Collecter les données d'événement Microsoft Windows

Ce document:

  • décrit l'architecture et les étapes d'installation du déploiement, ainsi que toute configuration requise qui produit des journaux compatibles avec l'analyseur Chronicle pour les événements Windows. Pour en savoir plus sur l'ingestion de données Chronicle, consultez la page Ingestion de données vers Chronicle.
  • inclut des informations sur la façon dont l'analyseur mappe les champs du journal d'origine vers les champs du modèle de données unifié Chronicle.

Les informations contenues dans ce document s'appliquent à l'analyseur portant le libellé d'ingestion WINEVTLOG. Le libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes vers un format UDM structuré.

Avant de commencer

Ce schéma illustre les composants de base recommandés dans une architecture de déploiement pour collecter et envoyer des données d'événement Microsoft Windows à Chronicle. Comparez ces informations avec votre environnement pour vous assurer que ces composants sont installés. Chaque déploiement client sera différent de cette représentation, qui sera peut-être plus complexe. Vous devez remplir les conditions suivantes:

  • Les systèmes de l'architecture de déploiement sont configurés avec le fuseau horaire UTC.
  • NXLog est installé sur le serveur Microsoft Windows du collecteur.
  • Le serveur Microsoft Windows du collecteur reçoit les journaux des serveurs, des points de terminaison et des contrôleurs de domaine.
  • Les systèmes Microsoft Windows utilisent l'architecture de déploiement.
    • Ils permettent de collecter des événements sur plusieurs appareils.
    • Le service WinRM est activé pour la gestion du système à distance.
  • NXLog est installé sur le serveur du collecteur de fenêtres pour transférer les journaux vers le service de transfert Chronique.
  • Le programme de transfert Chronicle est installé sur le collecteur Microsoft Windows ou Linux sur le serveur.

    Architecture de déploiement

Examinez les appareils et les versions compatibles

L'analyseur Chronicle est compatible avec les journaux des versions suivantes du serveur Microsoft Windows. Le serveur Microsoft Windows est disponible avec les éditions suivantes: Foundation, Essentials, Standard et Datacenter. Le schéma d'événement des journaux générés par chaque édition ne diffère pas.

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012

L'analyseur Chronicle est compatible avec les journaux des systèmes clients Microsoft Windows 10 et versions ultérieures.

L'analyseur Chronicle est compatible avec les journaux collectés par la communauté NXLog ou Enterprise Edition.

Examiner les types de journaux compatibles

L'analyseur Chronicle est compatible avec les types de journaux suivants générés par les systèmes Microsoft Windows. Pour en savoir plus sur ces types de journaux, consultez la documentation sur le journal des événements Microsoft Windows. Cette page accepte les journaux générés en anglais et n'est pas compatible avec les journaux rédigés dans une autre langue.

Type de journal Remarques
Sécurité Journaux d'audit et d'événement de sécurité
Application Événements enregistrés par les applications ou les programmes. Si le fichier manifeste n'est pas installé en local, des valeurs hexadécimales ou manquantes sont consignées dans les journaux de l'application.
System Événements enregistrés par les composants système Microsoft Windows.

Configurer les serveurs, les points de terminaison et les contrôleurs de domaine Microsoft Windows

  1. Installez et configurez les serveurs, les points de terminaison et les contrôleurs de domaine.
  2. Configurez tous les systèmes avec le fuseau horaire UTC.
  3. Configurez les appareils pour qu'ils transfèrent les journaux vers un serveur Microsoft Windows de collecteur.
  4. Configurez un abonnement initié par la source sur le serveur Microsoft Windows (collecteur). Pour en savoir plus, consultez Configurer un abonnement initié par la source.
  5. Activez WinRM sur les serveurs et les clients Microsoft Windows. Pour en savoir plus, consultez Installation et configuration pour la gestion à distance de Microsoft Windows.

Configurer le serveur de collecteur Microsoft Windows

Configurer un collecteur Microsoft Windows pour collecter les données depuis les systèmes

  1. Configurez le système avec le fuseau horaire UTC.
  2. Installez NXLog. Suivez la documentation NXLog.
  3. Créez un fichier de configuration pour NXLog. Utilisez le module d'entrée im_msvistalog pour les journaux du canal de sécurité du serveur Microsoft Windows. Remplacez les valeurs <hostname> et <port> par des informations concernant le serveur central de Microsoft Windows ou Linux. Consultez la documentation NXLog pour en savoir plus sur le module om_tcp.

      define ROOT     C:\Program Files (x86)\nxlog
      define WINEVTLOG_OUTPUT_DESTINATION_ADDRESS <hostname>
      define WINEVTLOG_OUTPUT_DESTINATION_PORT <port>
      define CERTDIR  %ROOT%\cert
      define CONFDIR  %ROOT%\conf
      define LOGDIR   %ROOT%\data
      define LOGFILE  %LOGDIR%\nxlog.log
      LogFile %LOGFILE%
      Moduledir %ROOT%\modules
      CacheDir  %ROOT%\data
      Pidfile   %ROOT%\data\nxlog.pid
      SpoolDir  %ROOT%\data
      <Extension _json>
          Module      xm_json
      </Extension>
      <Input windows_security_eventlog>
          Module  im_msvistalog
          <QueryXML>
              <QueryList>
                  <Query Id="0">
                      <Select Path="Application">*</Select>
                      <Select Path="System">*</Select>
                      <Select Path="Security">*</Select>
                  </Query>
              </QueryList>
          </QueryXML>
          ReadFromLast  False
          SavePos  False
      </Input>
      <Output out_chronicle_windevents>
          Module      om_tcp
          Host        %WINEVTLOG_OUTPUT_DESTINATION_ADDRESS%
          Port        %WINEVTLOG_OUTPUT_DESTINATION_PORT%
          Exec        $EventTime = integer($EventTime) / 1000;
          Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
          Exec        to_json();
      </Output>
      <Route r2>
          Path    windows_security_eventlog is set to out_chronicle_windevents
      </Route>
    
  4. Démarrez le service NXLog.

Configurer le serveur central de Microsoft Windows ou Linux

Reportez-vous à la section Installer et configurer le transfert sous Linux ou Installer et configurer le service de transfert sous Microsoft Windowspour en savoir plus sur l'installation et la configuration.

  1. Configurez le système avec le fuseau horaire UTC.
  2. Installez le transfert Chronicle sur le serveur Microsoft Windows ou Linux central.
  3. Configurez le transfert Chronicle pour envoyer les journaux à Chronicle. Voici un exemple de configuration de redirection.

      - syslog:
          common:
            enabled: true
            data_type: WINEVTLOG
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Référence du mappage de champs: champs d'événement d'appareil courants vers des champs UDM

Les champs suivants sont communs à plusieurs ID d'événement et sont mappés de la même manière.

