SecurityEvent
Eventos de segurança recolhidos de computadores windows por Centro de Segurança do Azure ou Azure Sentinel.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Security, SecurityInsights |
| Registo básico | No |
| Transformação em tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AccessMask | string | Máscara hexadecimal para a operação pedida ou executada. |
| Conta | string | O Contexto de segurança para serviços ou utilizadores. |
| AccountDomain | string | Nome de domínio ou computador do requerente. |
| AccountExpires | string | A data em que a conta expira. |
| AccountName | string | O nome da conta que pediu a operação "remover confiança do domínio". |
| AccountSessionIdentifier | string | Um identificador exclusivo que é gerado pelo computador quando a sessão é criada. |
| AccountType | string | Identifica se a conta é uma conta de computador (computador) ou de um utilizador. |
| Atividade | string | O título descritivo do evento ocorreu. |
| AdditionalInfo | string | Informações adicionais fornecidas pela origem, que não são mapeadas para outros campos, representadas por lista. |
| AdditionalInfo2 | string | Informações adicionais fornecidas pela origem, que não são mapeadas para outros campos, representadas por lista. |
| AllowedToDelegateTo | string | A lista de SPNs aos quais esta conta pode apresentar credenciais delegadas. |
| Atributos | string | Informações adicionais sobre o evento. |
| AuditPolicyChanges | string | Eventos gerados quando são efetuadas alterações à política de auditoria do sistema ou definições de auditoria num ficheiro ou chave de registo. |
| AuditsDiscarded | int | Número de mensagens de auditoria que foram eliminadas. |
| AuthenticationLevel | int | Número de mensagens de auditoria que foram eliminadas. |
| AuthenticationPackageName | string | o nome do Pacote de Autenticação carregado. O formato é: DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | A identidade do fornecedor responsável pelo processo de autenticação (pode incluir uma autoridade de certificação, um nome de utilizador, um sistema de autenticação de palavra-passe, etc.). |
| AuthenticationServer | string | O servidor no qual localizou o fornecedor de autenticação. |
| AuthenticationService | int | O serviço no qual localizou o fornecedor de autenticação. |
| AuthenticationType | string | o tipo de autenticação que foi utilizado para o evento (autenticação de dois fatores, autenticação biométrica, etc.). |
| AzureDeploymentID | string | ID de implementação do Azure do serviço cloud ao qual o registo pertence. |
| _BilledSize | real | O tamanho do registo em bytes |
| CACertificateHash | string | O valor hash do certificado (AC) da autoridade de certificação que foi utilizado para autenticar o utilizador que realizou o evento. |
| CalledStationID | string | Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança. |
| CallerProcessId | string | ID do Processo Hexadecimal do processo que tentou iniciar sessão. O ID do Processo (PID) é um número utilizado pelo sistema operativo para identificar exclusivamente um processo ativo. |
| CallerProcessName | string | Caminho completo e o nome do executável para o processo. |
| CallingStationID | string | Informações sobre o ID da estação que iniciou a ação que levou ao evento de segurança. |
| CAPublicKeyHash | string | Valor hash que identifica a chave pública de uma autoridade de certificação (AC) que emitiu um certificado. |
| CategoryId | string | A categoria do evento de segurança que ocorreu (tentativa de início de sessão, violação de dados, etc.). |
| CertificateDatabaseHash | string | Valor hash que identifica a base de dados que emitiu um certificado. |
| Canal | string | O canal para o qual o evento foi registado. |
| ClassId | string | Atributo "Guid de Classe" do dispositivo. |
| ClassName | string | Atributo "Classe" do dispositivo. |
| ClientAddress | string | Endereço IP do computador a partir do qual o pedido TGT foi recebido. |
| ClientIPAddress | string | Endereço IP do computador que iniciou a ação que levou ao evento. |
| ClientName | string | nome do computador a partir do qual o utilizador foi novamente ligado. Tem um valor "Desconhecido" para a sessão da consola. |
| Linha de Comandos | string | Os argumentos da linha de comandos que foram transmitidos para uma aplicação ou processo envolvido no evento. |
| CompatibleIds | string | Atributo "Ids compatíveis" do dispositivo. Para ver as propriedades do dispositivo, inicie Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes": |
| Computador | string | O nome do computador no qual ocorreu o evento. |
| DCDNSName | string | O nome DNS do controlador de domínio que esteve envolvido no evento. |
