DeviceLogonEventsDeviceLogonEvents

Viktigt

Välkommen till Microsoft 365 Defender, det nya namnet på Microsoft Threat Protection.Welcome to Microsoft 365 Defender, the new name for Microsoft Threat Protection. Läs mer om detta och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future

Gäller för:Applies to:

  • Microsoft HotskyddMicrosoft Threat Protection

DeviceLogonEventsTabellen i det avancerade jakt -schemat innehåller information om användar inloggningar och andra autentiseringsreferenser på enheter.The DeviceLogonEvents table in the advanced hunting schema contains information about user logons and other authentication events on devices. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.Use this reference to construct queries that return information from this table.

Tips

Detaljerad information om de händelse typer ( ActionType värden) som stöds av en tabell finns i den inbyggda schema referensen i säkerhets Center.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Information om andra tabeller i det avancerade jakt schema finns i referens för avancerad jakt.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

KolumnnamnColumn name DatatypData type BeskrivningDescription
Timestamp datetimedatetime Datum och tid när händelsen registreradesDate and time when the event was recorded
DeviceId strängvärdetstring Unik identifierare för datorn i tjänstenUnique identifier for the machine in the service
DeviceName strängvärdetstring Det fullständigt kvalificerade domän namnet (FQDN) för datornFully qualified domain name (FQDN) of the machine
ActionType strängvärdetstring Typ av aktivitet som utlöste händelsenType of activity that triggered the event
AccountDomain strängvärdetstring Kontots domänDomain of the account
AccountName strängvärdetstring Kontots användar namnUser name of the account
AccountSid strängvärdetstring Kontots säkerhets identifierare (SID)Security Identifier (SID) of the account
LogonType strängvärdetstring Typ av inloggningssession, särskilt:Type of logon session, specifically:

- Interaktivt -användaren interagerar med datorn med det lokala tangent bordet och skärmen- Interactive - User physically interacts with the machine using the local keyboard and screen

- Interaktivt (RDP) inloggningar – användaren interagerar med datorn via fjärr skrivbord, Terminal Services, Fjärrhjälp eller andra RDP-klienter- Remote interactive (RDP) logons - User interacts with the machine remotely using Remote Desktop, Terminal Services, Remote Assistance, or other RDP clients

- En nätverks session initieras när datorn nås med PsExec eller när delade resurser på datorn, till exempel skrivare och delade mappar, används- Network - Session initiated when the machine is accessed using PsExec or when shared resources on the machine, such as printers and shared folders, are accessed

- Batch Gruppsession initierad av schemalagda aktiviteter- Batch - Session initiated by scheduled tasks

- Tjänst -session initierad av tjänster allteftersom de startas- Service - Session initiated by services as they start
LogonId strängvärdetstring Identifierare för en inloggningssession.Identifier for a logon session. Detta ID är endast unikt på samma dator mellan omstarterThis identifier is unique on the same machine only between restarts
RemoteDeviceName strängvärdetstring Namnet på den dator som utförde en fjärråtgärd på den påverkade datorn.Name of the machine that performed a remote operation on the affected machine. Beroende på vilken händelse som rapporteras kan detta namn vara ett fullkvalificerat domän namn (FQDN), ett NetBIOS-namn eller ett värdnamn utan domän informationDepending on the event being reported, this name could be a fully-qualified domain name (FQDN), a NetBIOS name or a host name without domain information
RemoteIP strängvärdetstring IP-adress som var ansluten tillIP address that was being connected to
RemoteIPType strängvärdetstring Typ av IP-adress, till exempel offentlig, privat, reserverad, loopback, Teredo, FourToSixMapping och broadcastType of IP address, for example Public, Private, Reserved, Loopback, Teredo, FourToSixMapping, and Broadcast
RemotePort signeraint TCP-port på fjär renheten som du anslöt tillTCP port on the remote device that was being connected to
AdditionalFields strängvärdetstring Ytterligare information om händelsen i JSON-mat ris formatAdditional information about the event in JSON array format
InitiatingProcessAccountDomain strängvärdetstring Domän för det konto som körde processen som är ansvarig för händelsenDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName strängvärdetstring Användar namn för det konto som körde processen som är ansvarig för händelsenUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid strängvärdetstring Säkerhets identifierare (SID) för det konto som körde processen som är ansvarig för händelsenSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessIntegrityLevel strängvärdetstring Integritets nivå för den process som initierade händelsen.Integrity level of the process that initiated the event. Windows tilldelar integritets nivåer för processer baserat på vissa egenskaper, till exempel om de startades från en nedladdning via Internet.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Dessa integritets nivåer påverkar behörigheter för resurserThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation strängvärdetstring Tokentyp som anger närvaron av en behörighets höjning (User Access Control) som tillämpas på processen som initierade händelsenToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessSHA1 strängvärdetstring SHA-1 av processen (bildfil) som initierade händelsenSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 strängvärdetstring SHA-256 av processen (bildfil) som initierade händelsen.SHA-256 of the process (image file) that initiated the event. Det här fältet är oftast inte ifyllt – Använd SHA1-kolumnen när det är tillgängligtThis field is usually not populated—use the SHA1 column when available
InitiatingProcessMD5 strängvärdetstring MD5-hash för processen (bildfil) som initierade händelsenMD5 hash of the process (image file) that initiated the event
InitiatingProcessFileName strängvärdetstring Namn på processen som initierade händelsenName of the process that initiated the event
InitiatingProcessId signeraint Process-ID (PID) för processen som initierade händelsenProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine strängvärdetstring Kommando rad som används för att köra processen som initierade händelsenCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Datum och tid när processen som initierade händelsen startadeDate and time when the process that initiated the event was started
InitiatingProcessFolderPath strängvärdetstring Mapp som innehåller processen (bildfil) som initierade händelsenFolder containing the process (image file) that initiated the event
InitiatingProcessParentId signeraint Process-ID (PID) för den överordnade processen som skapade processen för händelsenProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName strängvärdetstring Namnet på den överordnade process som skapade processen som är ansvarig för händelsenName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Datum och tid då den överordnade för processen som är ansvarig för händelsen startadeDate and time when the parent of the process responsible for the event was started
ReportId tidslong Händelse identifierare baserad på en upprepande räknare.Event identifier based on a repeating counter. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna enhets namn och tidsstämpelTo identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns
AppGuardContainerId strängvärdetstring Identifierare för den virtualiserade behållare som används av Application Guard för att isolera webbläsarenIdentifier for the virtualized container used by Application Guard to isolate browser activity
IsLocalAdmin returtypboolean Boolesk indikator för om användaren är lokal administratör på datornBoolean indicator of whether the user is a local administrator on the machine