
MachineLogon | string | Informações sobre um evento de início de sessão bem-sucedido no computador. |
ManagementGroupName | string | Informações adicionais baseadas no tipo de recurso. |
MandatoryLabel | string | ID da etiqueta de integridade que foi atribuída ao novo processo. |
MaxPasswordAge | string | O período de tempo (em dias) em que uma palavra-passe pode ser utilizada antes de o sistema exigir que o utilizador a altere. |
MemberName | string | A conta de utilizador que esteve envolvida no evento. |
MemberSid | string | O identificador de segurança (SID) associado à conta de utilizador que esteve envolvida no evento. |
MinPasswordAge | string | O período de tempo (em dias) em que uma palavra-passe tem de ser utilizada antes de o sistema exigir que o utilizador a altere. |
MinPasswordLength | string | O menor número de carateres que podem compor uma palavra-passe para uma conta de utilizador. |
MixedDomainMode | string | O modo de domínio de um sistema ou controlador de domínio. |
NASIdentifier | string | O identificador do servidor de acesso à rede (NAS) que esteve envolvido no evento. |
NASIPv4Address | string | O IPv4Address do servidor de acesso à rede (NAS) que esteve envolvido no evento, se aplicável. |
NASIPv6Address | string | O IPv6Address do servidor de acesso de rede (NAS) que esteve envolvido no evento, se aplicável. |
NASPort | string | a porta no servidor de acesso de rede que foi utilizada no evento. |
NASPortType | string | o tipo de servidor de acesso à rede (NAS) utilizado no evento. |
NetworkPolicyName | string | O nome da política de rede associada ao evento. |
NewDate | string | Nova data no fuso horário UTC. O formato é YYYY-MM-DD. |
NewMaxUsers | string | O novo número máximo de utilizadores permitido para um recurso no evento. |
NewProcessId | string | ID do Processo Hexadecimal do novo processo. O ID do Processo (PID) é um número utilizado pelo sistema operativo para identificar exclusivamente um processo ativo. |
NewProcessName | string | Caminho completo e o nome do executável para o novo processo. |
NewRemark | string | O novo valor do campo "Comentários:" da partilha de rede. Tem o valor "N/D" se não estiver definido. |
NewShareFlags | string | Os sinalizadores de partilha associados a um recurso no evento, por exemplo: informações sobre se o recurso é só de leitura ou leitura/escrita, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
NewTime | string | Nova hora definida no fuso horário UTC. O formato é YYYYY-MM-DDThh:mm:ss.nnnnnnnZ |
NewUacValue | string | Especifica sinalizadores que controlam a palavra-passe, o bloqueio, a desativação/ativação, o script e outro comportamento para a conta de utilizador. |
NewValue | string | Novo valor para o valor da chave de registo alterada. |
NewValueType | string | Novo tipo de valor de chave de registo alterado. |
ObjectName | string | Nome e outras informações de identificação para o objeto para o qual foi pedido acesso. Por exemplo, para um ficheiro, o caminho seria incluído. |
ObjectServer | string | Contém o nome do subsistema do Windows que chama a rotina. |
ObjectType | string | O tipo de objeto que foi acedido durante a operação. |
ObjectValueName | string | O nome do valor da chave de registo modificada. |
OemInformation | string | O fabricante de equipamento original (OEM) associado a um dispositivo ou sistema no evento. |
OldMaxUsers | string | O número máximo de utilizadores anterior permitido para um recurso no evento. |
OldRemark | string | o valor antigo do campo "Comentários:" da partilha de rede. Tem o valor "N/D" se não estiver definido. |
OldShareFlags | string | Os sinalizadores de partilha anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é só de leitura ou leitura/escrita, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
OldUacValue | string | Especifica sinalizadores que controlam a palavra-passe, o bloqueio, a desativação/ativação, o script e outro comportamento para a conta de utilizador. Este parâmetro contém o valor anterior do atributo userAccountControl do objeto de utilizador. |
OldValue | string | Valor antigo para o valor da chave de registo alterada. |
OldValueType | string | Tipo antigo de valor de chave de registo alterado. |
Tipo de Operação | string | O tipo de operação que foi efetuada num objeto |
PackageName | string | O nome do sub-pacote do Lan Manager (nome do protocolo NTLM-family) que foi utilizado durante o início de sessão. |
ParentProcessName | string | O nome do processo principal associado ao evento. |
PasswordHistoryLength | string | \Definições de Segurança\Políticas de Conta\Política de Palavra-passe\Impor histórico de palavras-passe" política de grupo. Valor numérico. |
PasswordLastSet | string | Da última vez que a palavra-passe da conta foi modificada. |
PasswordProperties | string | As políticas ou propriedades de palavra-passe associadas ao evento, por exemplo: comprimento da palavra-passe, complexidade e data de expiração. |
Data Anterior | string | A data anterior associada ao evento. |
PreviousTime | string | Hora anterior no fuso horário UTC. O formato é YYYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
PrimaryGroupId | string | Identificador Relativo (RID) do grupo primário de objetos do utilizador. |
PrivateKeyUsageCount | string | O número de vezes que uma chave privada foi utilizada. |
PrivilegeList | string | Os privilégios, incluindo privilégios de utilizador, grupo ou sistema associados ao evento. |
Processo | string | O nome do processo que gera o evento. |
ProcessId | string | Identifica o processo que gerou o evento. |
ProcessName | string | Caminho completo e o nome do executável para o processo. |
ProfilePath | string | Especifica um caminho para o perfil da conta. Este valor pode ser uma cadeia nula, um caminho absoluto local ou um caminho UNC. |
Propriedades | string | Depende do Tipo de Objeto. Este campo pode estar vazio ou conter a lista das propriedades do objeto que foram acedidas. |
ProtocolSequence | string | Informações sobre o protocolo utilizado para uma tentativa de autenticação. |
ProxyPolicyName | string | Nome da política que foi utilizada para configurar o servidor proxy para ligar à rede. |
QuarantineHelpURL | string | URL que fornece ajuda para resolver um problema de quarentena de rede. |
QuarantineSessionID | string | Identificador da sessão em que o ficheiro foi avaliado para quarentena. |
QuarantineSessionIdentifier | string | Identificador da sessão em que o ficheiro foi avaliado para quarentena. |
QuarantineState | string | Mostra se o ficheiro está em quarentena. |
QuarantineSystemHealthResult | string | Relatório que mostra o estado dos ficheiros que foram colocados em quarentena. |
RelativeTargetName | string | Nome relativo do ficheiro ou pasta de destino acedido. Este caminho de ficheiro é relativo à partilha de rede. Se tiver sido pedido acesso para a partilha propriamente dita, este campo é apresentado como "\". |
RemoteIpAddress | string | O endereço IP do computador que iniciou uma ligação remota. |
RemotePort | string | O número de porta do computador remoto que iniciou uma ligação. |
Autor do Pedido | string | O identificador do requerente do evento. |
RequestId | string | Um identificador exclusivo associado a pedidos específicos, como os feitos através de HTTP. |
_ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
RestrictedAdminMode | string | Apenas preenchido para sessões de tipo de início de sessão RemoteInteractive. Este é um sinalizador Sim/Não que indica se as credenciais fornecidas foram transmitidas com o modo de Administração Restrito. O modo de Administração restrito foi adicionado no Win8.1/2012R2, mas este sinalizador foi adicionado ao evento no Win10. |
LinhasDeletadas | string | O número de linhas que foram eliminadas como parte de uma determinada operação. |
SamAccountName | string | nome de início de sessão da conta utilizada para suportar clientes e servidores de versões anteriores do Windows (nome de início de sessão anterior ao Windows 2000). |
ScriptPath | string | Especifica o caminho do script de início de sessão da conta. |
SecurityDescriptor | string | Informações sobre as definições de segurança e as permissões de um determinado objeto ou recurso. |
ServiceAccount | string | O contexto de segurança que o serviço irá executar como quando iniciado. |
ServiceFileName | string | Indica o tipo de serviço que foi registado no Service Control Manager. |
ServiceName | string | O nome do serviço instalado. |
ServiceStartType | int | Contém informações sobre como um determinado serviço deve ser iniciado, quer seja iniciado automaticamente ou manualmente. |
ServiceType | string | Indica o tipo de serviço que foi registado no Service Control Manager. |
SessionName | string | O nome da sessão à qual o utilizador foi novamente ligado. |
ShareLocalPath | string | O caminho local da partilha de rede acedida. |
ShareName | string | O nome da partilha de rede acedida. O formato é: \*\SHARE_NAME. |
SidHistory | string | Contém SIDs anteriores utilizados para o objeto se o objeto tiver sido movido de outro domínio. |
SourceComputerId | string | Identificador exclusivo atribuído a cada computador num domínio do Windows. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
Estado | string | O motivo pelo qual o início de sessão falhou. Para este evento, normalmente tem o valor "0xC0000234". Os códigos de estado mais comuns estão listados na Tabela 12. Códigos de estado de início de sessão do Windows. |
StorageAccount | string | Define a chave de acesso da conta de armazenamento. |
SubcategoryGuid | string | O GUID exclusivo da subcategoria alterada. |
SubcategoryId | string | Um identificador exclusivo para um tipo específico do evento. |
Assunto | string | Informações sobre o principal de segurança (por exemplo: conta de utilizador) que iniciou o evento. |
SubjectAccount | string | Informações sobre a conta que está a iniciar o evento. |
SubjectDomainName | string | Informações sobre o domínio ou grupo de trabalho ao qual pertence a conta de assunto. |
SubjectKeyIdentifier | string | Um identificador exclusivo para um requerente de certificado específico. |
SubjectLogonId | string | Um identificador exclusivo para a sessão de início de sessão associada à conta do requerente. |
SubjectMachineName | string | Informações sobre o computador ou sistema a partir do qual o evento foi criado. |
SubjectMachineSID | string | O identificador de segurança (SID) do computador que gerou o evento. |
SubjectUserName | string | O nome da conta de utilizador que gerou o evento. |