Champ NXLog Champ UDM
Heure de l'événement métadonnées.event_timestamp
Nom d'hôte nom_principal.
ID de l'événement product_event_type est défini sur "%{EventID}"
security_result.rule_name est défini sur "EventID: "{EventID}"
SourceName metadata.product_name est défini sur "%25%7BSourceName}"

metadata.vendor est défini sur "Microsoft"
Catégorie about.labels.key/valeur
Canal about.labels.key/valeur
Gravité Les valeurs mappées au champ security_result.gravité comme suit:
Valeur d'origine 0 (None), définie sur UNKNOWN_SEVERITY
Valeur d'origine 1 (critique) est définie sur INFORMATIONAL
Valeur d'origine 2 (Erreur) est définie sur ERROR
Valeur d'origine 3 (Avertissement) est définie sur ERROR
Valeur d'origine 4 (Information) est définie sur INFORMATIONAL
ID utilisateur main.user.windows_sid
ID du processus d'exécution main.process.pid
ID du processus main.process.pid
ProviderGuid métadonnées.product_deployment_id
Numéro d'enregistrement métadonnées.product_log_id
Nom du module source observation.labels.key/value
Type du module source observateur.application
ID de l'activité security_result.detection_fields.key/value

Référence du mappage de champs: champ événement de l'appareil sur le champ UDM par ID d'événement

La section suivante décrit comment les champs NXlog/EventViewer sont mappés avec les champs UDM. Les données peuvent être mappées différemment pour différents ID d'événements Microsoft Windows.

L'en-tête de section identifie l'ID d'événement, la version (par exemple, la version 0) et le système d'exploitation (par exemple, le client Microsoft Windows 10), le cas échéant. Il peut exister plusieurs sections pour un ID d'événement lorsque la carte d'une version ou d'un système d'exploitation spécifique est différente.

ID d'événement 0

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

safety_result.summary

Fournisseur: gupdate

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: hcmon

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

target_resource_name défini sur target.resource.name

ID de l'événement 1

Fournisseur: Microsoft-Windows-FilterManager

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Sysmon

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = PROCESS_LAUNCH

Si "EventLevelName" contient "Information", alors que "security_result.Grav" = INFORMATIONAL

EventData.Hashes

Basé sur l'algorithme de hachage.

MD5 défini sur target.process.file.md5

SHA256 défini sur target.process.file.sha256

SHA1 défini sur target.process.file.sha1

EventData.User

Domaine défini sur principal.administrative_domain

Nom d'utilisateur défini sur principal.user.userid

Description

metadata.description.

Ligne de commande

target.process.command_line

Image

target.process.file.full_path

ParentCommandLine

target.process.parent_process.command_line

Image parent

target.process.parent_process.file.full_path

ParentProcessId

target.process.parent_process.pid

ProcessId

target.process.pid

EventOriginId

target.process.product_specific_process_id défini sur "sysmon:%{EventOriginId}"

Fournisseur: centre de sécurité

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

NomSource

Non disponible

target.application

Fournisseur: télégraf

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données

[Security_result.description]

ID de l'événement 2

Fournisseur: MEIx64

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur security_result.summary

Fournisseur: centre de sécurité

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

NomSource

Non disponible

target.application

Fournisseur: vmci

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Message défini sur security_result.summary

ID de l'événement 3

Version 3 / Fournisseur: Microsoft-Windows-Power-Troubleshooter

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_STARTUP

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Heure du coucher

Données/Temps de sommeil

target.resource.attribute.labels.key/value

Heure du réveil

Données/Heure de réveil

target.resource.attribute.labels.key/value

Type de réveil source

Type de données/WakeSource

target.resource.attribute.labels.key/value

WakeSourceText

Données/WakeSourceText

target.resource.attribute.labels.key/value

Fournisseur: Microsoft-Windows-Security-Kerberos

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Fichier

target.file.full_path

Fournisseur: service de disque virtuel

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Fournisseur: vmci

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 4

Fournisseur: Microsoft-Windows-Security-Kerberos

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Serveur

target.hostname

Fournisseur: service de disque virtuel

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

ID d'événement 5

Fournisseur: iScsiPrt

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Message défini sur security_result.summary

Fournisseur: McAfee Service Controller

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

Fournisseur: Microsoft-Windows-Search-ProfileNotify

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_MODIFICATION

NomSource

target.application

Utilisateur

Données/Utilisateur

target.user.userid

ID de l'événement 6

Fournisseur: Microsoft-Windows-CertificateServicesClient-AutoEnrollment

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Code d'erreur

security_result.summary

Format :

%{ErrorCode}-%{ErrorMsg}.

Erreur Msg

security_result.summary

Format :

%{ErrorCode}-%{ErrorMsg}.

Contexte

target.application

Fournisseur: Microsoft-Windows-FilterManager

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 7

Fournisseur: AdmPwd

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le nom d'hôte est absent, l'élément metadata.event_type est défini sur GENERIC_EVENT.

Données

security_result.summary

Format :

&Error: %Data

ID de l'événement 9

Fournisseur: volsnap

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Nom du volume

target.file.full_path

ID d'événement 11

Fournisseur: Microsoft-Windows-Hyper-V-Netvsc

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Nom du miniport

target.resource.name

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 12

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_STARTUP

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Sysmon

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = REGISTRY_CREATION

If EventLevelName =~ "Information", security_result.Grav = INFORMATIONAL

EventOriginId

target.process.product_specific_process_id défini sur "sysmon: "{EventOriginId}"

Événement de données/Type d'événement

target.registre.registry_key

EventData/TargetObject

target.registry.registry_value_name

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-UserModePowerService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ProcessPath

target.process.file.full_path

NouvelleSchéma

target.resource.product_object_id

ID de l'événement 13

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_SHUTDOWN

Fournisseur: Microsoft-Windows-Sysmon

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = REGISTRY_MODIFICATION

If EventLevelName =~ "Information", security_result.Grav = INFORMATIONAL

EventOriginId

target.process.product_specific_process_id défini sur "sysmon: "{EventOriginId}"

Événement de données/Type d'événement

target.registre.registry_key

Événement de données/Détails

target.registry.registry_value_data

Fournisseur: Microsoft-Windows-CertificateServicesClient-CertRegister

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

domaine_principal.administrative_domain

Nom du compte

principal.user.userid

AccountType (Type de compte)

principal.user.attribute.roles.name

Message

metadata.description.

User-ID

principal.user.windows_sid

Canada

about.labels.key/value

Code d'erreur

sécurité_résultat

Format : summary => %{error_code} - %{error_message}

Fournisseur: NPS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Données

target.ip

ID de l'événement 14

Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) ou "ClientName" (Nom du client) est absent, définissez le paramètre "metadata.event_type" sur "GENERIC_EVENT".

ClientName

principal.hostname

Cible

target.application

Compte

target.hostname

Fournisseur: Microsoft-Windows-Wininit

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 15

Fournisseur: disque

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_hostname défini sur target.hostname

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = REGISTRY_UNCATEGORIZED.

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Nouvelle taille

Données/Nouvelle taille

target.file.size

HiveName (Nom de l'Hive)

Données/Nom de l'appel

target.registre.registry_key

Fournisseur: centre de sécurité

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

ID d'événement 16

Fournisseur: Microsoft-Windows-HAL

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) ou "ClientName" (Nom du client) est absent, définissez le paramètre "metadata.event_type" sur "GENERIC_EVENT".

ClientName

principal.hostname

Cible

target.application

Compte

target.hostname

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = REGISTRY_MODIFICATION

Domaine

Système/Domaine

domaine_principal.administrative_domain

ProcessID (ID du processus)

System/ProcessID (Système/ID du processus)

principal.process.pid

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

HiveName (Nom de l'Hive)

Données/Nom de l'appel

target.registre.registry_key

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur metadata.description

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 17

Fournisseur: Microsoft-Windows-WHEA-Logger

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Catégorie définie sur security_result.category_details

Message défini sur metadata.description

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 18

Fournisseur: BTHUSB

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 19

version 0/Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Category

Données/Catégorie

security_result.category_details (en anglais)

Fournisseur: Intel-SST-OED

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

Category

safety_result.summary

ID de l'événement 20

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

updateRévisionNumber.

target.resource.attribute.labels.key/value

updateTitle

target.resource.name

Guidon

target.resource.product_object_id

ID de l'événement 21

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

ID de l'événement 22

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Catégorie définie sur security_result.category_details

Message défini sur metadata.description

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

liste de mise à jour

[Security_result.description]

ID d'événement 23

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

ID de l'événement 24

Fournisseur: Microsoft-Windows-Kernel-General

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 25

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 26

Fournisseur: pop-up d'application

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Légende

safety_result.summary

Fournisseur: Microsoft-Windows-CertificationAuthority

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

target.application = "Services de certificat Active Directory"

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Nom

Données/NomDC

target.administrative_domain

CACommonName

Data/CACommonName

target.user.userid

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Cible

target.hostname

Name (Nom)

target.user.userid

ID d'événement 27

version 0 / Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

CheminDuFichierFichier

Data/NewLogFilePath

target.file.full_path

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur metadata.description

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 28

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur metadata.description

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 29

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

ID de l'événement 30

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

ID de l'événement 31

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

ID de l'événement 32

Fournisseur: e1iexpress

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Message défini sur security_result.summary

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 33

Fournisseur: volsnap

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = FICHIER_UNCATEGORIZED

Nom du volume

target.file.full_path

Nom de l'appareil

target.resource.name

ID de l'événement 34

Fournisseur: Oracle.xstore

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = RESOURCE_READ

DBID

additional.fields.key/value

NomSource

principal.application

UTILISATEUR DE BASE DE DONNÉES

principal.user.uerid

ACTION

target.process.command_line

ID de l'événement 35

Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "principal.machineid" est absent, l'élément "metadata.event_type" est défini sur "GENERIC_EVENT".

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 36

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: NPS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_CONNECTION

Si le champ target.ip est absent, alors le champ metadata.event_type a été défini sur STATUS_UPDATE.

Message

IP défini sur target.ip

ID de l'événement 37

Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le nom d'hôte est absent, l'élément metadata.event_type est défini sur GENERIC_EVENT.

ClientName

principal.hostname

NomDuServeur

target.hostname

Fournisseur: Microsoft-Windows-Kernel-Processor-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Numéro

Données/Numéro

target.resource.attribute.labels.key/value

CapDurationInSeconds

Data/CapDurationInSeconds

target.resource.attribute.labels.key/value

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 38

Fournisseur: Microsoft-Windows-CertificationAuthority

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

target.application = "Services de certificat Active Directory"

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

CACommonName

Data/CACommonName

target.user.userid

ID de l'événement 40

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

ID de l'événement 42

Client de version 0 Windows 10 / Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

client version 2 Windows 10 /

Champ NXLog

Champ Observateur d'événements

Champ UDM

Motif

Données/Motifs

[Security_result.description]

ID de l'événement 43

Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

updateRévisionNumber.

Data/updateRevisionNumber (Données/ModificationRévision)

target.resource.attribute.labels.key/value

updateTitle

Data/updateTitle

target.resource.name

Guidon

Données/Guidon

target.resource.product_object_id

ID de l'événement 44

Client de version 0 Windows 10 / Fournisseur: Microsoft-Windows-WindowsUpdateClient

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Category

Données/Catégorie

security_result.category_details (en anglais)

ID de l'événement 45

Fournisseur: Symantec AntiVirus

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

Données

safety_result.summary

ID de l'événement 47

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Message d'erreur

[Security_result.description]

ManualPeer

target.ip

Fournisseur: Microsoft-Windows-WHEA-Logger

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 50

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Ntfs

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 51

Fournisseur: disque

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_hostname défini sur target.hostname

ID d'événement 55

Client de version 0 Windows 10/Fournisseur: Microsoft-Windows-Kernel-Processor-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Ntfs

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Résultat

safety_result.summary

ID d'événement 57

Fournisseur: hpqilo3

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

ID d'événement 58

Fournisseur: partmgr

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur metadata.description

Fournisseur: volsnap

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur metadata.description

ID d'événement 64

Fournisseur: Microsoft-Windows-CertificateServicesClient-AutoEnrollment

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Contexte

target.application

ID de l'événement 75

Fournisseur: Microsoft-Windows-CertificationAuthority

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application définie sur "Services de certificat Active Directory"

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

ErrorMessageText

safety_result.summary

ID d'événement 80

Fournisseur: ocz10xx

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données

target.hostname

ID d'événement 81

Fournisseur: hpqilo2

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Fournisseur: Microsoft-Windows-FallbackClustering-Client

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

ID de l'événement 98

Fournisseur: Microsoft-Windows-Ntfs

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type =  STATUS_HEARTBEAT

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom de l'appareil

Données/Nom de l'appareil

principal.hostname

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 100

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = Readiness

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

TâcheName

Données/Nom de la tâche

target.resource.name

ID d'instance

Données/Identificateur d'instance

target.resource.product_object_id

ID d'événement 101

Fournisseur: Stratégie de groupe pour la gestion des applications

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

security_result.description" set to "ErrorCode - %{error_code}".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 102

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Message

Extraire le PID et le mapper au champ UDM target.process.pid

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

ProcessID (ID du processus)

Données/ID du processus

principal.process.pid

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

ID de l'événement 103

Fournisseur: Stratégie de groupe pour la gestion des applications

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

security_result.description" set to "ErrorCode - {error_code}".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Message

Système/Message

Extraire le PID et le mapper au champ UDM target.process.pid

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Motif

Données/Motifs

[Security_result.description]

Fournisseur: ocz10xx

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données

target.hostname

ID de l'événement 104

Client / Fournisseur Windows 10: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_WIPE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Windows 2019 Server /

Champ NXLog

Champ Observateur d'événements

Champ UDM

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Transfer

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_RESOURCE_ACCESS

User-ID

Système/UserID

principal.user.windows_sid

SubscriptionManagerAddress

Data/SubscriptionManagerAddress

target.url

Fournisseur: WudfUsbccidDriver

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 105

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Canal

Données/Canal

[Security_result.description]

Chemin de sauvegarde

Données/Chemin de sauvegarde

target.file.full_path

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

Fournisseur: VMTools

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

NomSource

Non disponible

target.application

ID de l'événement 106

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 107

Client de version 0 Windows 10/Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = Readiness

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

TâcheName

Données/Nom de la tâche

target.resource.name

ID d'instance

Données/Identificateur d'instance

target.resource.product_object_id

ID de l'événement 108

Fournisseur: Stratégie de groupe pour la gestion des applications

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

security_result.description" set to "ErrorCode - {error_code}".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: VMTools

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

NomSource

Non disponible

target.application

ID de l'événement 109

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

ProcessID (ID du processus)

Données/ID du processus

principal.process.pid

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format :

Code d'erreur: %{value}

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_SHUTDOWN

ShutdownReason

Données/Motif de l'arrêt

[Security_result.description]

ID de l'événement 110

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 111

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 112

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 115

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

safety_result.summary

ID d'événement 129

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = Readiness

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Priorité

Données/Priorité

security_result.priorité_détails

Chemin d'accès

Données/Chemin

target.process.file.full_path

ProcessID (ID du processus)

Données/ID du processus

target.process.pid

TâcheName

Données/Nom de la tâche

target.resource.name

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Message d'erreur

Données/Message d'erreur

[Security_result.description]

ID de l'événement 130

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 131

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Message d'erreur

Données/Message d'erreur

[Security_result.description]

Pair du domaine

Data/DomainPeer

target.administrative_domain

ID de l'événement 134

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Message d'erreur

Données/Message d'erreur

[Security_result.description]

Pair du domaine

Data/DomainPeer

target.administrative_domain

ID d'événement 137

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: Ntfs

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 138

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Pair du domaine

Data/DomainPeer

target.administrative_domain

ID d'événement 139

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 140

Fournisseur: Microsoft-Windows-Ntfs

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Nom de l'appareil

principal.hostname

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SCHEDULED_TASK_MODIFICATION

target.resource.resource_type = Readiness

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

TâcheName

Données/Nom de la tâche

target.resource.name

UserName (Nom d'utilisateur)

Données/Nom d'utilisateur

target.user.user_display_name

ID de l'événement 142

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Message défini sur security_result.summary

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 143

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 146

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Message défini sur security_result.summary

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 153

Fournisseur: disque

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 157

Fournisseur: disque

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

ID de l'événement 158

Fournisseur: disque

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Message défini sur security_result.summary

target_url défini sur target.url

Fournisseur: Microsoft-Windows-Time-Service

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

TimeProvider

target.resource.name

ID de l'événement 172

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Motif

Données/Motifs

[Security_result.description]

ID d'événement 200

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SCHEDULED_TASK_ENABLE

target.resource.resource_type = Readiness

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

TâcheName

Données/Nom de la tâche

target.resource.name

TâcheInstanceId

Data/TaskInstanceId

target.resource.product_object_id

ID de l'événement 201

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED

target.resource.resource_type = Readiness

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

TâcheName

Données/Nom de la tâche

target.resource.name

TâcheInstanceId

Data/TaskInstanceId

target.resource.product_object_id

ID de l'événement 202

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 203

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 204

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 205

Serveur version 0 2019 de Windows / Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

Nom de domaine

Données/Nommage

target.administrative_domain

ID de l'événement 219

Fournisseur: Microsoft-Windows-Kernel-PnP

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Pilote

target.hostname

Nom de l'échec

target.resource.name

ID de l'événement 225

Fournisseur: Microsoft-Windows-Kernel-PnP

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

InstanceInstance

target.hostname

ProcessName (Nom du processus)

target.process.file.full_path

ID d'événement 233

Fournisseur: Microsoft-Windows-Hyper-V-VmSwitch

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

ID de l'événement 234

Fournisseur: Microsoft-Windows-Hyper-V-VmSwitch

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

ID d'événement 238

Fournisseur: Microsoft-Windows-Kernel-Boot

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT".

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 258

Fournisseur: VMUpgradeHelper

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

NomSource

Non disponible

target.application

ID de l'événement 260

Fournisseur: VMUpgradeHelper

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

NomSource

Non disponible

target.application

ID de l'événement 271

Fournisseur: VMUpgradeHelper

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

NomSource

Non disponible

target.application

ID de l'événement 272

Fournisseur: VMUpgradeHelper

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

NomSource

Non disponible

target.application

ID de l'événement 299

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 300

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extrayez le PID et mappez-le sur target.process.pid.

ID de l'événement 301

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extrayez le PID et mappez-le sur target.process.pid.

ID de l'événement 302

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extrayez le PID et mappez-le sur target.process.pid.

ID d'événement 325

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extrayez le PID et mappez le fichier sur target.process.pid.

ID d'événement 326

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extrayez le PID et mappez-le sur target.process.pid.

ID de l'événement 403

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données_9

network.http.user_agent

Domaine

Système/Domaine

domaine_principal.administrative_domain

Données_8

principal.ip

Données_7

principal.port

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Données_3

target.ip

Données_5

target.url

ID de l'événement 404

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Données_3

security_description défini sur "{Data_3}" : "{Data_4}"

Données_4

security_description défini sur "{Data_3}" : "{Data_4}"

ID de l'événement 405

Fournisseur: ADSync

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

domaine_principal.administrative_domain

Données_1

principal.user.userid

ID de l'événement 410

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données_4

network.http.user_agent

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Données_10

target.ip

Données_8

target.url

ID de l'événement 412

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 424

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

client_certificate_series défini sur network.tls.client.certificate.series

client_certificate_subject défini sur "network.tls.client.certificate.subject"

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 500

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 501

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 506

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

[Security_result.description]

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

ID de l'événement 507

Fournisseur: Microsoft-Windows-Kernel-Power

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

reason_description défini sur security_result.description

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

ID de l'événement 508

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extrayez le PID et mappez-le sur target.process.pid.

ID de l'événement 510

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données_1

Data_1.Host défini sur target.hostname

Data_1.User-Agent défini sur network.http.user_agent

Data_1.X-MS-Endpoint-Absolute-Path défini sur target.url

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 517

Fournisseur: Microsoft-Windows-DFSN-Server

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

User-ID

principal.user.windows_sid

Espace de noms fsfs

target.resource.name

ID de l'événement 521

Fournisseur: sécurité

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

ID de l'événement 529

Fournisseur: sécurité

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGIN

security_result.action = BLOCK

security_result.category = AUTH_VIOLATION

Type d'authentification

Non disponible

extensions.auth.mechanism.

Message

Non disponible

username défini sur target.user.userid

domaine défini sur target.administrative_domain

target_workstation défini sur target.hostname

ID de l'événement 600

Fournisseur: PowerShell

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Category

metadata.description.

NomSource

principal.application

Application application

target.file.full_path

ProviderName (Nom du fournisseur)

target.resource.name

ID de l'événement 601

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

metadata.description = Tentative d'installation d'un service

SubjectUserName (Nom d'utilisateur de l'objet)

principal.user.userid

Résumé

safety_result.summary

Nom du service

target.process.command_line

ServiceFileName (Nom du fichier de service)

target.process.file.full_path

ID de l'événement 642

Fournisseur: ESENT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT

Extraire le mappage PID avec target.process.pid

ID de l'événement 653

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

safety_result.summary

ID de l'événement 654

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

safety_result.summary

ID de l'événement 663

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

safety_result.summary

ID de l'événement 700

Fournisseur: NTDS ISAM

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) ou "MessageSourceAddress" (Adresse_source_message) est absent, définissez "metadata.event_type" sur "GENERIC_EVENT".

MessageSourceAddress (Adresse source de la messagerie)

principal.ip

ID de l'événement 701

Fournisseur: NTDS ISAM

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) ou "MessageSourceAddress" (Adresse_source_message) est absent, définissez "metadata.event_type" sur "GENERIC_EVENT".

MessageSourceAddress (Adresse source de la messagerie)

principal.ip

ID de l'événement 719

Fournisseur: Microsoft-Windows-TaskScheduler

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Category

Données/Catégorie

security_result.category_details (en anglais)

ID de l'événement 781

Fournisseur: Microsoft-Windows-Complus

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

param3

Données/param3

target.registre.registry_key

ID d'événement 800

Fournisseur: PowerShell

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

metadata.description défini sur "Pipeline d'exécution"

security_result.summary défini sur "Détails d'exécution du pipeline pour la ligne de commande"

NomSource

principal.application

UserId

principal.user.userid

Application application

target.file.full_path

ID d'événement 888

Fournisseur: top_5

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 900

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = SERVICE_START

target.application = "Software Protection"

ID de l'événement 902

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = SERVICE_START

target.application = "Software Protection"

ID de l'événement 903

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = SERVICE_STOP

target.application = "Software Protection"

ID de l'événement 904

Fournisseur: Synchronisation des annuaires

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données

safety_result.summary

ID de l'événement 1001

Fournisseur: Microsoft Antilogiciels

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

target_resource_product_object_id défini sur target.resource.product_object_id

Fournisseur: Microsoft-Windows-WER-SystemErrorReporting

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

param2

target.file.full_path

Fournisseur: POP

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur security_result.summary

Fournisseur: Windows Error Reporting

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

ID de l'événement 1003

Fournisseur: Microsoft-Windows-Search

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

Category

Données/Catégorie

target.application

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 1004

Fournisseur: IPMIDRV

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données

target.hostname

Fournisseur: Microsoft-Windows-Search

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_MODIFICATION

Motif

Données/Motifs

[Security_result.description]

Category

Données/Catégorie

target.application

Fournisseur: POP

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Fournisseur: TdIca

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_ip défini sur target.ip

target_port défini sur "target_port"

ID de l'événement 1005

Fournisseur: Microsoft-Windows-Search

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_MODIFICATION

Category

Données/Catégorie

target.application

ID de l'événement 1007

Fournisseur: TdIca

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_ip défini sur target.ip

target_port défini sur "target_port"

ID de l'événement 1008

Fournisseur: Microsoft-Windows-Perflib

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ÉvénementXML.param1

target.application

ÉvénementXML.param2

target.file.full_path

Fournisseur: Microsoft-Windows-Search

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

Motif

Données/Motifs

[Security_result.description]

Category

Données/Catégorie

target.application

ID de l'événement 1010

Fournisseur: Microsoft-Windows-Search

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_MODIFICATION

Category

Données/Catégorie

target.application

ID de l'événement 1013

Fournisseur: Microsoft-Windows-Search

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

Category

Données/Catégorie

target.application

ID de l'événement 1016

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

ID de l'événement 1023

Fournisseur: Microsoft-Windows-Perflib

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Bibliothèque

Données/Bibliothèque

target.file.full_path

ID de l'événement 1030

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

[Security_result.description]

Code d'erreur

security_result.summary

Format:

ErrorCode - %{ErrorCode}

Nom

target.administrative_domain

ID de l'événement 1033

Fournisseur: MsiInstaller

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Extrayez le nom du produit et mappez-le sur target.application

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 1034

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

ID de l'événement 1037

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 1040

Fournisseur: MsiInstaller

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Extraire processus_id et le mapper sur target.process.pid

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 1042

Fournisseur: MsiInstaller

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Extraire processus_id et le mapper sur target.process.pid

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 1053

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

Données/Erreur de description

[Security_result.description]

ID de l'événement 1054

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

Données/Erreur de description

[Security_result.description]

ID de l'événement 1055

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

Données/Erreur de description

[Security_result.description]

Code d'erreur

Données/Code d'erreur

security_result.summary

Format:

ErrorCode - %{ErrorCode}

ID de l'événement 1056

Fournisseur: Microsoft-Windows-TerminalServices-RemoteConnectionManager

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

server_certificate_subject défini sur network.tls.server.certificate.subject

ID de l'événement 1057

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

target.resource_type_= DATABASE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 1058

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

Données/Erreur de description

[Security_result.description]

Nom

Données/NomDC

target.administrative_domain

FilePath

Données/Chemin d'accès

target.file.full_path

ID de l'événement 1064

Fournisseur: Microsoft-Windows-TerminalServices-RemoteConnectionManager

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

safety_result.summary

ID de l'événement 1066

Fournisseur: Microsoft-Windows-Security-SPP

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = GENERIC_EVENT

ID de l'événement 1067

Fournisseur: Microsoft-Windows-TerminalServices-RemoteConnectionManager

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 1069

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Groupe de ressources

nom.groupe.groupe_à_afficher

ResourceName

target.resource.name

ID de l'événement 1073

Fournisseur: User32

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_SHUTDOWN

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

param1

Données/param1

target.hostname

param2

Données/param2

target.user.userid

ID de l'événement 1074

Fournisseur: User32

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_SHUTDOWN

Fournisseur: USER32

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_SHUTDOWN

target_process_file_full_path défini sur target.process.file.full_path

target_hostname défini sur target.hostname

Fournisseur: User32

Champ NXLog

Champ Observateur d'événements

Champ UDM

Domaine

domaine_principal.administrative_domain

Fournisseur: USER32

Champ NXLog

Champ Observateur d'événements

Champ UDM

Domaine

Système/Domaine

domaine_principal.administrative_domain

Fournisseur: User32

Champ NXLog

Champ Observateur d'événements

Champ UDM

param2

Données/param2

principal.hostname

param1

Données/param1

principal.process.file.full_path

AccountType (Type de compte)

principal.user.attribute.roles.name

Fournisseur: USER32

Champ NXLog

Champ Observateur d'événements

Champ UDM

Nom du compte

Système/Nom du compte

principal.user.userid

Fournisseur: User32

Champ NXLog

Champ Observateur d'événements

Champ UDM

User-ID

principal.user.windows_sid

param3

Données/param3

[Security_result.description]

param7

Données/param7

target.user.userid

ID de l'événement 1076

Fournisseur: User32

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 1085

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

Données/Erreur de description

[Security_result.description]

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

ErrorCode - %{value}

Nom

Données/NomDC

target.administrative_domain

ID de l'événement 1100

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

target.application = "Service de journalisation des événements"

ID d'événement 1101

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 1102

Fournisseur: audit AD FS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

target_ip défini sur "target.ip"

target_url défini sur target.url

client_certificate_series défini sur network.tls.client.certificate.series

client_certificate_subject défini sur "network.tls.client.certificate.subject"

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Fournisseur: réplication DFS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_WIPE

SubjectDomaine

domaine_principal.administrative_domain

SubjectUserName (Nom d'utilisateur de l'objet)

principal.user.userid

ObjetUtilisateur

principal.user.windows_sid

ID d'événement 1103

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID d'événement 1104

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 1105

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

AutoBackup.BackupPath

Données/Chemin de sauvegarde

target.file.full_path

ID d'événement 1106

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Motif

Données/Motifs

[Security_result.description]

ID de l'événement 1107

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_UNSPECIFIED.

target.application = "Service de journalisation des événements"

ProcessID (ID du processus)

Données/ID du processus

principal.process.pid

Code d'erreur

Données/Code d'erreur

safety_result.summary

Format:

Code d'erreur: %{value}

ID d'événement 1108

Fournisseur: Microsoft-Windows-Eventlog

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 1112

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

[Security_result.description]

Code d'erreur

security_result.summary

Format:

ErrorCode - %{ErrorCode}

Nom

target.administrative_domain

ExtensionName (Nom de l'extension)

target.resource.name

ExtensionId

target.resource.product_object_id

ID de l'événement 1126

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données_1

security_result.summary set & "Error: %{Data_1} - %{Data_2}"

Données_2

security_result.summary set & "Error: %{Data_1} - %{Data_2}"

ID de l'événement 1128

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ExtensionName (Nom de l'extension)

target.resource.name

ExtensionId

target.resource.product_object_id

ID de l'événement 1129

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ErrorDescription (Description d'erreur)

Données/Erreur de description

[Security_result.description]

ID d'événement 1134

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1150

Fournisseur: Microsoft Antilogiciels

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

platform_version défini sur principal.asset.platform_software.platform_version

ID de l'événement 1162

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1173

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1196

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

StatusString

safety_result.summary

ResourceName

target.resource.name

ID de l'événement 1205

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Groupe de ressources

nom.groupe.groupe_à_afficher

ID de l'événement 1213

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

ID de l'événement 1216

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Données_3

[Security_result.description]

Données

safety_result.summary

Format:

&code d'erreur - DataData-"

ID d'événement 1226

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 1254

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Groupe de ressources

nom.groupe.groupe_à_afficher

ID de l'événement 1257

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

DNSZone

about.labels.key/value

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Groupe de ressources

nom.groupe.groupe_à_afficher

ID d'événement 1307

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1311

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1317

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

ID de l'événement 1500

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Nom

Données/NomDC

target.administrative_domain

ID de l'événement 1501

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 1502

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Nom

Données/NomDC

target.administrative_domain

ID de l'événement 1503

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Nom

Données/NomDC

target.administrative_domain

ID de l'événement 1531

Fournisseur: service de profils utilisateur Microsoft-Windows

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

Domaine

Non disponible

domaine_principal.administrative_domain

Nom du compte

Non disponible

principal.user.userid

User-ID

Non disponible

principal.user.windows_sid

NomSource

Non disponible

target.application

ID de l'événement 1532

Fournisseur: service de profils utilisateur Microsoft-Windows

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

Domaine

Non disponible

domaine_principal.administrative_domain

Nom du compte

Non disponible

principal.user.userid

User-ID

Non disponible

principal.user.windows_sid

NomSource

Non disponible

target.application

ID de l'événement 1535

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données

[Security_result.description]

ID d'événement 1564

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = RESOURCE_READ

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ShareName (Nom du partage)

target.resource.name

ID d'événement 1566

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1573

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 1593

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = RESOURCE_READ

target.resource_type_= DATABASE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

DatabaseFilePath (Chemin d'accès à la base de données)

target.file.full_path

ID d'événement 1643

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 1644

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 1645

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 1653

Fournisseur: Microsoft-Windows-FallbackClustering

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID d'événement 1699

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données_4

security_result.summary set &"Error Code - %{Data_4}".

ID d'événement 1704

Fournisseur: SceCli

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

ProcessId

principal.process.pid

Message

safety_result.summary

ID d'événement 1865

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1925

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 1955

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2000

Fournisseur: Microsoft Antilogiciels

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

current_signature_version set to target.resource.attribute.labels.key/value

previous_signature_version défini sur target.resource.attribute.labels.key/value

ID d'événement 2001

Fournisseur: Microsoft Antilogiciels

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données_14

safety_result.summary

Données_17

target.url

Fournisseur: NTDS ISAM

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) ou "MessageSourceAddress" (Adresse_source_message) est absent, définissez "metadata.event_type" sur "GENERIC_EVENT".

MessageSourceAddress (Adresse source de la messagerie)

principal.ip

ID d'événement 2004

Fournisseur: Microsoft-Windows-Resource-Exhaustion-Detector

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 2041

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

ID de l'événement 2042

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2053

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2065

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2085

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

MessageSourceAddress (Adresse source de la messagerie)

principal.ip

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2089

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 2108

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données_3

security_result.summary set "Error: %{Data_4} - %{Data_3}"

Données_4

security_result.summary set "Error: %{Data_4} - %{Data_3}"

ID de l'événement 2811

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2887

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2889

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2896

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données_1

security_result.summary set & "Error: %{Data_1} - %{Data_2}"

Données_2

security_result.summary set & "Error: %{Data_1} - %{Data_2}"

ID de l'événement 2904

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2946

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID de l'événement 2947

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

Données_2

principal.ip

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données_3

security_result.summary set "Error: %{Data_3}" ;

ID de l'événement 2974

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

Données_2

security_result.summary set &"Error Code - %{Data_2}".

ID d'événement 3040

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 3041

Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT.

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.attribute.roles.name

Nom du compte

principal.user.userid

User-ID

principal.user.windows_sid

ID d'événement 3072

Fournisseur: agents de base

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID d'événement 3096

Fournisseur: NETLOGON

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Message défini sur security_result.summary

ID d'événement 3260

Fournisseur: poste de travail

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID d'événement 3261

Fournisseur: poste de travail

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 4000

client version 0 Windows 10 / Fournisseur: Microsoft-Windows-Diagnostics-Networking

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4003

Fournisseur: Microsoft-Windows-WLAN-AutoConfig

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Code d'erreur

Données/Code d'erreur

security_result.summary

Format :

%{ErrorCode}-%{ErrorMsg}.

ID de l'événement 4005

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.attribute.roles.name

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ReasonForSyncProcessing

Data/ReasonForSyncProcessing

safety_result.summary

Nom principal

Data/PrincipalSamName

target.hostname

Règle ActivityId

Data/PolicyActivityId

target.resource.product_object_id

ID de l'événement 4006

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Nom principal

Data/PrincipalSamName

target.hostname

Règle ActivityId

Data/PolicyActivityId

target.resource.product_object_id

ID de l'événement 4016

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

DescriptionString (Chaîne de description)

Données/Chaîne de description

[Security_result.description]

CSEExtensionName

Data/CSEExtensionName

target.resource.name

CSEExtensionId

Data/CSEExtensionId

target.resource.product_object_id

ID de l'événement 4017

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

Description de l'opération

Data/OperationDescription

[Security_result.description]

ID de l'événement 4096

Fournisseur: NetJoin

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_CONNECTION

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

Nom de domaine

Données/Nommage

target.administrative_domain

NomOrdinateur

Données/NomOrdinateur

target.hostname

ID de l'événement 4097

Fournisseur: Microsoft-Windows-CAPI2

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

Fournisseur: NetJoin

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_CONNECTION

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

NetStatusCode

Données/Code d'état

[Security_result.description]

Nom de domaine

Données/Nommage

target.administrative_domain

NomOrdinateur

Données/NomOrdinateur

target.hostname

ID de l'événement 4100

Fournisseur: Microsoft-Windows-Diagnostics-Networking

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4103

version 1 / Fournisseur: Microsoft-Windows-PowerShell

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

principal.user.role_description

Nom du compte

principal.user.role_name

User-ID

principal.user.windows_sid

Category

safety_result.summary

CommandName

target.application

Nom du script

target.file.full_path

Application application

target.process.command_line

target.process.file.full_path

ID de l'événement 4104

Fournisseur: Microsoft-Windows-PowerShell

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

Domaine

domaine_principal.administrative_domain

User-ID

principal.user.windows_sid

Category

safety_result.summary

NomSource

target.application

ID de l'événement 4108

Fournisseur: Microsoft-Windows-CAPI2

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

Extrayez les informations du champ "Message" et mappez-les sur "network.tls.client.certificate"

ID de l'événement 4109

Fournisseur: Microsoft-Windows-CAPI2

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

Extrayez les informations du champ"Message"et mappez-les sur"network.tls.client.certificate"

ID de l'événement 4111

Fournisseur: Microsoft-Windows-MSDTC

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_STOP

NomSource

Non disponible

target.application

ID de l'événement 4112

Fournisseur: Microsoft-Windows-CAPI2

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

ID de l'événement 4113

Fournisseur: Microsoft-Windows-CAPI2

Champ NXLog

Champ Observateur d'événements

Champ UDM

Non disponible

metadata.event_type = STATUS_UPDATE

ID de l'événement 4115

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4116

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.userid

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4117

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4126

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4199

Fournisseur: Tcpip

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Données

Données/Données

principal.ip

Données_1

Données/Données_1

target.mac

ID de l'événement 4200

Fournisseur: Microsoft-Windows-Iphlpsvc

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

Nom du compte

Système/Nom du compte

principal.user.userid

Interface

target_resource_product_object_id défini sur target.resource.product_object_id

Adresse

target.ip

ID de l'événement 4202

Fournisseur: Microsoft-Windows-MSDTC 2

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

NomSource

Non disponible

target.application

param9

Données/param9

target.user.userid

ID de l'événement 4227

Fournisseur: Tcpip

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

Message défini sur security_result.summary

ID de l'événement 4230

Fournisseur: Tcpip

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

ID de l'événement 4257

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4319

Fournisseur: NetBT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 4321

Fournisseur: NetBT

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_CONNECTION

Données

Données/Données

principal.hostname et principal.port

Données_1

Données/Données_1

principal.ip

Données_2

Données/Données_2

target.ip

ID de l'événement 4326

Fournisseur: Microsoft-Windows-GroupPolicy

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

Domaine

Système/Domaine

domaine_principal.administrative_domain

AccountType (Type de compte)

Système/Type de compte

principal.user.role_description

Nom du compte

Système/Nom du compte

principal.user.role_name

User-ID

Système/UserID

principal.user.windows_sid

ID de l'événement 4400

Fournisseur: NPS

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UNCATEGORIZED

Données_1

domaine_principal.administrative_domain

ID de l'événement 4608

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_STARTUP

ID de l'événement 4609

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_SHUTDOWN

ID de l'événement 4610

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

AuthenticationPackageName

Data/AuthenticationPackageName

target.resource.name

ID de l'événement 4611

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = PROCESS_UNCATEGORIZED (processus annulé)

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

LogonProcessName

Data/LogonProcessName

target.process.command_line

ID de l'événement 4612

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

ID de l'événement 4614

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

NotificationPackageName

Data/NotificationPackageName

target.resource.name

ID de l'événement 4615

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_UNCATEGORIZED

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

ProcessName (Nom du processus)

Données/Nom du processus

principal.process.command_line

ProcessId

Data/ProcessId

principal.process.pid

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

ID de l'événement 4616

version 0 / Fournisseur: Microsoft-Windows-Security-Audit

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = Setting_MODIFICATION

target.resource.resource_type définie sur Setting

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

ProcessName (Nom du processus)

Données/Nom du processus

principal.process.file.full_path

ProcessId

Data/ProcessId

principal.process.pid

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

version 1/

Champ NXLog

Champ Observateur d'événements

Champ UDM

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

ProcessName (Nom du processus)

Données/Nom du processus

principal.process.file.full_path

ProcessId

Data/ProcessId

principal.process.pid

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

Nouvelle date

Données/Nouvelle date

target.resource.attribute.labels.key = "NewDate" value in target.resource.attribute.labels.value

Nouvelle heure

Données/NewTime

target.resource.attribute.labels.key = "NewTime" valeur dans target.resource.attribute.labels.value

PreviousDate (Date précédente)

Données/Date précédente

target.resource.attribute.labels.key = "PreviousDate" value in target.resource.attribute.labels.value

Heure précédente

Données/Heure précédente

target.resource.attribute.labels.key = "PreviousTime" valeur dans target.resource.attribute.labels.value

ID de l'événement 4618

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GENERIC_EVENT

CibleUtilisateurDomaine

Données/DomaineUtilisateur de la cible

target.administrative_domain

NomOrdinateur

Données/NomOrdinateur

target.hostname

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4621

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

CrashOnAuditFailValue

Données/CrashOnAuditFailValue

safety_result.summary

ID de l'événement 4622

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

SecurityPackageName

Data/SecurityPackageName

target.resource.name

ID de l'événement 4624

version 0 / Fournisseur: Microsoft-Windows-Security-Audit

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGIN

security_result.action défini sur "ALLOW"

Type d'authentification

Data/LogonType (Données/Type d'authentification)

extensions.auth.mechanism et extensions.auth.details

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

ID LogonId

Data/TargetLogonId

target.labels.key/value

WorkstationName (Nom du poste de travail)

Données/Nom du poste de travail

principal.hostname

ProcessName (Nom du processus)

Données/Nom du processus

principal.process.command_line

ProcessId

Data/ProcessId

principal.process.pid

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

AuthenticationPackageName

Data/AuthenticationPackageName

security_result.about.resource.name (en anglais)

ElevatedToken

Données/ElevatedToken

security_result.detection_fields.labels.key/value

Adresse IP

Données/Adresse IP

src.ip

IpPort

Données/Port IP

src.port

Nom de cible cible

Données/Nombril cible

target.administrative_domain

LogonProcessName

Data/LogonProcessName

target.process.file.full_path

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4625

Fournisseur: Microsoft-Windows-EventSystem

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = STATUS_UPDATE

param3

Données/param3

about.registre.registre_key

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGIN

security_result.category = AUTH_VIOLATION

security_result.action = BLOCK

extensions.auth.type défini sur MACHINE

Type d'authentification

Data/LogonType (Données/Type d'authentification)

extensions.auth.mechanism et extensions.auth.details

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

Objet LogonId

Data/SubjectLogonId

principal.labels.key/value

WorkstationName (Nom du poste de travail)

Données/Nom du poste de travail

principal.hostname

ProcessName (Nom du processus)

Données/Nom du processus

principal.process.command_line

ProcessId

Data/ProcessId

principal.process.pid

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

AuthenticationPackageName

Data/AuthenticationPackageName

security_result.about.resource.name (en anglais)

Status

Données/État

safety_result.summary

Renseignez la description correspondant aux codes d'état. Format: Status(%{Status}): %{status_description}. Si la valeur suivante est 0xc000006d, stockez-la. Le motif est soit un nom d'utilisateur incorrect, soit des informations d'authentification (référencées dans le tableau des documents).'

Sous-état

Données/Sous-état

[Security_result.description]

Renseignez la description correspondant aux codes de sous-état. Format: SubStatus(%{SubStatus}): %{sub_status_description} Si la valeur à venir est 0xc000006d, stockez la valeur 'c'est-à-dire un nom d'utilisateur ou des informations d'authentification incorrects (référencés dans le tableau des documents.

Adresse IP

Données/Adresse IP

src.ip

IpPort

Données/Port IP

src.port

Nom de cible cible

Données/Nombril cible

target.administrative_domain

LogonProcessName

Data/LogonProcessName

target.process.file.full_path

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4626

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGIN

Type d'authentification

Data/LogonType (Données/Type d'authentification)

extensions.auth.mechanism et extensions.auth.details

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

Nom de cible cible

Données/Nombril cible

target.administrative_domain

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4627

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = GROUP_UNCATEGORIZED

Type d'authentification

Data/LogonType (Données/Type d'authentification)

extensions.auth.mechanism et extensions.auth.details

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

Nom de cible cible

Données/Nombril cible

target.administrative_domain

Appartenance à un groupe

Données/appartenance au groupe

target.user.group_identifiers [identifiants_groupe_d'utilisateurs]

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4634

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGOUT

security_result.action = ALLOW

Type d'authentification

Data/LogonType (Données/Type d'authentification)

extensions.auth.mechanism et extensions.auth.details

Nom de cible cible

Données/Nombril cible

target.administrative_domain

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4646

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SERVICE_START

ID de l'événement 4647

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGOUT

Nom de cible cible

Données/Nombril cible

target.administrative_domain

TargetUserName

Data/TargetUserName

target.user.userid

TargetUserSid

Données/CibleUtilisateurSid

target.user.windows_sid

ID de l'événement 4648

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = USER_LOGIN

security_result.action défini sur "ALLOW"

extensions.auth.mechanism défini sur "USERNAME_PASSWORD"

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

ProcessName (Nom du processus)

Données/Nom du processus

principal.process.command_line

ProcessId

Data/ProcessId

principal.process.pid

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

Adresse IP

Données/Adresse IP

src.ip

IpPort

Données/Port IP

src.port

Nom de cible cible

Données/Nombril cible

target.administrative_domain

TargetUserName

Data/TargetUserName

target.user.userid

ID de l'événement 4649

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = SYSTEM_AUDIT_UNCATEGORIZED

SubjectDomaine

Données/Nom du domaine

domaine_principal.administrative_domain

LogonProcessName

Data/LogonProcessName

principal.process.command_line

SubjectUserName (Nom d'utilisateur de l'objet)

Données/Nom d'utilisateur

principal.user.userid

ObjetUtilisateur

Données/ObjetUtilisateur

principal.user.windows_sid

Nom de cible cible

Données/Nombril cible

target.administrative_domain

WorkstationName (Nom du poste de travail)

Données/Nom du poste de travail

target.hostname

ProcessName (Nom du processus)

Données/Nom du processus

target.process.command_line

ProcessId

Data/ProcessId

target.process.pid

TargetUserName

Data/TargetUserName

target.user.userid

ID de l'événement 4650

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_UNCATEGORIZED

LocalMMPrincipalName

Data/LocalMMPrincipalName

principal.hostname

Adresse locale

Données/Adresse locale

principal.ip

LocalKeyModPort

Data/LocalKeyModPort

principal.port

RemoteMMPrincipalName

Data/RemoteMMPrincipalName

target.hostname

RemoteAddress

Données/Adresse à distance

target.ip

RemoteKeyModPort

Data/RemoteKeyModPort

target.port

ID de l'événement 4651

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_UNCATEGORIZED

Local MMIssuingCA

Données/LocalMMIssuingCA

network.tls.client.certificate.issuer

RemoteMMIssuingCA

Données/TélécommandeMMMM

network.tls.server.certificate.issuer

LocalMMPrincipalName

Data/LocalMMPrincipalName

principal.hostname

Adresse locale

Données/Adresse locale

principal.ip

LocalKeyModPort

Data/LocalKeyModPort

principal.port

RemoteMMPrincipalName

Data/RemoteMMPrincipalName

target.hostname

RemoteAddress

Données/Adresse à distance

target.ip

RemoteKeyModPort

Data/RemoteKeyModPort

target.port

ID de l'événement 4652

Fournisseur: Microsoft-Windows-Security-Auditing

Champ NXLog

Champ Observateur d'événements

Champ UDM

metadata.event_type = NETWORK_UNCATEGORIZED

Local MMIssuingCA

Données/LocalMMIssuingCA

network.tls.client.certificate.issuer

RemoteMMIssuingCA

Données/TélécommandeMMMM

network.tls.server.certificate.issuer

LocalMMPrincipalName

Data/LocalMMPrincipalName

principal.hostname

Adresse locale

Données/Adresse locale

principal.ip

LocalKeyModPort