由 Azure 安全中心或 Azure Sentinel 从 Windows 计算机收集的安全事件。
表属性
| 特征 | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 类别 | 安全性 |
| 解决方案 | Security、SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| 访问掩码 | 字符串 | 请求或已执行操作的十六进制掩码。 |
| 帐户 | 字符串 | 服务或用户的安全上下文。 |
| 账户域 | 字符串 | 主体的域或计算机名称。 |
| 帐户过期 | 字符串 | 帐户到期的日期。 |
| 账户名称 | 字符串 | 请求执行“删除域信任”操作的帐户名称。 |
| 账户会话标识符 | 字符串 | 创建会话时计算机生成的唯一标识符。 |
| 帐户类型 | 字符串 | 标识帐户是计算机帐户(计算机)还是用户帐户。 |
| 活动 | 字符串 | 所发生事件的描述性标题。 |
| 附加信息 | 字符串 | 源提供的附加信息,这些信息不与以列表表示的其他字段相对应。 |
| 附加信息2 | 字符串 | 源提供的附加信息,这些信息不与以列表表示的其他字段相对应。 |
| 授权委托给 | 字符串 | 此帐户可向其提交委派凭据的 SPN 列表。 |
| 特性 | 字符串 | 有关事件的其他信息。 |
| 审核策略更改 | 字符串 | 对系统审核策略或文件或注册表键的审核设置进行更改时生成的事件。 |
| 审核已弃置 | 整数 (int) | 被丢弃的审核消息数量。 |
| 认证级别 | 整数 (int) | 被丢弃的审核消息数量。 |
| 身份验证包名称 | 字符串 | 已加载的身份验证包的名称。 格式为:DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME。 |
| 认证提供者 | 字符串 | 负责身份验证过程的提供程序的表示(可包括证书颁发机构、用户名、密码身份验证系统等)。 |
| 认证服务器 | 字符串 | 身份验证提供程序所在的服务器。 |
| AuthenticationService | 整数 (int) | 身份验证提供程序所在的服务。 |
| 身份验证类型 | 字符串 | 事件使用的身份验证类型(双重身份验证、生物识别身份验证等)。 |
| AzureDeploymentID | 字符串 | 日志所属的云服务的 Azure 部署 ID。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| CA证书哈希 (CACertificateHash) | 字符串 | 证书颁发机构 (CA) 证书的哈希值,该证书用于对执行事件的用户进行身份验证。 |
| CalledStationID | 字符串 | 有关启动导致安全事件的操作的工作站的 ID 的信息。 |
| CallerProcessId | 字符串 | 尝试登录的进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。 |
| 调用进程名称 | 字符串 | 进程的完整路径和可执行文件的名称。 |
| CallingStationID | 字符串 | 有关启动导致安全事件的操作的工作站的 ID 的信息。 |
| CA 公钥哈希 | 字符串 | 用于标识颁发证书的证书颁发机构 (CA) 的公钥的哈希值。 |
| 类别识别码 | 字符串 | 发生的安全事件类别(登录尝试、数据泄露等)。 |
| CertificateDatabaseHash | 字符串 | 用于标识颁发证书的数据库的哈希值。 |
| 通道 | 字符串 | 记录事件的通道。 |
| ClassId | 字符串 | 设备的 'Class Guid' 属性。 |
| ClassName | 字符串 | 设备的 'Class' 属性。 |
| 客户地址 | 字符串 | 从其接收 TGT 请求的计算机的 IP 地址。 |
| ClientIPAddress | 字符串 | 启动导致事件发生的操作的计算机的 IP 地址。 |
| 客户名称 | 字符串 | 用户从其进行重新连接的计算机名称。 控制台会话的 'Unknown' 值。 |
| CommandLine | 字符串 | 传递给参与事件的应用程序或进程的命令行参数。 |
| CompatibleIds | 字符串 | 设备的 'Compatible Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”: |
| 电脑 | 字符串 | 发生该事件的计算机的名称。 |
| 关联 | 字符串 | 使用者可用于将相关事件分组到一起的活动标识符。 |
| DCDNSName | 字符串 | 事件涉及的域控制器的 DNS 名称。 |
| 设备描述 | 字符串 | 事件所涉设备的说明。 |
| DeviceId | 字符串 | 事件中涉及的设备的唯一标识符。 |
| 显示名称 | 字符串 | 这是一个显示在特定帐户的通讯簿中的名称。 它通常为用户的名字、中间名和姓氏的组合。 |
| 处置 | 字符串 | 事件结果/解决方案,例如事件是否得到解决,或是否针对事件采取了任何行动。 |
| DomainBehaviorVersion | 字符串 | msDS-Behavior-Version 域属性已修改。 数值。 |
| 域名 | 字符串 | 已删除的受信任域的名称。 |
| 域策略已更改 | 字符串 | 指明事件中是否更改了任何域策略(密码策略、安全策略等)。 |
| DomainSid | 字符串 | 信任合作伙伴的 SID。 事件中可能没有捕获到该参数,在这种情况下,会显示为“NULL SID”。 |
| EAPType | 字符串 | 事件身份验证过程中使用的可扩展身份验证协议 (EAP) 类型。 |
| ElevatedToken | 字符串 | “是”或“否”标志。 如果为“是”,则表示该事件所代表的会话已升级并具有管理员权限。 |
| 错误代码 | 整数 (int) | 包含故障事件的错误代码。 对于 Success 事件,此参数具有 '0x0' 值。 |
| 事件数据 | 字符串 | 与事件相关的事件特定数据。 |
| 事件 ID | 整数 (int) | 提供程序用于识别事件的标识符。 |
| 事件级别名称 | 字符串 | 事件中指定级别的呈现消息字符串。 |
| EventRecordId | 字符串 | 记录事件时分配给该事件的记录号。 |
| 事件来源名称 (EventSourceName) | 字符串 | 记录事件的软件名称(应用程序或 succomponent)。 |
| 延长的隔离状态 | 字符串 | 网络隔离过程的状态(如果适用)。 网络隔离是一种阻止未经授权的设备访问网络,直到这些设备满足特定的安全要求或经过恶意软件检查的过程。 |
| 故障原因 | 字符串 | 状态字段值的文本说明。 对于此事件,它通常具有 'Account locked out' 值。 |
| 文件哈希 | 字符串 | 在事件中被访问或修改的任何文件的哈希值,或在身份验证或授权过程中使用的任何文件的哈希值。 |
| 文件路径 | 字符串 | 执行操作的密钥文件的完整路径和文件名。 |
| 文件路径无用户 | 字符串 | 与事件相关的任何文件的路径,不包括用户名或其他用户特定信息。 |
| 筛选器 | 字符串 | 在已执行事件中使用的筛选器。 |
| ForceLogoff | 字符串 | “\安全设置\本地策略\安全选项\网络安全:在登录时间过期时强制注销”组策略。 |
| Fqbn | 字符串 | 与事件相关的任何文件的完全限定二进制名称 (FQBN)。 |
| 完全限定主题机器名称 | 字符串 | 发起事件的计算机的完全限定域名 (FQDN)。 |
| 完全限定的主体用户名 | 字符串 | 以 FQDN 格式表示的发起事件的用户或服务的用户名。 |
| 组成员资格 | 字符串 | 记录的帐户所属(为其成员)的组 SID 列表。 事件查看器会自动尝试解析 SID 并显示帐户名称。 如果无法解析 SID,则会在事件中看到源数据。 |
| HandleId | 字符串 | 对象名称句柄的十六进制值。 此字段可用于与其他事件相关联。 |
| HardwareIds | 字符串 | 设备的 'Hardware Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”: |
| 主目录 | 字符串 | 用户的主目录。 如果设置了 homeDrive 属性并指定了驱动器盘符,则 homeDirectory 应为 UNC 路径。 路径必须是形式为 \Server\Share\Directory 的网络 UNC。 |
| HomePath | 字符串 | 用户的主路径。 路径必须是形式为 \Server\Share\Directory 的网络 UNC。 |
| InterfaceUuid | 字符串 | 事件所用网络接口的唯一标识符 (UUID)。 |
| IP地址 | 字符串 | 与事件关联的网络地址(通常为 IPv4 或 IPv6)。 |
| IpPort | 字符串 | 与事件关联的网络端口号。 |
| _是否计费 | 字符串 | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 密钥长度 | 整数 (int) | NTLM 会话安全密钥的长度。 其长度通常为 128 位或 56 位。 |
| 关键字 | 字符串 | 事件中定义的关键字的位掩码。 |
| 级别 | 字符串 | Windows 会根据严重性级别对每个事件进行分类。 严重性级别依次为信息、详细、警告、错误和关键,均以数字表示。 |
| LmPackageName | 字符串 | 当前在生成事件的计算机上使用本地安全机构 (LSA) 的包或软件组件的名称。 |
| 位置信息 | 字符串 | 设备的 'Location information' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”: |
| 锁定持续时间 | 字符串 | “\安全设置\帐户策略\帐户锁定策略\帐户锁定持续时间”组策略。 数值。 |
| 锁定观察窗口 | 字符串 | “\安全设置\帐户策略\帐户锁定策略\在此时间后重置帐户锁定计数器”组策略。 数值。 |
| 锁定阈值 | 字符串 | “\安全设置\帐户策略\帐户锁定策略\帐户锁定阈值”组策略。 数值。 |
| 日志结果 | 字符串 | 登录进程的结果。 |
| 登录指南 | 字符串 | 一个有助于将此事件与另一个包含相同登录 GUID 的事件关联起来的 GUID。 |
| 登录时间 | 字符串 | 允许帐户登录域的小时数。 |
| 登录ID | 字符串 | 十六进制值,有助于将此事件与可能包含相同登录 ID 的最近事件关联起来。 |
| 登录进程名称 | 字符串 | 已注册登录进程的名称。 |
| 登录类型 | 整数 (int) | 已执行的登录类型。 |
| 登录类型名称 | 字符串 | 事件日志捕获的登录或身份验证事件类型(常用值:Interactive、Network、RemoteInteractive、Unlock)。 |
| MachineAccountQuota | 字符串 | ms-DS-MachineAccountQuota 域属性已修改。 数值。 |
| 机器库存 | 字符串 | 有关生成事件的计算机的硬件配置和软件环境信息。 它可以包括不同的数据点,例如:计算机的品牌和型号、可用的 RAM 或存储空间大小、各种软件应用程序的版本号等。 |
| MachineLogon | 字符串 | 有关计算机中成功登录事件的信息。 |
| 管理组名称 | 字符串 | 基于资源类型的附加信息。 |
| 强制性标签 | 字符串 | 分配给新进程的完整性标签的 ID。 |
| 最大密码有效期 (MaxPasswordAge) | 字符串 | 在系统要求用户更改密码之前,密码可以使用的时间(天数)。 |
| 成员姓名 | 字符串 | 事件中所涉及的用户帐户。 |
| MemberSid | 字符串 | 与事件中所涉用户帐户相关联的安全标识符 (SID)。 |
| 最低密码年龄 | 字符串 | 在系统要求用户更改密码之前,密码必须使用的时间(天数)。 |
| 最小密码长度 | 字符串 | 用户帐户密码的最少字符数。 |
| 混合域模式 | 字符串 | 系统或域控制器的域模式。 |
| NASIdentifier | 字符串 | 事件中所涉及的网络访问服务器 (NAS) 的标识符。 |
| NAS IPv4地址 | 字符串 | 事件中所涉及的网络访问服务器 (NAS) 的 IPv4 地址(如果适用)。 |
| NASIPv6地址 | 字符串 | 事件中所涉及的网络访问服务器 (NAS) 的 IPv6 地址(如果适用)。 |
| NASPort | 字符串 | 事件中所使用的网络访问服务器上的端口。 |
| NAS端口类型 | 字符串 | 事件中所使用的网络访问服务器 (NAS) 类型。 |
| 网络策略名称 | 字符串 | 与事件相关的网络策略名称。 |
| 新日期 | 字符串 | UTC 时区的新日期。 格式为 YYYY-MM-DD。 |
| NewMaxUsers | 字符串 | 事件中某一资源允许的最大新用户数量。 |
| NewProcessId | 字符串 | 新进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。 |
| 新流程名称 | 字符串 | 新进程的完整路径和可执行文件的名称。 |
| 新备注 | 字符串 | 网络共享“注释:”字段的新值。 如果未设置,则具有“N/A”值。 |
| 新共享标志 | 字符串 | 事件中与资源相关的共享标志,例如:有关资源是只读还是读/写、是否隐藏的信息,以及其他可能影响访问和权限的参数。 |
| NewTime | 字符串 | 在 UTC 时区设置的新时间。 格式为 YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
| NewUacValue | 字符串 | 指定用于控制用户帐户密码、锁定、禁用/启用、脚本和其他行为的标志。 |
| NewValue | 字符串 | 注册表项值更改后的新值。 |
| 新值类型 | 字符串 | 已更改注册表项值的新类型。 |
| 对象名称 | 字符串 | 请求访问的对象的名称和其他标识信息。 例如,对于文件,路径将被包含在内。 |
| ObjectServer | 字符串 | 包含调用例程的 Windows 子系统名称。 |
| 对象类型 | 字符串 | 在操作过程中访问的对象类型。 |
| 对象值名称 | 字符串 | 已修改的注册表项值的名称。 |
| OEM信息 | 字符串 | 与事件中的设备或系统相关的原始设备制造商 (OEM)。 |
| OldMaxUsers | 字符串 | 事件中某一资源先前允许的最大用户数。 |
| 旧备注 | 字符串 | 网络共享“注释:”字段的旧值。 如果未设置,则具有“N/A”值。 |
| OldShareFlags | 字符串 | 事件中与资源相关的先前共享标志,例如:有关资源是只读还是读/写、是否隐藏的信息,以及其他可能影响访问和权限的参数。 |
| OldUacValue | 字符串 | 指定用于控制用户帐户密码、锁定、禁用/启用、脚本和其他行为的标志。 此参数包含用户对象的 userAccountControl 属性的先前值。 |
| OldValue | 字符串 | 注册表项值更改后的旧值。 |
| 旧值类型 | 字符串 | 已更改注册表项值的旧类型。 |
| 操作码 | 字符串 | opcode 元素由 SystemPropertiesType 复杂类型定义。 |
| 操作类型 | 字符串 | 对对象执行的操作类型 |
| 程序包名称 | 字符串 | 登录时使用的 LAN 管理器子包名称(NTLM 系列协议名称)。 |
| 父进程名称 | 字符串 | 与事件相关的父进程名称。 |
| 密码历史长度 | 字符串 | \安全设置\帐户策略\密码策略\强制执行密码历史记录”组策略。 数值。 |
| 密码上次设置时间 | 字符串 | 上次修改帐户密码的时间。 |
| 密码属性 | 字符串 | 与事件相关的密码策略或属性,例如:密码长度、复杂性和有效期。 |
| 上一个日期 | 字符串 | 与事件相关的上一个日期。 |
| 上一次时间 | 字符串 | UTC 时区中的上一个时间。 格式为 YYYY-MM-DDThh:mm:ss.nnnnnnnZ。 |
| 主用户组ID | 字符串 | 用户对象主组的相对标识符 (RID)。 |
| 私钥使用计数 | 字符串 | 私钥的已使用次数。 |
| 权限列表 | 字符串 | 与事件相关的权限,包括用户、组或系统权限。 |
| 处理 | 字符串 | 生成事件的进程名称。 |
| 进程 ID | 字符串 | 标识生成事件的进程。 |
| ProcessName | 字符串 | 进程的完整路径和可执行文件的名称。 |
| ProfilePath | 字符串 | 指定帐户配置文件的路径。 此值可以是空字符串、本地绝对路径或 UNC 路径。 |
| 属性 | 字符串 | 取决于对象类型。 此字段可以为空,也可以包含被访问的对象属性列表。 |
| 协议序列 | 字符串 | 有关尝试身份验证时使用的协议信息。 |
| 代理策略名称 | 字符串 | 用于配置代理服务器连接网络的策略名称。 |
| 隔离帮助链接 | 字符串 | 帮助排除网络隔离问题的 URL。 |
| QuarantineSessionID (隔离会话ID) | 字符串 | 对文件进行隔离评估的会话标识符。 |
| 隔离会话标识符 | 字符串 | 对文件进行隔离评估的会话标识符。 |
| QuarantineState | 字符串 | 它显示文件是否被隔离。 |
| 隔离系统健康结果 | 字符串 | 显示已隔离文件状态的报告。 |
| RelativeTargetName | 字符串 | 访问的目标文件或文件夹的相对名称。 此文件路径与网络共享相对。 如果请求访问的是共享本身,则此字段显示为 ""。 |
| 远程IP地址 | 字符串 | 发起远程连接的计算机的 IP 地址。 |
| RemotePort | 字符串 | 发起连接的远程计算机的端口号。 |
| 申请者 | 字符串 | 事件请求者标识符。 |
| 请求编号 (RequestId) | 字符串 | 与特定请求(如通过 HTTP 提出的请求)相关联的唯一标识符。 |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| 受限管理员模式 | 字符串 | 仅为 RemoteInteractive 登录类型会话填充。 这是一个“是/否”标志,指明所提供的凭据是否在“受限管理”模式下传递。 受限管理模式是在 Win8.1/2012R2 中添加的,但在 Win10 中事件中添加了此标记。 |
| 删除的行 | 字符串 | 作为特定操作的一部分被删除的行数。 |
| Sam帐户名 | 字符串 | 用于支持以前版本 Windows 客户端和服务器的帐户登录名(Windows 2000 以前的登录名)。 |
| ScriptPath | 字符串 | 指定帐户登录脚本的路径。 |
| 安全描述符 | 字符串 | 有关特定对象或资源的安全设置和权限的信息。 |
| ServiceAccount | 字符串 | 服务启动时运行的安全上下文。 |
| 服务文件名 | 字符串 | 指明在服务控制管理器中注册的服务类型。 |
| 服务名称 | 字符串 | 已安装服务的名称。 |
| 服务启动类型 | 整数 (int) | 包含有关如何启动特定服务的信息,无论是应自动启动还是手动启动。 |
| 服务类型 | 字符串 | 指明在服务控制管理器中注册的服务类型。 |
| SessionName | 字符串 | 用户重新连接的会话名称。 |
| 本地路径共享 | 字符串 | 所访问网络共享的本地路径。 |
| 共享名称 | 字符串 | 所访问网络共享的名称。 格式为:\*\SHARE_NAME。 |
| SID历史 | 字符串 | 如果对象是从其他域移动过来的,则包含对象以前使用的 SID。 |
| 来源ComputerId | 字符串 | 分配给 Windows 域中每台计算机的唯一标识符。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 状态 | 字符串 | 登录失败的原因。 对于此事件,其值通常为“0xC0000234”。 “表 12. Windows 登录状态代码”中列出了最常见的 状态代码。 |
| 存储帐户 | 字符串 | 设置存储帐户访问密钥。 |
| SubcategoryGuid | 字符串 | 已更改子类别的唯一 GUID。 |
| 子类别ID | 字符串 | 特定类型事件的唯一标识符。 |
| 使用者 | 字符串 | 有关发起事件的安全主体(例如:用户帐户)的信息。 |
| 主体账户 | 字符串 | 有关发起事件的帐户的信息。 |
| 主题域名 | 字符串 | 有关主题帐户所属域或工作组的信息。 |
| 主体密钥标识符 | 字符串 | 特定证书主题的唯一标识符。 |
| 主体登录标识 (SubjectLogonId) | 字符串 | 与主体帐户相关的登录会话的唯一标识符。 |
| 主题机器名称 | 字符串 | 创建事件的计算机或系统的相关信息。 |
| SubjectMachineSID | 字符串 | 生成事件的计算机的安全标识符 (SID)。 |
| 主题用户名 | 字符串 | 生成事件的用户帐户名称。 |
| SubjectUserSid | 字符串 | 生成事件的用户帐户的安全标识符 (SID)。 |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| 子状态 | 字符串 | 有关登录失败的其他信息。 “表 12. Windows 登录状态代码”中列出了最常见的子状态代码。 |
| 系统进程ID | 整数 (int) | 标识生成事件的进程。 |
| SystemThreadId (系统线程ID) | 整数 (int) | 标识生成事件的线程。 |
| SystemUserId | 字符串 | 负责该事件的用户的 ID。 |
| 表格编号 | 字符串 | 存储事件数据的特定数据表标识符。 |
| TargetAccount | 字符串 | 事件的目标帐户(用户名、计算机名等)。 |
| 目标域名 | 字符串 | 目标帐户所属域的名称。 |
| TargetInfo | 字符串 | 有关事件目标的其他信息(例如:文件或文件夹的路径、注册表项值的名称等)。 |
| 目标关联登录ID | 字符串 | 有助于通过登录尝试 ID 将相关事件联系在一起的信息。 它可以帮助整理所有相关事件,跟踪多个会话的活动以及确定攻击源。 |
| TargetLogonGuid | 字符串 | 与事件相关的登录会话关联的全局唯一标识符 (GUID)。 |
| TargetLogonId | 字符串 | 与事件相关的登录会话的唯一标识符。 |
| TargetOutboundDomainName (目标出站域名) | 字符串 | TargetAccount 字段中指定的帐户在一次出站身份验证尝试中通过身份验证的域。 |
| TargetOutboundUserName | 字符串 | 在出站身份验证尝试中通过身份验证的用户帐户名称。 |
| 目标服务器名称 | 字符串 | 运行新进程的服务器名称。 如果进程在本地运行,则值为“localhost”。 |
| TargetSid | 字符串 | 运行新进程的服务器的安全标识符 (SID)。 |
| 目标用户 | 字符串 | 生成新进程的用户帐户标识符。 |
| 目标用户名 | 字符串 | 生成新进程的用户帐户名称。 |
| TargetUserSid | 字符串 | 与事件所涉用户或资源相关联的安全标识符 (SID)。 |
| 任务 | 整数 (int) | 事件中定义的任务。 |
| 模板内容 | 字符串 | 事件消息或通知的结构化内容。 |
| TemplateDSObjectFQDN | 字符串 | 表示 GPO 模板的 DS 对象的 FQDN。 |
| 模板内部名称 | 字符串 | GPO 模板的内部名称。 |
| TemplateOID | 字符串 | 用于创建事件的模板的唯一标识符。 |
| 模板模式版本 | 字符串 | 用于定义要包含在事件中的数据的模板架构的版本。 |
| 模板版本 | 字符串 | 用于定义要包含在事件中的数据的模板的版本。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期时间 | 事件在计算机上生成时的时间戳。 |
| TokenElevationType | 字符串 | 根据用户帐户控制策略分配给新进程的令牌类型。 |
| TransmittedServices | 字符串 | 传送的服务的列表。 如果登录是 S4U(用户服务)登录过程的结果,则会填充传输的服务。 S4U 是 Kerberos 协议的一个 Microsoft 扩展,以允许应用程序服务代表用户获取 Kerberos 服务票证,最常见的做法是前端网站代表用户访问内部资源。 有关 S4U 的更多信息,请参阅https://msdn.microsoft.com/library/cc246072.aspx。 |
| 类型 | 字符串 | 表的名称 |
| 用户帐户控制 | 字符串 | 显示 userAccountControl 属性中的更改列表。 将看到每项更改的一行文字。 |
| 用户参数 | 字符串 | 如果使用 Active Directory 用户和计算机管理控制台在用户帐户属性的“拨入”选项卡中更改任何设置,则会看到<值已更改,但未在此字段中显示>。 对于本地帐户,此字段不适用,且值始终为<值未设置>。 |
| 用户主体名称 | 字符串 | 基于 Internet 标准 RFC 822 的 Internet 样式帐户登录名。 按照惯例,这应该与帐户的电子邮件名称相对应。 |
| 用户工作站 | 字符串 | 包含用户可以从中登录的计算机的 NetBIOS 或 DNS 名称列表。 每个计算机名称之间以逗号隔开。 计算机名称是计算机对象的 sAMAccountName 属性。 |
| 供应商ID | 字符串 | 设备的 'Hardware Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”。 |
| 版本 | 整数 (int) | 包含事件定义的版本号。 |
| VirtualAccount | 字符串 | “是”或“否”标志,指明帐户是否为虚拟帐户(如”托管服务帐户“),该标记在 Windows 7 和 Windows Server 2008 R2 中引入,目的是提供识别特定服务使用的帐户的能力,而不是仅仅使用”NetworkService"。 |
| 工作站 | 字符串 | 用于执行事件的计算机的名称。 |
| 工作站名称 | 字符串 | 尝试在上面登录的计算机名称。 |