SubjectUserSid | string | O identificador de segurança (SID) da conta de utilizador que gerou o evento. |
_SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
Subestado | string | Informações adicionais sobre a falha de início de sessão. Os códigos de subestado mais comuns listados em "Tabela 12. Códigos de estado de início de sessão do Windows". |
TableId | string | O identificador de tabela de dados específico no qual os dados do evento são armazenados. |
TargetAccount | string | A conta visada pelo evento (nome de utilizador, nome de computador, etc.). |
TargetDomainName | string | O nome do domínio ao qual pertence a conta de destino. |
TargetInfo | string | Informações adicionais sobre o destino do evento (por exemplo: o caminho para um ficheiro ou pasta, o nome de uma chave de registo, etc.). |
TargetLinkedLogonId | string | Informações que ajudam a associar eventos relacionados através dos respetivos IDs de tentativa de início de sessão. Pode ser útil para manter todos os eventos relevantes organizados, controlar a atividade em várias sessões e identificar a origem de ataque. |
TargetLogonGuid | string | Um identificador exclusivo global (GUID) associado à sessão de início de sessão relacionada com o evento. |
TargetLogonId | string | Um identificador exclusivo associado à sessão de início de sessão relacionada com o evento. |
TargetOutboundDomainName | string | O domínio em que a conta especificada no campo TargetAccount foi autenticado durante uma tentativa de autenticação de saída. |
TargetOutboundUserName | string | O nome da conta de utilizador que foi autenticada durante uma tentativa de autenticação de saída. |
NomeServidorAlvo | string | O nome do servidor no qual o novo processo foi executado. Tem o valor "localhost" se o processo tiver sido executado localmente. |
TargetSid | string | O identificador de segurança (SID) do servidor no qual o novo processo foi executado. |
TargetUser | string | O identificador da conta de utilizador que gerou o novo processo. |
TargetUserName | string | O nome da conta de utilizador que gerou o novo processo. |
TargetUserSid | string | O identificador de segurança (SID) associado ao utilizador ou recurso envolvido no evento. |
Tarefa | int | A tarefa definida no evento. |
TemplateContent | string | O conteúdo da mensagem ou notificação do evento num formulário estruturado. |
TemplateDSObjectFQDN | string | FQDN do objeto DS que representa o modelo de GPO. |
TemplateInternalName | string | O nome interno do modelo de GPO. |
TemplateOID | string | o identificador exclusivo do modelo que foi utilizado para criar o evento. |
TemplateSchemaVersion | string | Versão do esquema de modelo que define os dados a incluir num evento. |
TemplateVersion | string | Versão do modelo que define os dados a incluir num evento. |
TenantId | string | O ID da área de trabalho do Log Analytics |
TimeGenerated | datetime | O carimbo de data/hora quando o evento foi gerado no computador. |
TokenElevationType | string | Tipo de token que foi atribuído a um novo processo de acordo com a Política de Controlo de Conta de Utilizador. |
Serviços Transmitidos | string | A lista de serviços transmitidos. Os serviços transmitidos são preenchidos se o início de sessão tiver sido resultado de um processo de início de sessão S4U (Serviço para Utilizador). A S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicação obtenha um pedido de assistência Kerberos em nome de um utilizador – normalmente feito por um site de front-end para aceder a um recurso interno em nome de um utilizador. Para obter mais informações sobre a S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx. |
Tipo | string | O nome da tabela |
UserAccountControl | string | Mostra a lista de alterações no atributo userAccountControl. Verá uma linha de texto para cada alteração. |
UserParameters | string | Se alterar qualquer definição com Utilizadores e Computadores do Active Directory consola de gestão no separador Acesso telefónico das propriedades da conta do utilizador, verá <o valor alterado, mas não será apresentado> neste campo. Para contas locais, este campo não é aplicável e tem <sempre valor não definido> . |
UserPrincipalName | string | Nome de início de sessão em estilo Internet para a conta, com base no RFC 822 padrão da Internet. Por convenção, isto deve mapear para o nome de e-mail da conta. |
UserWorkstations | string | Contém a lista de nomes NetBIOS ou DNS dos computadores a partir dos quais o utilizador pode iniciar sessão. Cada nome do computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador. |
VendorIds | string | Atributo "IDs de hardware" do dispositivo. Para ver as propriedades do dispositivo, comece Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes". |
VirtualAccount | string | Um sinalizador "Sim" ou "Não", que indica se a conta é uma conta virtual (por exemplo, "Conta de Serviço Gerida"), que foi introduzida no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço utiliza, em vez de utilizar apenas "NetworkService". |
Estação de trabalho | string | O nome da máquina que foi utilizada para efetuar o evento. |
WorkstationName | string | Nome do computador a partir do qual foi efetuada uma tentativa de início de sessão. |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários