Azure Security Center 또는 Azure Sentinel에서 Windows 머신에서 수집된 보안 이벤트입니다.
테이블 특성
| 속성 | 값 / 가치 |
|---|---|
| 리소스 종류 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines (마이크로소프트 컴퓨트/가상머신) microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines (마이크로소프트 애저 스택 HCI/가상 머신) microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 범주 | 보안 |
| 솔루션 | 보안, 보안 인사이트 |
| 기본 로그 | 예 |
| 수집 시간 변환 | 예 |
| 샘플 쿼리 | 예 |
열
| 칼럼 | 유형 | 설명 |
|---|---|---|
| AccessMask | 문자열 | 요청되거나 수행된 작업에 대한 16진수 마스크입니다. |
| 어카운트 | 문자열 | 서비스 또는 사용자에 대한 보안 컨텍스트입니다. |
| 계정 도메인 | 문자열 | 주체의 도메인 또는 컴퓨터 이름입니다. |
| 계정 만료 | 문자열 | 계정이 만료되는 날짜입니다. |
| 계정 이름 | 문자열 | "도메인 트러스트 제거" 작업을 요청한 계정의 이름입니다. |
| 계정 세션 식별자 | 문자열 | 세션을 만들 때 컴퓨터에서 생성되는 고유 식별자입니다. |
| 계정 유형 | 문자열 | 계정이 컴퓨터 계정(컴퓨터) 또는 사용자의 계정인지 여부를 식별합니다. |
| 활동 | 문자열 | 이벤트의 설명 제목이 발생했습니다. |
| 추가 정보 | 문자열 | 목록으로 표시되는 다른 필드에 매핑되지 않는 원본에서 제공하는 추가 정보입니다. |
| 추가정보2 | 문자열 | 목록으로 표시되는 다른 필드에 매핑되지 않는 원본에서 제공하는 추가 정보입니다. |
| 위임할 수 있는 대상 | 문자열 | 이 계정이 위임된 자격 증명을 표시할 수 있는 SPN 목록입니다. |
| 특성 | 문자열 | 이벤트에 대한 추가 정보입니다. |
| 감사정책변경사항 | 문자열 | 파일 또는 레지스트리 키의 시스템 감사 정책 또는 감사 설정을 변경할 때 생성되는 이벤트입니다. |
| 감사 폐기됨 | 정수 (int) | 삭제된 감사 메시지 수입니다. |
| 인증 수준 | 정수 (int) | 삭제된 감사 메시지 수입니다. |
| 인증패키지이름 | 문자열 | 로드된 인증 패키지의 이름입니다. 형식은 DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME. |
| 인증 제공자 | 문자열 | 인증 프로세스를 담당하는 공급자의 ID입니다(인증 기관, 사용자 이름, 암호 인증 시스템 등을 포함할 수 있습니다). |
| 인증 서버 | 문자열 | 인증 제공자를 포함한 서버입니다. |
| AuthenticationService | 정수 (int) | 인증 공급자가 위치한 서비스입니다. |
| 인증 유형 | 문자열 | 이벤트에 사용된 인증 유형(2단계 인증, 생체 인식 인증 등)입니다. |
| AzureDeploymentID | 문자열 | 로그가 속한 클라우드 서비스의 Azure 배포 ID입니다. |
| _BilledSize | 진짜 | 레코드 크기(바이트) |
| CA인증서 해시 | 문자열 | 이벤트를 수행한 사용자를 인증하는 데 사용된 CA(인증 기관) 인증서의 해시 값입니다. |
| CalledStationID | 문자열 | 보안 이벤트로 이어진 작업을 시작한 스테이션의 ID에 대한 정보입니다. |
| CallerProcessId | 문자열 | 로그온을 시도한 프로세스의 16진수 프로세스 ID입니다. PID(프로세스 ID)는 운영 체제에서 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다. |
| 호출자 프로세스 이름 | 문자열 | 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다. |
| CallingStationID | 문자열 | 보안 이벤트로 이어진 작업을 시작한 스테이션의 ID에 대한 정보입니다. |
| CAPublicKeyHash (CA 공개 키 해시) | 문자열 | 인증서를 발급한 CA(인증 기관)의 공개 키를 식별하는 해시 값입니다. |
| 카테고리 ID | 문자열 | 발생한 보안 이벤트의 범주입니다(로그인 시도, 데이터 위반 등). |
| CertificateDatabaseHash | 문자열 | 인증서를 발급한 데이터베이스를 식별하는 해시 값입니다. |
| 채널 | 문자열 | 이벤트가 기록된 채널입니다. |
| 클래스ID | 문자열 | 디바이스의 '클래스 가이드' 속성입니다. |
| 클래스 이름 | 문자열 | 디바이스의 '클래스' 특성입니다. |
| 클라이언트 주소 | 문자열 | TGT 요청을 받은 컴퓨터의 IP 주소입니다. |
| ClientIPAddress | 문자열 | 이벤트를 발생시킨 작업을 시작한 컴퓨터의 IP 주소입니다. |
| 고객명 | 문자열 | 사용자가 다시 연결한 컴퓨터 이름입니다. 콘솔 세션에 대한 '알 수 없음' 값이 있습니다. |
| 명령줄 | 문자열 | 이벤트에 관련된 애플리케이션 또는 프로세스에 전달된 명령줄 인수입니다. |
| 호환 ID | 문자열 | 디바이스의 '호환 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| 컴퓨터 | 문자열 | 이벤트가 발생한 컴퓨터의 이름입니다. |
| 상관관계 | 문자열 | 소비자가 관련 이벤트를 그룹화하기 위해 사용할 수 있는 활동 식별자입니다. |
| DCDNSName | 문자열 | 이벤트에 관련된 도메인 컨트롤러의 DNS 이름입니다. |
| 장치 설명 | 문자열 | 이벤트에 관련된 디바이스에 대한 설명입니다. |
| DeviceId | 문자열 | 이벤트에 관련된 디바이스의 고유 식별자입니다. |
| 디스플레이 이름 | 문자열 | 특정 계정의 주소록에 표시되는 이름입니다. 이는 일반적으로 사용자의 이름, 중간 이니셜 및 성의 조합입니다. |
| 처분 | 문자열 | 이벤트 결과/해결(예: 이벤트가 확인되었는지 여부 또는 이벤트에 대한 응답으로 어떤 작업이 수행되었는지 여부)입니다. |
| 도메인 동작 버전 | 문자열 | msDS-Behavior-Version 도메인 특성이 수정되었습니다. 숫자 값입니다. |
| 도메인 이름 | 문자열 | 제거된 신뢰할 수 있는 도메인의 이름입니다. |
| 도메인 정책 변경됨 | 문자열 | 도메인 정책이 이벤트의 일부로 변경되었는지 여부를 나타냅니다(암호 정책, 보안 정책 등). |
| DomainSid | 문자열 | 트러스트 파트너의 SID입니다. 이 매개 변수는 이벤트에서 캡처되지 않을 수 있으며 이 경우 'NULL SID'로 표시됩니다. |
| EAPType | 문자열 | 이벤트 인증 프로세스에 사용된 EAP(Extensible Authentication Protocol) 형식입니다. |
| 고급 토큰 | 문자열 | '예' 또는 '아니요' 플래그입니다. '예'이면 이 이벤트가 나타내는 세션이 상승되고 관리자 권한이 있습니다. |
| 오류 코드 | 정수 (int) | 오류 이벤트에 대한 오류 코드를 포함합니다. 성공 이벤트의 경우 이 매개 변수에는 '0x0' 값이 있습니다. |
| 이벤트 데이터 | 문자열 | 이벤트와 연결된 이벤트별 데이터입니다. |
| EventID | 정수 (int) | 공급자가 이벤트를 식별하는 데 사용한 식별자입니다. |
| 이벤트레벨이름 | 문자열 | 이벤트에 지정된 수준의 렌더링된 메시지 문자열입니다. |
| EventRecordId | 문자열 | 기록될 때 이벤트에 할당된 레코드 번호입니다. |
| 이벤트소스이름 | 문자열 | 이벤트를 기록하는 소프트웨어의 이름입니다(응용 프로그램 구성 요소). |
| 확장격리상태 | 문자열 | 해당하는 경우 네트워크 격리 프로세스의 상태입니다. 네트워크 격리는 권한이 없는 디바이스가 특정 보안 요구 사항을 충족하거나 맬웨어를 검사할 때까지 네트워크에 액세스하지 못하게 하는 프로세스입니다. |
| 실패 이유 | 문자열 | 상태 필드 값에 대한 텍스트 설명입니다. 이 이벤트의 경우 일반적으로 '계정 잠금' 값이 있습니다. |
| 파일 해시 | 문자열 | 이벤트의 일부로 액세스 또는 수정된 파일 또는 인증 또는 권한 부여 프로세스에 사용된 파일의 해시 값입니다. |
| FilePath | 문자열 | 작업이 수행된 키 파일의 전체 경로 및 파일 이름입니다. |
| 파일경로사용자없음 | 문자열 | 사용자 이름 또는 기타 사용자별 정보를 제외한 이벤트와 관련된 파일의 경로입니다. |
| 필터 | 문자열 | 수행된 이벤트에 사용되는 필터입니다. |
| 강제로그오프 | 문자열 | '\보안 설정\로컬 정책\보안 옵션\네트워크 보안: 로그온 시간이 만료되면 강제 로그오프' 그룹 정책. |
| Fqbn | 문자열 | 이벤트와 관련된 모든 파일에 대한 FQBN(정규화된 이진 이름)입니다. |
| 완전히 자격이 갖춰진 주체 기계 이름 | 문자열 | 이벤트를 시작한 컴퓨터의 FQDN(정규화된 도메인 이름)입니다. |
| FullyQualifiedSubjectUserName | 문자열 | FQDN 형식으로 이벤트를 시작한 사용자 또는 서비스의 사용자 이름입니다. |
| 그룹 멤버십 | 문자열 | 기록된 계정이 속한 그룹 SID 목록입니다(멤버). 이벤트 뷰어 자동으로 SID를 확인하고 계정 이름을 표시하려고 시도합니다. SID를 확인할 수 없는 경우 이벤트에 원본 데이터가 표시됩니다. |
| HandleId | 문자열 | 개체 이름에 대한 핸들의 16진수 값입니다. 이 필드는 다른 이벤트와의 상관 관계에 사용할 수 있습니다. |
| HardwareIds | 문자열 | 디바이스의 '하드웨어 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| 홈 디렉토리 | 문자열 | 사용자의 홈 디렉터리입니다. homeDrive 특성이 설정되고 드라이브 문자를 지정하는 경우 homeDirectory는 UNC 경로여야 합니다. 경로는 \Server\Share\Directory 형식의 네트워크 UNC여야 합니다. |
| 홈패스 | 문자열 | 사용자의 홈 경로입니다. 경로는 \Server\Share\Directory 형식의 네트워크 UNC여야 합니다. |
| InterfaceUuid | 문자열 | 이벤트에 사용된 네트워크 인터페이스의 UUID(고유 식별자)입니다. |
| IP 주소 | 문자열 | 이벤트와 연결된 네트워크 주소(일반적으로 IPv4 또는 IPv6)입니다. |
| IpPort | 문자열 | 이벤트와 연결된 네트워크 포트 번호입니다. |
| _IsBillable (과금 가능 여부) | 문자열 | 데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| 키 길이 | 정수 (int) | NTLM 세션 보안 키의 길이입니다. 일반적으로 128비트 또는 56비트 길이입니다. |
| 키워드 | 문자열 | 이벤트에 정의된 키워드의 비트 마스크입니다. |
| 수준 | 문자열 | Windows는 모든 이벤트를 심각도 수준으로 분류합니다. 심각도 수준은 정보, 상세, 경고, 오류, 심각의 순서로 숫자로 표시됩니다. |
| LmPackageName | 문자열 | 이벤트가 생성되는 컴퓨터에서 현재 LSA(로컬 보안 기관)를 사용하는 패키지 또는 소프트웨어 구성 요소의 이름입니다. |
| 위치정보 | 문자열 | 디바이스의 '위치 정보' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| 잠금 지속 시간 | 문자열 | '\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 기간' 그룹 정책입니다. 숫자 값입니다. |
| 잠금 관찰 창 | 문자열 | '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' 그룹 정책. 숫자 값입니다. |
| 잠금 임계값 | 문자열 | '\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 임계값' 그룹 정책입니다. 숫자 값입니다. |
| 로깅결과 | 문자열 | 로그온 프로세스의 결과입니다. |
| 로그인 안내 | 문자열 | 이 이벤트를 동일한 로그온 GUID를 포함할 수 있는 다른 이벤트와 상관 관계를 지정하는 데 도움이 되는 GUID입니다. |
| 로그온 시간 | 문자열 | 계정이 도메인에 로그온할 수 있는 시간입니다. |
| 로그온 ID | 문자열 | 이 이벤트를 동일한 로그온 ID를 포함할 수 있는 최근 이벤트와 상관 관계를 지정하는 데 도움이 되는 16진수 값입니다. |
| 로그온프로세스이름 | 문자열 | 등록된 로그온 프로세스의 이름입니다. |
| 로그온 유형 | 정수 (int) | 수행된 로그온 유형입니다. |
| 로그온 유형 이름 | 문자열 | 이벤트 로그에 의해 캡처되는 로그온 또는 인증 이벤트의 유형입니다(일반 값:Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | 문자열 | ms-DS-MachineAccountQuota 도메인 특성이 수정되었습니다. 숫자 값입니다. |
| 기계 목록 | 문자열 | 이벤트가 생성되는 컴퓨터의 하드웨어 구성 및 소프트웨어 환경에 대한 정보입니다. 예를 들어 컴퓨터의 만들기 및 모델, 사용 가능한 RAM 또는 스토리지 공간의 양, 다양한 소프트웨어 애플리케이션의 버전 번호 등 다양한 데이터 요소를 포함할 수 있습니다. |
| MachineLogon | 문자열 | 컴퓨터의 성공적인 로그온 이벤트에 대한 정보입니다. |
| 관리그룹명 | 문자열 | 리소스 종류에 따른 추가 정보입니다. |
| 필수 레이블 | 문자열 | 새 프로세스에 할당된 무결성 레이블의 ID입니다. |
| 최대 비밀번호 사용 기간 | 문자열 | 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용할 수 있는 기간(일)입니다. |
| 회원 이름 | 문자열 | 이벤트에 관련된 사용자 계정입니다. |
| MemberSid | 문자열 | 이벤트에 관련된 사용자 계정과 연결된 SID(보안 식별자)입니다. |
| 최소 비밀번호 연령 | 문자열 | 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용해야 하는 기간(일)입니다. |
| 최소 비밀번호 길이 | 문자열 | 사용자 계정의 암호를 구성할 수 있는 최소 문자 수입니다. |
| 혼합 도메인 모드 | 문자열 | 시스템 또는 도메인 컨트롤러의 도메인 모드입니다. |
| NAS 식별자 | 문자열 | 이벤트에 관련된 NAS(네트워크 액세스 서버)의 식별자입니다. |
| NAS IPv4 주소 | 문자열 | 해당하는 경우 이벤트에 관련된 NAS(네트워크 액세스 서버)의 IPv4Address입니다. |
| NAS IPv6 주소 | 문자열 | 해당하는 경우 이벤트에 관련된 NAS(네트워크 액세스 서버)의 IPv6Address입니다. |
| NASPort | 문자열 | 이벤트에 사용된 네트워크 액세스 서버의 포트입니다. |
| NAS 포트 유형 | 문자열 | 이벤트에 사용되는 NAS(네트워크 액세스 서버) 유형입니다. |
| 네트워크정책이름 | 문자열 | 이벤트와 연결된 네트워크 정책의 이름입니다. |
| 새로운 날짜 | 문자열 | UTC 표준 시간대의 새 날짜입니다. 형식은 YYYY-MM-DD입니다. |
| NewMaxUsers | 문자열 | 이벤트의 리소스에 허용되는 새 최대 사용자 수입니다. |
| 새프로세스ID | 문자열 | 새 프로세스의 16진수 프로세스 ID입니다. PID(프로세스 ID)는 운영 체제에서 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다. |
| 새로운 프로세스 이름 | 문자열 | 새 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다. |
| 새 비고 | 문자열 | 네트워크 공유 '메모:' 필드의 새 값입니다. 설정되지 않은 경우 'N/A' 값이 있습니다. |
| 새 공유 플래그 | 문자열 | 이벤트의 리소스와 연결된 공유 플래그(예: 리소스가 읽기 전용인지 읽기/쓰기인지 여부, 숨겨진지 여부 및 액세스 및 권한에 영향을 줄 수 있는 기타 매개 변수)에 대한 정보입니다. |
| NewTime | 문자열 | UTC 표준 시간대로 설정된 새 시간입니다. 형식은 YYYY-MM-DDThh:mm:ss.nnnnnnnZ입니다. |
| NewUacValue | 문자열 | 사용자 계정에 대한 암호, 잠금, 사용 안 함/사용, 스크립트 및 기타 동작을 제어하는 플래그를 지정합니다. |
| 새로운값 | 문자열 | 변경된 레지스트리 키 값에 대한 새 값입니다. |
| 새로운값유형 | 문자열 | 변경된 레지스트리 키 값의 새 형식입니다. |
| 객체명 | 문자열 | 액세스가 요청된 개체의 이름 및 기타 식별 정보입니다. 예를 들어 파일의 경우 경로가 포함됩니다. |
| ObjectServer | 문자열 | 루틴을 호출하는 Windows 하위 시스템의 이름을 포함합니다. |
| 객체 타입 | 문자열 | 작업 중 액세스한 개체 유형입니다. |
| ObjectValueName | 문자열 | 수정된 레지스트리 키 값의 이름입니다. |
| OemInformation (오이엠 정보) | 문자열 | 이벤트에서 디바이스 또는 시스템과 연결된 OEM(원래 장비 제조업체)입니다. |
| OldMaxUsers | 문자열 | 이벤트에서 리소스에 대해 허용된 이전 최대 사용자 수입니다. |
| OldRemark | 문자열 | 네트워크 공유 '메모:' 필드의 이전 값입니다. 설정되지 않은 경우 'N/A' 값이 있습니다. |
| 올드쉐어플래그스 | 문자열 | 이벤트의 리소스와 연결된 이전 공유 플래그(예: 리소스가 읽기 전용인지 읽기/쓰기인지 여부, 숨겨진지 여부 및 액세스 및 권한에 영향을 줄 수 있는 기타 매개 변수)에 대한 정보입니다. |
| OldUacValue | 문자열 | 사용자 계정에 대한 암호, 잠금, 사용 안 함/사용, 스크립트 및 기타 동작을 제어하는 플래그를 지정합니다. 이 매개 변수는 사용자 개체의 userAccountControl 특성의 이전 값을 포함합니다. |
| 이전값 | 문자열 | 변경된 레지스트리 키 값의 이전 값입니다. |
| 이전값유형 | 문자열 | 이전 유형의 변경된 레지스트리 키 값입니다. |
| 오퍼코드 (Operation Code의 약어) | 문자열 | opcode 요소는 SystemPropertiesType 복합 형식으로 정의됩니다. |
| 운영 유형 | 문자열 | 개체에서 수행된 작업의 형식입니다. |
| 패키지 이름 | 문자열 | 로그온하는 동안 사용된 LAN Manager 하위 패키지(NTLM 패밀리 프로토콜 이름)의 이름입니다. |
| 상위 프로세스 이름 | 문자열 | 이벤트와 연결된 부모 프로세스의 이름입니다. |
| 비밀번호 기록 길이 | 문자열 | \보안 설정\계정 정책\암호 정책\암호 기록 강제 시행" 그룹 정책. 숫자 값입니다. |
| 비밀번호 마지막 설정 | 문자열 | 마지막으로 계정의 암호를 수정했습니다. |
| 비밀번호 속성 | 문자열 | 이벤트와 연결된 암호 정책 또는 속성(예: 암호 길이, 복잡성 및 만료 날짜)입니다. |
| 이전 날짜 | 문자열 | 이벤트와 연결된 이전 날짜입니다. |
| 이전 시간 | 문자열 | UTC 표준 시간대의 이전 시간입니다. 형식은 YYYY-MM-DDThh:mm:ss.nnnnnnnz입니다. |
| 주요그룹ID | 문자열 | 사용자 개체 기본 그룹의 RID(상대 식별자)입니다. |
| 개인키 사용 횟수 | 문자열 | 프라이빗 키가 사용된 횟수입니다. |
| 권한 목록 | 문자열 | 이벤트와 연결된 사용자, 그룹 또는 시스템 권한을 포함한 권한입니다. |
| 프로세스 | 문자열 | 이벤트를 생성하는 프로세스의 이름입니다. |
| ProcessId | 문자열 | 이벤트를 생성한 프로세스를 식별합니다. |
| ProcessName | 문자열 | 프로세스에 대한 실행 파일의 전체 경로 및 이름입니다. |
| 프로필 경로 | 문자열 | 계정 프로필의 경로를 지정합니다. 이 값은 null 문자열, 로컬 절대 경로 또는 UNC 경로일 수 있습니다. |
| 속성 | 문자열 | 개체 형식에 따라 다릅니다. 이 필드는 비어 있거나 액세스된 개체 속성 목록을 포함할 수 있습니다. |
| 프로토콜 시퀀스 | 문자열 | 인증 시도에 사용되는 프로토콜에 대한 정보입니다. |
| 프록시 정책 이름 | 문자열 | 네트워크에 연결하기 위해 프록시 서버를 구성하는 데 사용된 정책의 이름입니다. |
| 격리 지원 URL | 문자열 | 네트워크 격리 문제 해결에 도움이 되는 URL입니다. |
| QuarantineSessionID | 문자열 | 파일이 격리에 대해 평가된 세션의 식별자입니다. |
| QuarantineSessionIdentifier | 문자열 | 파일이 격리에 대해 평가된 세션의 식별자입니다. |
| QuarantineState | 문자열 | 파일이 격리되었는지 여부를 표시합니다. |
| 격리 시스템 건강 결과 | 문자열 | 격리된 파일의 상태를 보여 주는 보고서입니다. |
| 상대 대상 이름 (RelativeTargetName) | 문자열 | 액세스한 대상 파일 또는 폴더의 상대 이름입니다. 이 파일 경로는 네트워크 공유를 기준으로 합니다. 공유 자체에 대한 액세스가 요청된 경우 이 필드는 ""로 표시됩니다. |
| 원격 IP 주소 | 문자열 | 원격 연결을 시작한 컴퓨터의 IP 주소입니다. |
| RemotePort | 문자열 | 연결을 시작한 원격 컴퓨터의 포트 번호입니다. |
| 요청자 | 문자열 | 이벤트 요청자 식별자입니다. |
| 요청 ID | 문자열 | HTTP를 통해 만들어진 요청과 같은 특정 요청과 연결된 고유 식별자입니다. |
| _리소스아이디 | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
| 제한된 관리자 모드 | 문자열 | RemoteInteractive 로그온 유형 세션에 대해서만 채워집니다. 제공된 자격 증명이 제한된 관리 모드를 사용하여 전달되었는지 여부를 나타내는 예/아니요 플래그입니다. 제한된 관리 모드가 Win8.1/2012R2에 추가되었지만 이 플래그는 Win10의 이벤트에 추가되었습니다. |
| 삭제된 행 | 문자열 | 특정 작업의 일부로 삭제된 행 수입니다. |
| SamAccountName (사용자 계정 이름) | 문자열 | 이전 버전의 Windows에서 클라이언트 및 서버를 지원하는 데 사용되는 계정의 로그온 이름(Windows 2000 이전 로그온 이름). |
| ScriptPath | 문자열 | 계정 로그온 스크립트의 경로를 지정합니다. |
| 보안 설명자 | 문자열 | 특정 개체 또는 리소스의 보안 설정 및 권한에 대한 정보입니다. |
| 서비스 계정 | 문자열 | 서비스가 시작될 때 실행되는 보안 컨텍스트입니다. |
| 서비스파일이름 | 문자열 | 서비스 제어 관리자에 등록된 서비스 유형을 나타냅니다. |
| 서비스 이름 | 문자열 | 설치된 서비스의 이름입니다. |
| 서비스 시작 유형 | 정수 (int) | 특정 서비스를 자동으로 시작해야 하는지 또는 수동으로 시작해야 하는지에 대한 정보를 포함합니다. |
| 서비스 유형 | 문자열 | 서비스 제어 관리자에 등록된 서비스 유형을 나타냅니다. |
| SessionName | 문자열 | 사용자가 다시 연결된 세션의 이름입니다. |
| 로컬 경로 공유 | 문자열 | 액세스된 네트워크 공유의 로컬 경로입니다. |
| 공유 이름 | 문자열 | 액세스된 네트워크 공유의 이름입니다. 형식은 \*\SHARE_NAME. |
| SID 이력 | 문자열 | 개체가 다른 도메인에서 이동된 경우 개체에 사용된 이전 SID를 포함합니다. |
| 출처컴퓨터ID | 문자열 | Windows 도메인의 각 컴퓨터에 할당된 고유 식별자입니다. |
| SourceSystem | 문자열 | 이벤트를 수집한 에이전트의 유형. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| 상태 | 문자열 | 로그온에 실패한 이유입니다. 이 이벤트의 경우 일반적으로 '0xC0000234' 값이 있습니다. 가장 일반적인 상태 코드는 표 12에 나열됩니다. Windows 로그온 상태 코드입니다. |
| 저장소 계정 | 문자열 | 스토리지 계정 액세스 키를 설정합니다. |
| SubcategoryGuid (서브카테고리 GUID) | 문자열 | 변경된 하위 범주의 고유 GUID입니다. |
| 하위 카테고리 ID | 문자열 | 특정 유형의 이벤트에 대한 고유 식별자입니다. |
| 주제 | 문자열 | 이벤트를 시작한 보안 주체(예: 사용자 계정)에 대한 정보입니다. |
| 주체 계정 | 문자열 | 이벤트를 시작하는 계정에 대한 정보입니다. |
| 대상 도메인 이름 | 문자열 | 주체 계정이 속한 도메인 또는 작업 그룹에 대한 정보입니다. |
| 주체키식별자 | 문자열 | 특정 인증서 주체에 대한 고유 식별자입니다. |
| 서브젝트 로그온 아이디 | 문자열 | 주체 계정과 연결된 로그온 세션의 고유 식별자입니다. |
| 주체 기계 이름 | 문자열 | 이벤트가 생성된 컴퓨터 또는 시스템에 대한 정보입니다. |
| 서브젝트머신SID | 문자열 | 이벤트를 생성한 컴퓨터의 SID(보안 식별자)입니다. |
| 대상사용자이름 | 문자열 | 이벤트를 생성한 사용자 계정의 이름입니다. |
| SubjectUserSid | 문자열 | 이벤트를 생성한 사용자 계정에 대한 SID(보안 식별자)입니다. |
| _서브스크립션아이디 | 문자열 | 레코드와 연결된 구독의 고유 식별자입니다. |
| 하위 상태 | 문자열 | 로그온 실패에 대한 추가 정보입니다. '표 12에 나열된 가장 일반적인 하위 상태 코드입니다. Windows 로그온 상태 코드'. |
| 시스템 프로세스 ID | 정수 (int) | 이벤트를 생성한 프로세스를 식별합니다. |
| 시스템쓰레드아이디 (SystemThreadId) | 정수 (int) | 이벤트를 생성한 스레드를 식별합니다. |
| SystemUserId | 문자열 | 이벤트를 담당하는 사용자의 ID입니다. |
| 테이블ID | 문자열 | 이벤트 데이터가 저장되는 특정 데이터 테이블 식별자입니다. |
| 대상 계정 | 문자열 | 이벤트(사용자 이름, 컴퓨터 이름 등)가 대상으로 하는 계정입니다. |
| TargetDomainName | 문자열 | 대상 계정이 속한 도메인의 이름입니다. |
| 타겟 정보 | 문자열 | 이벤트 대상에 대한 추가 정보(예: 파일 또는 폴더의 경로, 레지스트리 키 이름 등). |
| TargetLinkedLogonId | 문자열 | 로그온 시도 ID를 통해 관련 이벤트를 함께 연결하는 데 도움이 되는 정보입니다. 모든 관련 이벤트를 구성하고, 여러 세션에서 활동을 추적하고, 공격 원본을 식별하는 데 유용할 수 있습니다. |
| TargetLogonGuid | 문자열 | 이벤트와 관련된 로그온 세션과 연결된 GUID(Globally Unique Identifier)입니다. |
| 타겟로그온ID | 문자열 | 이벤트와 관련된 로그온 세션과 연결된 고유 식별자입니다. |
| 타겟 아웃바운드 도메인 이름 | 문자열 | 아웃바운드 인증을 시도하는 동안 TargetAccount 필드에 지정된 계정이 인증된 도메인입니다. |
| TargetOutboundUserName(대상 외부 사용자 이름) | 문자열 | 아웃바운드 인증 시도 중에 인증된 사용자 계정의 이름입니다. |
| 대상 서버 이름 | 문자열 | 새 프로세스가 실행된 서버의 이름입니다. 프로세스가 로컬로 실행된 경우 "localhost" 값이 있습니다. |
| TargetSid | 문자열 | 새 프로세스가 실행된 서버의 SID(보안 식별자)입니다. |
| 대상 사용자 | 문자열 | 새 프로세스를 생성한 사용자 계정 식별자입니다. |
| 대상사용자이름 | 문자열 | 새 프로세스를 생성한 사용자 계정의 이름입니다. |
| TargetUserSid | 문자열 | 이벤트에 관련된 사용자 또는 리소스와 연결된 SID(보안 식별자)입니다. |
| 작업 | 정수 (int) | 이벤트에 정의된 작업입니다. |
| 템플릿 콘텐츠 | 문자열 | 구조적 형식의 이벤트 메시지 또는 알림 내용입니다. |
| TemplateDSObjectFQDN | 문자열 | GPO 템플릿을 나타내는 DS 개체의 FQDN입니다. |
| 템플릿내부이름 | 문자열 | GPO 템플릿의 내부 이름입니다. |
| TemplateOID | 문자열 | 이벤트를 만드는 데 사용된 템플릿의 고유 식별자입니다. |
| 템플릿 스키마 버전 | 문자열 | 이벤트에 포함할 데이터를 정의하는 템플릿 스키마의 버전입니다. |
| 템플릿버전 | 문자열 | 이벤트에 포함할 데이터를 정의하는 템플릿의 버전입니다. |
| 테넌트아이디 | 문자열 | Log Analytics 작업 영역 ID |
| 타임제너레이티드 | 날짜/시간 | 컴퓨터에서 이벤트가 생성된 타임스탬프를 나타냅니다. |
| TokenElevationType | 문자열 | 사용자 계정 제어 정책에 따라 새 프로세스에 할당된 토큰 유형입니다. |
| 전송된 서비스 | 문자열 | 전송된 서비스 목록입니다. 로그온이 S4U(사용자용 서비스) 로그온 프로세스의 결과인 경우 전송된 서비스가 채워집니다. S4U는 애플리케이션 서비스가 사용자를 대신하여 Kerberos 서비스 티켓을 얻을 수 있도록 Kerberos 프로토콜에 대한 Microsoft 확장입니다. 가장 일반적으로 프런트 엔드 웹 사이트에서 사용자를 대신하여 내부 리소스에 액세스하기 위해 수행됩니다. S4U에 대한 자세한 내용은 다음을 참조하세요 https://msdn.microsoft.com/library/cc246072.aspx. |
| 유형 | 문자열 | 테이블의 이름입니다. |
| 사용자 계정 제어 | 문자열 | userAccountControl 특성의 변경 내용 목록을 표시합니다. 각 변경 내용에 대한 텍스트 줄이 표시됩니다. |
| 사용자 매개변수 | 문자열 | 사용자 계정 속성<의 전화 접속 탭에서 Active Directory 사용자 및 컴퓨터 관리 콘솔 사용하여 설정을 변경하면 값이 변경되었지만 이 필드에는> 표시되지 않습니다. 로컬 계정의 경우 이 필드는 적용할 수 없으며 항상 값이 <설정> 되지 않았습니다. |
| 사용자 주 이름 | 문자열 | 인터넷 표준 RFC 822를 기반으로 하는 계정의 인터넷 스타일 로그인 이름입니다. 규칙에 따라 계정의 전자 메일 이름에 매핑됩니다. |
| 사용자 작업장 | 문자열 | 사용자가 로그온할 수 있는 컴퓨터의 NetBIOS 또는 DNS 이름 목록을 포함합니다. 각 컴퓨터 이름은 쉼표로 구분됩니다. 컴퓨터의 이름은 컴퓨터 개체의 sAMAccountName 속성입니다. |
| 공급업체 ID | 문자열 | 디바이스의 '하드웨어 ID' 특성입니다. 디바이스 속성을 보려면 장치 관리자 시작하고 특정 디바이스 속성을 열고 '세부 정보'를 클릭합니다. |
| 버전 | 정수 (int) | 이벤트 정의의 버전 번호를 포함합니다. |
| VirtualAccount | 문자열 | '예' 또는 '아니요' 플래그는 계정이 'NetworkService'를 사용하는 대신 지정된 서비스에서 사용하는 계정을 식별하는 기능을 제공하기 위해 Windows 7 및 Windows Server 2008 R2에 도입된 가상 계정(예: '관리 서비스 계정')인지 여부를 나타냅니다. |
| 워크스테이션 | 문자열 | 이벤트를 수행하는 데 사용된 컴퓨터의 이름입니다. |
| 워크스테이션 이름 | 문자열 | 로그온 시도가 수행된 컴퓨터 이름입니다. |