| DeviceDescription | string | a descrição do dispositivo que esteve envolvido no evento. |
| DeviceId | string | O identificador exclusivo do dispositivo que esteve envolvido no evento. |
| DisplayName | string | É um nome, apresentado no livro de endereços de uma conta específica. Normalmente, esta é a combinação do nome próprio, da inicial do meio e do apelido do utilizador. |
| Eliminação | string | O resultado do evento/resolução, como se o evento foi resolvido ou se foi tomada alguma ação em resposta ao evento. |
| DomainBehaviorVersion | string | O atributo de domínio msDS-Behavior-Version foi modificado. Valor numérico. |
| DomainName | string | O nome do domínio fidedigno removido. |
| DomainPolicyChanged | string | Indica se alguma política de domínio foi alterada como parte do evento (políticas de palavra-passe, políticas de segurança, etc.). |
| DomainSid | string | SID do parceiro de confiança. Este parâmetro pode não ser capturado no evento e, nesse caso, aparece como "SID NULL". |
| EAPType | string | O tipo de Protocolo de Autenticação Extensível (EAP) que foi utilizado para o processo de autenticação de eventos. |
| ElevatedToken | string | Um sinalizador "Sim" ou "Não". Se "Sim", a sessão que este evento representa é elevada e tem privilégios de administrador. |
| CódigoDoErro | int | Contém o código de erro para eventos de Falha. Para eventos de êxito, este parâmetro tem o valor "0x0". |
| EventData | string | Dados específicos do evento associados ao evento. |
| ID do Evento | int | O identificador que o fornecedor utilizou para identificar o evento. |
| EventSourceName | string | O nome do software que regista o evento (applicationor um succomponent). |
| ExtendedQuarantineState | string | O estado do processo de quarentena de rede, se aplicável. A quarentena de rede é um processo pelo qual os dispositivos não autorizados são impedidos de aceder a uma rede até cumprirem determinados requisitos de segurança ou terem sido verificados quanto a software maligno. |
| FailureReason | string | Explicação textual do valor do campo Estado. Para este evento, normalmente tem o valor "Conta bloqueada". |
| FileHash | string | O valor hash para quaisquer ficheiros que tenham sido acedidos ou modificados como parte do evento ou quaisquer ficheiros que tenham sido utilizados no processo de autenticação ou autorização. |
| FilePath | string | Caminho completo e nome de ficheiro do ficheiro de chave no qual a operação foi executada. |
| FilePathNoUser | string | O caminho de quaisquer ficheiros relacionados com o evento, excluindo o nome de utilizador ou outras informações específicas do utilizador. |
| Filtro | string | Filtros que são utilizados no evento realizado. |
| ForceLogoff | string | "\Definições de Segurança\Políticas Locais\Opções de Segurança\Segurança de rede: forçar o início de sessão quando as horas de início de sessão expirarem" política de grupo. |
| Fqbn | string | O nome binário completamente qualificado (FQBN) para quaisquer ficheiros relacionados com o evento. |
| FullyQualifiedSubjectMachineName | string | O nome de domínio completamente qualificado (FQDN) do computador que iniciou o evento. |
| FullyQualifiedSubjectUserName | string | O nome de utilizador do utilizador ou serviço que iniciou o evento no formato FQDN. |
| GroupMembership | string | A lista de SIDs de grupo aos quais a conta registada pertence (membro de). Visualizador de Eventos tenta resolver automaticamente SIDs e mostrar o nome da conta. Se não for possível resolver o SID, verá os dados de origem no evento. |
| HandleId | string | Valor hexadecimal de uma alça para Nome do Objeto. Este campo pode ser utilizado para correlação com outros eventos. |
| HardwareIds | string | Atributo "IDs de hardware" do dispositivo. Para ver as propriedades do dispositivo, inicie Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes": |
| HomeDirectory | string | Diretório principal do utilizador. Se o atributo homeDrive estiver definido e especificar uma letra de unidade, homeDirectory deverá ser um caminho UNC. O caminho tem de ser uma UNC de rede do formulário \Server\Share\Directory. |
| HomePath | string | O caminho principal do utilizador. O caminho tem de ser uma UNC de rede do formulário \Server\Share\Directory. |
| InterfaceUuid | string | O identificador exclusivo (UUID) da interface de rede que foi utilizada para o evento. |
| IpAddress | string | o endereço de rede (normalmente IPv4 ou IPv6) associado ao evento. |
| IpPort | string | O número da porta de rede associado ao evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| KeyLength | int | O comprimento da chave de Segurança de Sessão NTLM. Normalmente, tem 128 bits ou 56 bits de comprimento. |
| Level | string | O Windows categoriza todos os eventos com um nível de gravidade. Os níveis por ordem de gravidade são informações, verbosos, avisos, erros e críticos expressos em números. |
| LmPackageName | string | O nome do pacote ou componente de software que está atualmente a utilizar a Autoridade de Segurança Local (LSA) no computador onde o evento está a ser gerado. |
| LocationInformation | string | Atributo "Informações de localização" do dispositivo. Para ver as propriedades do dispositivo, inicie Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes": |
| LockoutDuration | string | Política de grupo "\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Duração do bloqueio da conta". Valor numérico. |
| LockoutObservationWindow | string | "\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Repor contador de bloqueio de conta após" política de grupo. Valor numérico. |
| LockoutThreshold | string | Política de grupo "\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta\Limiar de bloqueio de conta". Valor numérico. |
| LoggingResult | string | O resultado do processo de início de sessão. |
| LogonGuid | string | Um GUID que pode ajudá-lo a correlacionar este evento com outro evento que pode conter o mesmo GUID de Início de Sessão. |
| LogonHours | string | Horas em que a conta tem permissão para iniciar sessão no domínio. |
| Início de SessãoID | string | Valor hexadecimal que pode ajudá-lo a correlacionar este evento com eventos recentes que podem conter o mesmo ID de Início de Sessão. |
| LogonProcessName | string | O nome do processo de início de sessão registado. |
| LogonType | int | O tipo de início de sessão que foi executado. |
| LogonTypeName | string | O tipo de evento de início de sessão ou autenticação que está a ser capturado pelo registo de eventos (valores comuns:Interativo, Rede, RemoteInteractive, Desbloquear). |
| MachineAccountQuota | string | o atributo de domínio ms-DS-MachineAccountQuota foi modificado. Valor numérico. |
| MachineInventory | string | Informações sobre a configuração de hardware e o ambiente de software do computador onde o evento está a ser gerado. Pode incluir diferentes pontos de dados, por exemplo: a criação e o modelo do computador, a quantidade de RAM ou espaço de armazenamento disponível, os números de versão de várias aplicações de software, etc. |
| MachineLogon | string | Informações sobre um evento de início de sessão bem-sucedido no computador. |
| ManagementGroupName | string | Informações adicionais baseadas no tipo de recurso. |
| MandatoryLabel | string | ID da etiqueta de integridade que foi atribuída ao novo processo. |
| MaxPasswordAge | string | O período de tempo (em dias) em que uma palavra-passe pode ser utilizada antes de o sistema exigir que o utilizador a altere. |
| MemberName | string | A conta de utilizador que esteve envolvida no evento. |
| MemberSid | string | O identificador de segurança (SID) associado à conta de utilizador que esteve envolvida no evento. |
| MinPasswordAge | string | O período de tempo (em dias) em que uma palavra-passe tem de ser utilizada antes de o sistema exigir que o utilizador a altere. |
| MinPasswordLength | string | O menor número de carateres que podem compor uma palavra-passe para uma conta de utilizador. |
| MixedDomainMode | string | O modo de domínio de um sistema ou controlador de domínio. |
| NASIdentifier | string | O identificador do servidor de acesso à rede (NAS) que esteve envolvido no evento. |
| NASIPv4Address | string | O IPv4Address do servidor de acesso à rede (NAS) que esteve envolvido no evento, se aplicável. |
| NASIPv6Address | string | O IPv6Address do servidor de acesso de rede (NAS) que esteve envolvido no evento, se aplicável. |
| NASPort | string | a porta no servidor de acesso de rede que foi utilizada no evento. |
| NASPortType | string | o tipo de servidor de acesso à rede (NAS) utilizado no evento. |
| NetworkPolicyName | string | O nome da política de rede associada ao evento. |
| NewDate | string | Nova data no fuso horário UTC. O formato é YYYY-MM-DD. |
| NewMaxUsers | string | O novo número máximo de utilizadores permitido para um recurso no evento. |
| NewProcessId | string | ID do Processo Hexadecimal do novo processo. O ID do Processo (PID) é um número utilizado pelo sistema operativo para identificar exclusivamente um processo ativo. |
| NewProcessName | string | Caminho completo e o nome do executável para o novo processo. |
| NewRemark | string | O novo valor do campo "Comentários:" da partilha de rede. Tem o valor "N/D" se não estiver definido. |
| NewShareFlags | string | Os sinalizadores de partilha associados a um recurso no evento, por exemplo: informações sobre se o recurso é só de leitura ou leitura/escrita, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| NewTime | string | Nova hora definida no fuso horário UTC. O formato é YYYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | string | Especifica sinalizadores que controlam a palavra-passe, o bloqueio, a desativação/ativação, o script e outro comportamento para a conta de utilizador. |
| NewValue | string | Novo valor para o valor da chave de registo alterada. |
| NewValueType | string | Novo tipo de valor de chave de registo alterado. |
| ObjectName | string | Nome e outras informações de identificação para o objeto para o qual foi pedido acesso. Por exemplo, para um ficheiro, o caminho seria incluído. |
| ObjectServer | string | Contém o nome do subsistema do Windows que chama a rotina. |
| ObjectType | string | O tipo de objeto que foi acedido durante a operação. |
| ObjectValueName | string | O nome do valor da chave de registo modificada. |
| OemInformation | string | O fabricante de equipamento original (OEM) associado a um dispositivo ou sistema no evento. |
| OldMaxUsers | string | O número máximo de utilizadores anterior permitido para um recurso no evento. |
| OldRemark | string | o valor antigo do campo "Comentários:" da partilha de rede. Tem o valor "N/D" se não estiver definido. |
| OldShareFlags | string | Os sinalizadores de partilha anteriores associados a um recurso no evento, por exemplo: informações sobre se o recurso é só de leitura ou leitura/escrita, se está oculto e outros parâmetros que podem afetar o acesso e as permissões. |
| OldUacValue | string | Especifica sinalizadores que controlam a palavra-passe, o bloqueio, a desativação/ativação, o script e outro comportamento para a conta de utilizador. Este parâmetro contém o valor anterior do atributo userAccountControl do objeto de utilizador. |
| OldValue | string | Valor antigo para o valor da chave de registo alterada. |
| OldValueType | string | Tipo antigo de valor de chave de registo alterado. |
| Tipo de Operação | string | O tipo de operação que foi efetuada num objeto |
| PackageName | string | O nome do sub-pacote do Lan Manager (nome do protocolo NTLM-family) que foi utilizado durante o início de sessão. |
| ParentProcessName | string | O nome do processo principal associado ao evento. |
| PasswordHistoryLength | string | \Definições de Segurança\Políticas de Conta\Política de Palavra-passe\Impor histórico de palavras-passe" política de grupo. Valor numérico. |
| PasswordLastSet | string | Da última vez que a palavra-passe da conta foi modificada. |
| PasswordProperties | string | As políticas ou propriedades de palavra-passe associadas ao evento, por exemplo: comprimento da palavra-passe, complexidade e data de expiração. |
| Data Anterior | string | A data anterior associada ao evento. |
| PreviousTime | string | Hora anterior no fuso horário UTC. O formato é YYYYY-MM-DDThh:mm:ss.nnnnnnnZ. |
| PrimaryGroupId | string | Identificador Relativo (RID) do grupo primário de objetos do utilizador. |
| PrivateKeyUsageCount | string | O número de vezes que uma chave privada foi utilizada. |
| PrivilegeList | string | Os privilégios, incluindo privilégios de utilizador, grupo ou sistema associados ao evento. |
| Processo | string | O nome do processo que gera o evento. |
| ProcessId | string | Identifica o processo que gerou o evento. |
| ProcessName | string | Caminho completo e o nome do executável para o processo. |
| ProfilePath | string | Especifica um caminho para o perfil da conta. Este valor pode ser uma cadeia nula, um caminho absoluto local ou um caminho UNC. |
| Propriedades | string | Depende do Tipo de Objeto. Este campo pode estar vazio ou conter a lista das propriedades do objeto que foram acedidas. |
| ProtocolSequence | string | Informações sobre o protocolo utilizado para uma tentativa de autenticação. |
| ProxyPolicyName | string | Nome da política que foi utilizada para configurar o servidor proxy para ligar à rede. |
| QuarantineHelpURL | string | URL que fornece ajuda para resolver um problema de quarentena de rede. |
| QuarantineSessionID | string | Identificador da sessão em que o ficheiro foi avaliado para quarentena. |
| QuarantineSessionIdentifier | string | Identificador da sessão em que o ficheiro foi avaliado para quarentena. |
| QuarantineState | string | Mostra se o ficheiro está em quarentena. |
| QuarantineSystemHealthResult | string | Relatório que mostra o estado dos ficheiros que foram colocados em quarentena. |
| RelativeTargetName | string | Nome relativo do ficheiro ou pasta de destino acedido. Este caminho de ficheiro é relativo à partilha de rede. Se tiver sido pedido acesso para a partilha propriamente dita, este campo é apresentado como "\". |
| RemoteIpAddress | string | O endereço IP do computador que iniciou uma ligação remota. |
| RemotePort | string | O número de porta do computador remoto que iniciou uma ligação. |
| Autor do Pedido | string | O identificador do requerente do evento. |
| RequestId | string | Um identificador exclusivo associado a pedidos específicos, como os feitos através de HTTP. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| RestrictedAdminMode | string | Apenas preenchido para sessões de tipo de início de sessão RemoteInteractive. Este é um sinalizador Sim/Não que indica se as credenciais fornecidas foram transmitidas com o modo de Administração Restrito. O modo de Administração restrito foi adicionado no Win8.1/2012R2, mas este sinalizador foi adicionado ao evento no Win10. |
| LinhasDeletadas | string | O número de linhas que foram eliminadas como parte de uma determinada operação. |
| SamAccountName | string | nome de início de sessão da conta utilizada para suportar clientes e servidores de versões anteriores do Windows (nome de início de sessão anterior ao Windows 2000). |
| ScriptPath | string | Especifica o caminho do script de início de sessão da conta. |
| SecurityDescriptor | string | Informações sobre as definições de segurança e as permissões de um determinado objeto ou recurso. |
| ServiceAccount | string | O contexto de segurança que o serviço irá executar como quando iniciado. |
| ServiceFileName | string | Indica o tipo de serviço que foi registado no Service Control Manager. |
| ServiceName | string | O nome do serviço instalado. |
| ServiceStartType | int | Contém informações sobre como um determinado serviço deve ser iniciado, quer seja iniciado automaticamente ou manualmente. |
| ServiceType | string | Indica o tipo de serviço que foi registado no Service Control Manager. |
| SessionName | string | O nome da sessão à qual o utilizador foi novamente ligado. |
| ShareLocalPath | string | O caminho local da partilha de rede acedida. |
| ShareName | string | O nome da partilha de rede acedida. O formato é: \*\SHARE_NAME. |
| SidHistory | string | Contém SIDs anteriores utilizados para o objeto se o objeto tiver sido movido de outro domínio. |
| SourceComputerId | string | Identificador exclusivo atribuído a cada computador num domínio do Windows. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| Estado | string | O motivo pelo qual o início de sessão falhou. Para este evento, normalmente tem o valor "0xC0000234". Os códigos de estado mais comuns estão listados na Tabela 12. Códigos de estado de início de sessão do Windows. |
| StorageAccount | string | Define a chave de acesso da conta de armazenamento. |
| SubcategoryGuid | string | O GUID exclusivo da subcategoria alterada. |
| SubcategoryId | string | Um identificador exclusivo para um tipo específico do evento. |
| Assunto | string | Informações sobre o principal de segurança (por exemplo: conta de utilizador) que iniciou o evento. |
| SubjectAccount | string | Informações sobre a conta que está a iniciar o evento. |
| SubjectDomainName | string | Informações sobre o domínio ou grupo de trabalho ao qual pertence a conta de assunto. |
| SubjectKeyIdentifier | string | Um identificador exclusivo para um requerente de certificado específico. |
| SubjectLogonId | string | Um identificador exclusivo para a sessão de início de sessão associada à conta do requerente. |
| SubjectMachineName | string | Informações sobre o computador ou sistema a partir do qual o evento foi criado. |
| SubjectMachineSID | string | O identificador de segurança (SID) do computador que gerou o evento. |
| SubjectUserName | string | O nome da conta de utilizador que gerou o evento. |
| SubjectUserSid | string | O identificador de segurança (SID) da conta de utilizador que gerou o evento. |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| Subestado | string | Informações adicionais sobre a falha de início de sessão. Os códigos de subestado mais comuns listados em "Tabela 12. Códigos de estado de início de sessão do Windows". |
| TableId | string | O identificador de tabela de dados específico no qual os dados do evento são armazenados. |
| TargetAccount | string | A conta visada pelo evento (nome de utilizador, nome de computador, etc.). |
| TargetDomainName | string | O nome do domínio ao qual pertence a conta de destino. |
| TargetInfo | string | Informações adicionais sobre o destino do evento (por exemplo: o caminho para um ficheiro ou pasta, o nome de uma chave de registo, etc.). |
| TargetLinkedLogonId | string | Informações que ajudam a associar eventos relacionados através dos respetivos IDs de tentativa de início de sessão. Pode ser útil para manter todos os eventos relevantes organizados, controlar a atividade em várias sessões e identificar a origem de ataque. |
| TargetLogonGuid | string | Um identificador exclusivo global (GUID) associado à sessão de início de sessão relacionada com o evento. |
| TargetLogonId | string | Um identificador exclusivo associado à sessão de início de sessão relacionada com o evento. |
| TargetOutboundDomainName | string | O domínio em que a conta especificada no campo TargetAccount foi autenticado durante uma tentativa de autenticação de saída. |
| TargetOutboundUserName | string | O nome da conta de utilizador que foi autenticada durante uma tentativa de autenticação de saída. |
| NomeServidorAlvo | string | O nome do servidor no qual o novo processo foi executado. Tem o valor "localhost" se o processo tiver sido executado localmente. |
| TargetSid | string | O identificador de segurança (SID) do servidor no qual o novo processo foi executado. |
| TargetUser | string | O identificador da conta de utilizador que gerou o novo processo. |
| TargetUserName | string | O nome da conta de utilizador que gerou o novo processo. |
| TargetUserSid | string | O identificador de segurança (SID) associado ao utilizador ou recurso envolvido no evento. |
| Tarefa | int | A tarefa definida no evento. |
| TemplateContent | string | O conteúdo da mensagem ou notificação do evento num formulário estruturado. |
| TemplateDSObjectFQDN | string | FQDN do objeto DS que representa o modelo de GPO. |
| TemplateInternalName | string | O nome interno do modelo de GPO. |
| TemplateOID | string | o identificador exclusivo do modelo que foi utilizado para criar o evento. |
| TemplateSchemaVersion | string | Versão do esquema de modelo que define os dados a incluir num evento. |
| TemplateVersion | string | Versão do modelo que define os dados a incluir num evento. |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | O carimbo de data/hora quando o evento foi gerado no computador. |
| TokenElevationType | string | Tipo de token que foi atribuído a um novo processo de acordo com a Política de Controlo de Conta de Utilizador. |
| Serviços Transmitidos | string | A lista de serviços transmitidos. Os serviços transmitidos são preenchidos se o início de sessão tiver sido resultado de um processo de início de sessão S4U (Serviço para Utilizador). A S4U é uma extensão da Microsoft para o Protocolo Kerberos para permitir que um serviço de aplicação obtenha um pedido de assistência Kerberos em nome de um utilizador – normalmente feito por um site de front-end para aceder a um recurso interno em nome de um utilizador. Para obter mais informações sobre a S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx. |
| Tipo | string | O nome da tabela |
| UserAccountControl | string | Mostra a lista de alterações no atributo userAccountControl. Verá uma linha de texto para cada alteração. |
| UserParameters | string | Se alterar qualquer definição com Utilizadores e Computadores do Active Directory consola de gestão no separador Acesso telefónico das propriedades da conta do utilizador, verá <o valor alterado, mas não será apresentado> neste campo. Para contas locais, este campo não é aplicável e tem <sempre valor não definido> . |
| UserPrincipalName | string | Nome de início de sessão em estilo Internet para a conta, com base no RFC 822 padrão da Internet. Por convenção, isto deve mapear para o nome de e-mail da conta. |
| UserWorkstations | string | Contém a lista de nomes NetBIOS ou DNS dos computadores a partir dos quais o utilizador pode iniciar sessão. Cada nome do computador é separado por uma vírgula. O nome de um computador é a propriedade sAMAccountName de um objeto de computador. |
| VendorIds | string | Atributo "IDs de hardware" do dispositivo. Para ver as propriedades do dispositivo, comece Gestor de Dispositivos, abra propriedades específicas do dispositivo e clique em "Detalhes". |
| VirtualAccount | string | Um sinalizador "Sim" ou "Não", que indica se a conta é uma conta virtual (por exemplo, "Conta de Serviço Gerida"), que foi introduzida no Windows 7 e no Windows Server 2008 R2 para fornecer a capacidade de identificar a conta que um determinado Serviço utiliza, em vez de utilizar apenas "NetworkService". |
| Estação de trabalho | string | O nome da máquina que foi utilizada para efetuar o evento. |
| WorkstationName | string | Nome do computador a partir do qual foi efetuada uma tentativa de início de sessão. |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários