Azure Security Center または Azure Sentinel によって Windows マシンから収集されたセキュリティ イベント。
テーブル属性
| 属性 | 価値 |
|---|---|
| リソースの種類 | microsoft.securityinsights/securityinsights、 microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines、 microsoft.azurestackhci/virtualmachines(Microsoft Azure Stack HCI仮想マシン) microsoft.scvmm/virtualmachines、 microsoft.compute/virtualmachinescalesets |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | Security、SecurityInsights |
| 基本的なログ | はい |
| インジェスト時の変換 | はい |
| サンプル クエリ | はい |
列
| 列 | タイプ | 説明 |
|---|---|---|
| アクセスマスク | ひも | 要求または実行された操作の 16 進数マスク。 |
| アカウント | ひも | サービスまたはユーザーのセキュリティ コンテキスト。 |
| アカウントドメイン | ひも | サブジェクトのドメインまたはコンピューター名。 |
| アカウント有効期限 | ひも | アカウントの有効期限が切れる日付。 |
| アカウント名 | ひも | "ドメイン信頼の削除" 操作を要求したアカウントの名前。 |
| アカウントセッション識別子 | ひも | セッションの作成時にマシンによって生成される一意の識別子。 |
| アカウントタイプ | ひも | アカウントがコンピューター アカウント (コンピューター) かユーザーかを識別します。 |
| アクティビティ | ひも | 発生したイベントのわかりやすいタイトル。 |
| 追加情報 | ひも | リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。 |
| 追加情報2 | ひも | リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。 |
| AllowedToDelegateTo | ひも | このアカウントが委任された資格情報を提示できる SPN の一覧。 |
| 属性 | ひも | イベントに関する追加情報。 |
| 監査ポリシーの変更 | ひも | ファイルまたはレジストリ キーのシステム監査ポリシーまたは監査設定に変更が加えられたときに生成されるイベント。 |
| AuditsDiscarded | 整数 (int) | 破棄された監査メッセージの数。 |
| 認証レベル | 整数 (int) | 破棄された監査メッセージの数。 |
| 認証パッケージ名 | ひも | 読み込まれた認証パッケージの名前。 形式は、DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAMEです。 |
| 認証プロバイダー | ひも | 認証プロセスを担当するプロバイダーの ID (証明機関、ユーザー名、パスワード認証システムなどを含めることができます)。 |
| 認証サーバー | ひも | 認証プロバイダーを配置したサーバー。 |
| AuthenticationService | 整数 (int) | 認証プロバイダーを配置したサービス。 |
| 認証タイプ | ひも | イベントに使用された認証の種類 (2 要素認証、生体認証など)。 |
| AzureDeploymentID | ひも | ログが属しているクラウド サービスの Azure デプロイ ID。 |
| _請求額サイズ | real | レコード サイズ (バイト単位) |
| CACertificateHash | ひも | イベントを実行したユーザーの認証に使用された証明機関 (CA) 証明書のハッシュ値。 |
| CalledStationID | ひも | セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。 |
| CallerProcessId (発信者プロセスID) | ひも | ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。 |
| 呼び出しプロセス名 | ひも | プロセスの完全パスと実行可能ファイルの名前。 |
| CallingStationID | ひも | セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。 |
| CAPublicKeyHash | ひも | 証明書を発行した証明機関 (CA) の公開キーを識別するハッシュ値。 |
| カテゴリID | ひも | 発生したセキュリティ イベントのカテゴリ (ログイン試行、データ侵害など)。 |
| 証明書データベースハッシュ | ひも | 証明書を発行したデータベースを識別するハッシュ値。 |
| チャンネル | ひも | イベントがログに記録されたチャネル。 |
| ClassId | ひも | デバイスの 'クラス GUID' 属性。 |
| クラス名 | ひも | デバイスの 'Class' 属性。 |
| クライアント住所 | ひも | TGT 要求の受信元のコンピューターの IP アドレス。 |
| ClientIPAddress | ひも | イベントの原因となったアクションを開始したコンピューターの IP アドレス。 |
| クライアント名 | ひも | ユーザーが再接続されたコンピューター名。 コンソールセッションに「不明」な値があります。 |
| コマンドライン | ひも | イベントに関係するアプリケーションまたはプロセスに渡されたコマンド ライン引数。 |
| CompatibleIds | ひも | デバイスの '互換 ID' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| コンピューター | ひも | イベントが発生したコンピューターの名前。 |
| 相関 | ひも | コンシューマーが関連イベントをグループ化するために使用できるアクティビティ識別子。 |
| DCDNSName | ひも | イベントに関係したドメイン コントローラーの DNS 名。 |
| デバイスの説明 | ひも | イベントに関係したデバイスの説明。 |
| デバイスID | ひも | イベントに関係したデバイスの一意識別子。 |
| 表示名 | ひも | これは、特定のアカウントのアドレス帳に表示される名前です。 これは通常、ユーザーの名、ミドルネームの頭文字、姓の組み合わせです。 |
| Disposition | ひも | イベントが解決されたかどうか、またはイベントに応答して何らかのアクションが実行されたかどうかなど、イベントの結果/解決。 |
| DomainBehaviorVersion | ひも | msDS-Behavior-Version ドメイン属性が変更されました。 数値。 |
| ドメイン名 | ひも | 削除された信頼されたドメインの名前。 |
| ドメインポリシーが変更されました | ひも | ドメイン ポリシーがイベント (パスワード ポリシー、セキュリティ ポリシーなど) の一部として変更されたかどうかを示します。 |
| DomainSid | ひも | 信頼できるパートナーの SID。 このパラメーターはイベントでキャプチャされない可能性があり、その場合は "NULL SID" と表示されます。 |
| EAPType | ひも | イベント認証プロセスに使用された拡張認証プロトコル (EAP) の種類。 |
| 昇格トークン | ひも | 'Yes' または 'No' フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者特権を持ちます。 |
| エラーコード | 整数 (int) | 失敗イベントのエラーコードが含まれています。 Success イベントの場合、このパラメーターには '0x0' 値があります。 |
| イベントデータ | ひも | イベントに関連付けられているイベント固有のデータ。 |
| EventID | 整数 (int) | プロバイダーがイベントの識別に使用した識別子。 |
| イベントレベル名 | ひも | イベントで指定されたレベルのレンダリングされたメッセージ文字列。 |
| EventRecordId | ひも | イベントがログに記録されたときに割り当てられたレコード番号。 |
| イベント ソース名 | ひも | イベントをログに記録するソフトウェアの名前 (アプリケーションまたはサブコンポーネント)。 |
| 延長された隔離状態 | ひも | ネットワーク検疫プロセスの状態 (該当する場合)。 ネットワーク検疫は、承認されていないデバイスが特定のセキュリティ要件を満たすか、マルウェアをチェックされるまで、ネットワークにアクセスできないようにするプロセスです。 |
| 失敗理由 | ひも | Status フィールド値のテキスト説明。 このイベントの場合、通常は "Account locked out" 値が設定されます。 |
| ファイルハッシュ | ひも | イベントの一部としてアクセスまたは変更されたファイル、または認証または承認プロセスで使用されたファイルのハッシュ値。 |
| FilePath | ひも | 操作が実行されたキー ファイルの完全なパスとファイル名。 |
| FilePathNoUser | ひも | ユーザー名やその他のユーザー固有の情報を除く、イベントに関連するファイルのパス。 |
| フィルター | ひも | 実行されたイベントで使用されるフィルター。 |
| 強制ログオフ | ひも | '\セキュリティ設定\ローカルポリシー\セキュリティオプション\ネットワークセキュリティ: ログオン時間が終了した時に強制ログオフ' グループポリシー。 |
| Fqbn | ひも | イベントに関連するすべてのファイルの完全修飾バイナリ名 (FQBN)。 |
| FullyQualifiedSubjectMachineName | ひも | イベントを開始したマシンの完全修飾ドメイン名 (FQDN)。 |
| FullyQualifiedSubjectUserName | ひも | FQDN 形式でイベントを開始したユーザーまたはサービスのユーザー名。 |
| グループメンバーシップ | ひも | ログに記録されたアカウントが属するグループ SID の一覧 (メンバー)。 イベント ビューアーは、SID の解決とアカウント名の表示を自動的に試行します。 SID を解決できない場合は、イベントにソース データが表示されます。 |
| HandleId | ひも | オブジェクト名へのハンドルの 16 進数の値。 このフィールドは、他のイベントとの相関関係に使用できます。 |
| HardwareIds | ひも | デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| ホームディレクトリ | ひも | ユーザーのホーム ディレクトリ。 homeDrive 属性が設定され、ドライブ文字を指定する場合、homeDirectory は UNC パスである必要があります。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。 |
| HomePath | ひも | ユーザーのホーム パス。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。 |
| InterfaceUuid | ひも | イベントで使用されたネットワークインターフェイスの一意の識別子 (UUID)。 |
| IPアドレス | ひも | イベントに関連付けられているネットワーク アドレス (通常は IPv4 または IPv6)。 |
| IpPort | ひも | イベントに関連付けられているネットワーク ポート番号。 |
| _IsBillable // 請求可能かどうかを示す | ひも | データ取り込みが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| 鍵の長さ | 整数 (int) | NTLM セッション セキュリティ キーの長さ。 通常、長さは 128 ビットまたは 56 ビットです。 |
| キーワード | ひも | イベントで定義されたキーワードのビットマスク。 |
| レベル | ひも | Windows では、すべてのイベントが重大度レベルで分類されます。 重大度の順のレベルは、情報、詳細、警告、エラー、および重要な数値で表されます。 |
| LmPackageName | ひも | イベントが生成されているコンピューターで現在ローカル セキュリティ機関 (LSA) を使用しているパッケージまたはソフトウェア コンポーネントの名前。 |
| 位置情報 | ひも | デバイスの "位置情報" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| ロックアウト期間 | ひも | '\Security Settings\Account Policies\アカウント ロックアウト ポリシー\アカウント ロックアウト期間' グループ ポリシー。 数値。 |
| LockoutObservationWindow | ひも | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' グループ ポリシー。 数値。 |
| ロックアウトしきい値 | ひも | '\セキュリティの設定\アカウント ポリシー\アカウント ロックアウトのポリシー\アカウントのロックアウトのしきい値' グループ ポリシー。 数値。 |
| LoggingResult | ひも | ログオン プロセスの結果。 |
| ログオンガイド (Logon Guid) | ひも | このイベントを、同じログオン GUID を含むことができる別のイベントと関連付けるのに役立つ GUID。 |
| ログオン時間 | ひも | アカウントがドメインへのログオンを許可されている時間。 |
| ログオンID | ひも | このイベントを、同じログオン ID を含む可能性がある最近のイベントと関連付けるのに役立つ 16 進値。 |
| ログオンプロセス名 | ひも | 登録済みログオン プロセスの名前。 |
| ログオン種類 | 整数 (int) | 実行されたログオンの種類。 |
| ログオンタイプ名 | ひも | イベント ログによってキャプチャされるログオンまたは認証イベントの種類 (共通値:Interactive、Network、RemoteInteractive、Unlock)。 |
| MachineAccountQuota | ひも | ms-DS-MachineAccountQuota ドメイン属性が変更されました。 数値。 |
| MachineInventory | ひも | イベントが生成されているコンピューターのハードウェア構成とソフトウェア環境に関する情報。 たとえば、コンピューターの作成とモデル、使用可能な RAM またはストレージ領域の量、さまざまなソフトウェア アプリケーションのバージョン番号など、さまざまなデータ ポイントを含めることができます。 |
| MachineLogon | ひも | コンピューターでのログオン イベントの成功に関する情報。 |
| マネジメントグループ名 | ひも | リソースの種類に基づく追加情報。 |
| 必須ラベル | ひも | 新しいプロセスに割り当てられた整合性ラベルの ID。 |
| パスワードの最大有効期限 | ひも | システムがユーザーにパスワードの変更を要求するまでにパスワードを使用できる期間 (日数)。 |
| メンバー名 | ひも | イベントに関係したユーザー アカウント。 |
| MemberSid(メンバー識別子) | ひも | イベントに関係したユーザー アカウントに関連付けられているセキュリティ識別子 (SID)。 |
| 最小パスワード有効期間 | ひも | ユーザーがパスワードを変更する前にパスワードを使用する必要がある期間 (日数)。 |
| 最低パスワード長 | ひも | ユーザー アカウントのパスワードを構成できる最小文字数。 |
| 混合ドメインモード | ひも | システムまたはドメイン コントローラーのドメイン モード。 |
| NAS識別子 | ひも | イベントに関係したネットワーク アクセス サーバー (NAS) の識別子。 |
| NASIPv4アドレス | ひも | イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv4Address (該当する場合)。 |
| NASIPv6Address | ひも | イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv6Address (該当する場合)。 |
| NASPort | ひも | イベントで使用されたネットワーク アクセス サーバー上のポート。 |
| NASPortType | ひも | イベントで使用されるネットワーク アクセス サーバー (NAS) の種類。 |
| ネットワークポリシー名 | ひも | イベントに関連付けられているネットワーク ポリシーの名前。 |
| NewDate | ひも | UTC タイム ゾーンの新しい日付。 YYYY-MM-DD という形式です。 |
| NewMaxUsers | ひも | イベントでリソースに対して許可される新しい最大ユーザー数。 |
| NewProcessId | ひも | 新しいプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。 |
| NewProcessName | ひも | 新しいプロセスの完全パスと実行可能ファイルの名前。 |
| 新しいコメント | ひも | ネットワーク共有の「コメント」フィールドの新しい値。 設定されていない場合は、'N/A' 値を持っています。 |
| NewShareFlags | ひも | たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報など、イベント内のリソースに関連付けられている共有フラグ。 |
| NewTime | ひも | UTC タイム ゾーンで設定された新しい時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です |
| NewUacValue | ひも | ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 |
| 新しい価値 | ひも | 変更されたレジストリ キー値の新しい値。 |
| NewValueType | ひも | 新しい種類の変更されたレジストリ キー値。 |
| オブジェクト名 | ひも | アクセスが要求されたオブジェクトの名前とその他の識別情報。 たとえば、ファイルの場合、パスが含まれます。 |
| ObjectServer | ひも | ルーチンを呼び出す Windows サブシステムの名前を格納します。 |
| オブジェクトタイプ | ひも | 操作中にアクセスされたオブジェクトの型。 |
| ObjectValueName | ひも | 変更されたレジストリ キー値の名前。 |
| OEM情報 | ひも | イベントのデバイスまたはシステムに関連付けられている元の機器メーカー (OEM)。 |
| OldMaxUsers | ひも | イベントでリソースに対して許可された以前のユーザーの最大数。 |
| OldRemark | ひも | ネットワーク共有「コメント」フィールドの古い値。 設定されていない場合は、'N/A' 値を持っています。 |
| OldShareFlags | ひも | イベント内のリソースに関連付けられている以前の共有フラグ。たとえば、リソースが読み取り専用か読み取り/書き込みか、非表示かどうか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報。 |
| OldUacValue | ひも | ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 このパラメーターには、user オブジェクトの userAccountControl 属性の以前の値が含まれています。 |
| 旧値 | ひも | 変更されたレジストリ キー値の古い値。 |
| OldValueType | ひも | 変更されたレジストリ キー値の古い種類。 |
| オペコード | ひも | オペコード要素は、SystemPropertiesType 複合型によって定義されます。 |
| 操作タイプ | ひも | オブジェクトに対して実行された操作の種類 |
| パッケージ名 | ひも | ログオン時に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名前。 |
| ParentProcessName | ひも | イベントに関連付けられている親プロセスの名前。 |
| パスワード履歴の長さ | ひも | \セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワード履歴の適用" グループ ポリシー。 数値。 |
| PasswordLastSet | ひも | アカウントのパスワードが最後に変更された時刻。 |
| PasswordProperties | ひも | イベントに関連付けられているパスワード ポリシーまたはプロパティ (パスワードの長さ、複雑さ、有効期限など)。 |
| 前の日付 | ひも | イベントに関連付けられた前の日付。 |
| PreviousTime | ひも | UTC タイム ゾーンでの以前の時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です。 |
| PrimaryGroupId | ひも | ユーザーのオブジェクト プライマリ グループの相対識別子 (RID)。 |
| 秘密鍵使用回数 | ひも | 秘密キーが使用された回数。 |
| 特権リスト | ひも | イベントに関連付けられているユーザー、グループ、またはシステムの特権を含む特権。 |
| プロセス | ひも | イベントを生成するプロセスの名前。 |
| ProcessId | ひも | イベントを生成したプロセスを識別します。 |
| ProcessName | ひも | プロセスの完全パスと実行可能ファイルの名前。 |
| プロファイルパス | ひも | アカウントのプロファイルへのパスを指定します。 この値には、null文字列、ローカル絶対パス、またはUNCパスを指定できます。 |
| 特性 | ひも | オブジェクトの種類によって異なります。 このフィールドは空にすることも、アクセスされたオブジェクト プロパティの一覧を含めることもできます。 |
| プロトコルシーケンス | ひも | 認証の試行に使用されるプロトコルに関する情報。 |
| プロキシポリシー名 | ひも | ネットワークに接続するためのプロキシ サーバーの構成に使用されたポリシーの名前。 |
| 検疫ヘルプURL | ひも | ネットワーク検疫の問題のトラブルシューティングに役立つ URL。 |
| QuarantineSessionID | ひも | ファイルが検疫のために評価されたセッションの識別子。 |
| 隔離セッション識別子 | ひも | ファイルが検疫のために評価されたセッションの識別子。 |
| QuarantineState | ひも | ファイルが検疫されているかどうかを示します。 |
| 隔離システム健康結果 | ひも | 検疫されたファイルの状態を示すレポート。 |
| RelativeTargetName | ひも | アクセス対象のファイルまたはフォルダーの相対名。 このファイル パスは、ネットワーク共有に対する相対パスです。 共有自体に対してアクセスが要求された場合、このフィールドは "" と表示されます。 |
| リモートIPアドレス | ひも | リモート接続を開始したコンピューターの IP アドレス。 |
| リモート ポート | ひも | 接続を開始したリモート コンピューターのポート番号。 |
| 依頼者 | ひも | イベントリクエスター識別子。 |
| リクエストID | ひも | HTTP 経由で行われた要求など、特定の要求に関連付けられている一意の識別子。 |
| _ResourceId(リソース識別子) | ひも | レコードが関連付けられているリソースの一意識別子 |
| 制限付き管理者モード | ひも | RemoteInteractive ログオン種類のセッションの場合にのみ設定されます。 これは、指定された資格情報が制限付き管理モードを使用して渡されたかどうかを示す Yes/No フラグです。 制限付き管理モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。 |
| RowsDeleted | ひも | 特定の操作の一部として削除された行の数。 |
| SamAccountName(SAMアカウント名) | ひも | 以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるアカウントのログオン名 (Windows 2000 より前のログオン名)。 |
| ScriptPath | ひも | アカウントのログオン スクリプトのパスを指定します。 |
| セキュリティ記述子 | ひも | 特定のオブジェクトまたはリソースのセキュリティ設定とアクセス許可に関する情報。 |
| ServiceAccount | ひも | サービスが起動時に実行されるセキュリティ コンテキスト。 |
| サービスファイル名 | ひも | サービス コントロール マネージャーに登録されたサービスの種類を示します。 |
| サービスネーム | ひも | インストールされているサービスの名前。 |
| サービス開始タイプ | 整数 (int) | 特定のサービスを自動的に開始するか手動で開始するかに関する情報が含まれます。 |
| サービス種別 | ひも | サービス コントロール マネージャーに登録されたサービスの種類を示します。 |
| SessionName | ひも | ユーザーが再接続されたセッションの名前。 |
| ローカルパスを共有 | ひも | アクセスされたネットワーク共有のローカル パス。 |
| ShareName | ひも | アクセスされたネットワーク共有の名前。 形式は \*\SHARE_NAME です。 |
| シドヒストリー | ひも | オブジェクトが別のドメインから移動された場合に、オブジェクトに使用された以前の SID が含まれます。 |
| SourceComputerId | ひも | Windows ドメイン内の各コンピューターに割り当てられた一意の識別子。 |
| SourceSystem | ひも | イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| ステータス | ひも | ログオンに失敗した理由。 このイベントの場合、通常は '0xC0000234' 値があります。 最も一般的な状態コードを表 12 に示します。 Windows ログオン状態コード。 |
| ストレージアカウント | ひも | ストレージ アカウントのアクセス キーを設定します。 |
| SubcategoryGuid | ひも | 変更されたサブカテゴリの一意 GUID。 |
| サブカテゴリーID (SubcategoryId) | ひも | 特定の種類のイベントに対する一意の識別子。 |
| サブジェクト | ひも | イベントを開始したセキュリティ プリンシパル (ユーザー アカウントなど) に関する情報。 |
| SubjectAccount | ひも | イベントを開始するアカウントに関する情報。 |
| 対象のドメイン名 | ひも | サブジェクト アカウントが属しているドメインまたはワークグループに関する情報。 |
| サブジェクトキー識別子 | ひも | 特定の証明書サブジェクトの一意識別子。 |
| サブジェクトログオンID | ひも | サブジェクト アカウントに関連付けられたログオン セッションの一意識別子。 |
| SubjectMachineName | ひも | イベントが作成されたコンピューターまたはシステムに関する情報。 |
| SubjectMachineSID | ひも | イベントを生成したマシンのセキュリティ識別子 (SID)。 |
| SubjectUserName | ひも | イベントを生成したユーザー アカウントの名前。 |
| SubjectUserSid | ひも | イベントを生成したユーザー アカウントのセキュリティ識別子 (SID)。 |
| _SubscriptionId(サブスクリプションID) | ひも | レコードが関連付けられているサブスクリプションのユニークな識別子 |
| サブステータス | ひも | ログオンエラーに関する追加情報。 表 12 に記載されている最も一般的な副状態コード。 Windows ログオン状態コード"。 |
| SystemProcessId | 整数 (int) | イベントを生成したプロセスを識別します。 |
| SystemThreadId | 整数 (int) | イベントを生成したスレッドを識別します。 |
| SystemUserId | ひも | イベントを担当するユーザーの ID。 |
| テーブルID (TableId) | ひも | イベント データが格納される特定のデータ テーブル識別子。 |
| 対象アカウント | ひも | イベントの対象となるアカウント (ユーザー名、コンピューター名など)。 |
| ターゲットドメイン名 | ひも | ターゲット アカウントが属しているドメインの名前。 |
| ターゲット情報 | ひも | イベント ターゲットに関する追加情報 (ファイルまたはフォルダーへのパス、レジストリ キーの名前など)。 |
| ターゲットリンクドログオンID | ひも | 関連イベントをログオン試行 ID でリンクするのに役立つ情報。 関連するすべてのイベントを整理し、複数のセッションにわたるアクティビティを追跡し、攻撃元を特定する場合に役立ちます。 |
| TargetLogonGuid | ひも | イベントに関連するログオン セッションに関連付けられているグローバル一意識別子 (GUID)。 |
| TargetLogonId(ターゲットログオンID) | ひも | イベントに関連するログオン セッションに関連付けられている一意の識別子。 |
| ターゲットアウトバウンドドメイン名 | ひも | TargetAccount フィールドで指定されているアカウントが送信認証試行の間に 認証されたドメイン。 |
| ターゲットアウトバウンドユーザー名 | ひも | 送信認証の試行中に認証されたユーザー アカウントの名前。 |
| ターゲットサーバー名 | ひも | 新しいプロセスが実行されたサーバーの名前。 プロセスがローカルで実行された場合は、"localhost" 値を持ちます。 |
| TargetSid | ひも | 新しいプロセスが実行されたサーバーのセキュリティ識別子 (SID)。 |
| ターゲットユーザー | ひも | 新しいプロセスを生成したユーザー アカウント識別子。 |
| ターゲットユーザー名 | ひも | 新しいプロセスを生成したユーザー アカウントの名前。 |
| TargetUserSID(ターゲットユーザーSID) | ひも | イベントに関係するユーザーまたはリソースに関連付けられているセキュリティ識別子 (SID)。 |
| 課題 | 整数 (int) | イベントで定義されたタスク。 |
| テンプレートコンテンツ | ひも | 構造化された形式のイベント メッセージまたは通知の内容。 |
| TemplateDSObjectFQDN | ひも | GPO テンプレートを表す DS オブジェクトの FQDN。 |
| テンプレート内部名 | ひも | GPO テンプレートの内部名。 |
| TemplateOID | ひも | イベントを作成するために使用したテンプレートのユニークID。 |
| TemplateSchemaVersion | ひも | イベントに含めるデータを定義するテンプレート スキーマのバージョン。 |
| TemplateVersion | ひも | イベントに含めるデータを定義するテンプレートのバージョン。 |
| テナントID | ひも | Log Analytics ワークスペース ID |
| タイムジェネレイテッド | datetime | コンピューターでイベントが生成されたときのタイム スタンプ。 |
| トークン昇格タイプ | ひも | ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類。 |
| TransmittedServices | ひも | 送信されたサービスの一覧。 ログオンが S4U (ユーザー向けサービス) プロセスの結果である場合は、転送されたサービスが登録されます。 S4U は、アプリケーション サービスがユーザーに代わって Kerberos サービス チケットを取得できるようにするための Kerberos プロトコルの Microsoft 拡張機能です。最も一般的なのは、ユーザーの代わりに内部リソースにアクセスするためにフロントエンド Web サイトによって行われます。 S4U の詳細については、 https://msdn.microsoft.com/library/cc246072.aspxを参照してください。 |
| タイプ | ひも | テーブルの名前 |
| ユーザーアカウント制御 | ひも | userAccountControl 属性の変更の一覧を表示します。 変更ごとに 1 行のテキストが表示されます。 |
| ユーザーパラメーターズ | ひも | [Active Directory ユーザーとコンピューター] 管理コンソールを使用して、ユーザーのアカウント プロパティの [ダイヤルイン] タブで設定を変更した場合は、このフィールドに <値が変更されたが、表示されていません> と表示されます。 ローカル アカウントの場合、このフィールドは適用されず、常に値 <設定されていません> 。 |
| ユーザープリンシパルネーム | ひも | インターネット標準 RFC 822 に基づく、アカウントのインターネット スタイルのログイン名。 慣例により、これはアカウントの電子メール名にマップされます。 |
| ユーザー用ワークステーション | ひも | ユーザーがログオンできるコンピューターの NetBIOS または DNS 名の一覧が含まれます。 各コンピューター名はコンマで区切られます。 コンピューターの名前は、コンピューター オブジェクトの sAMAccountName プロパティです。 |
| VendorIds | ひも | デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。 |
| バージョン | 整数 (int) | イベントの定義のバージョン番号を格納します。 |
| VirtualAccount | ひも | "はい" または "いいえ" フラグ。これは、アカウントが仮想アカウント ("マネージド サービス アカウント" など) であるかどうかを示します。これは、Windows 7 と Windows Server 2008 R2 で導入され、特定のサービスが使用するアカウントを識別する機能を提供するために、単に 'NetworkService' を使用するのではなく提供します。 |
| ワークステーション | ひも | イベントの実行に使用されたコンピューターの名前。 |
| ワークステーション名 | ひも | ログオン試行が実行されたコンピューター名。 |