Collecter les données d'événement Microsoft Windows
Ce document:
- décrit l'architecture et les étapes d'installation du déploiement, ainsi que toute configuration requise qui produit des journaux compatibles avec l'analyseur Chronicle pour les événements Windows. Pour en savoir plus sur l'ingestion de données Chronicle, consultez la page Ingestion de données vers Chronicle.
- inclut des informations sur la façon dont l'analyseur mappe les champs du journal d'origine vers les champs du modèle de données unifié Chronicle.
Les informations contenues dans ce document s'appliquent à l'analyseur portant le libellé d'ingestion WINEVTLOG. Le libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes vers un format UDM structuré.
Avant de commencer
Examiner l'architecture de déploiement recommandée
Ce schéma illustre les composants de base recommandés dans une architecture de déploiement pour collecter et envoyer des données d'événement Microsoft Windows à Chronicle. Comparez ces informations avec votre environnement pour vous assurer que ces composants sont installés. Chaque déploiement client sera différent de cette représentation, qui sera peut-être plus complexe. Vous devez remplir les conditions suivantes:
- Les systèmes de l'architecture de déploiement sont configurés avec le fuseau horaire UTC.
- NXLog est installé sur le serveur Microsoft Windows du collecteur.
- Le serveur Microsoft Windows du collecteur reçoit les journaux des serveurs, des points de terminaison et des contrôleurs de domaine.
- Les systèmes Microsoft Windows utilisent l'architecture de déploiement.
- Ils permettent de collecter des événements sur plusieurs appareils.
- Le service WinRM est activé pour la gestion du système à distance.
- NXLog est installé sur le serveur du collecteur de fenêtres pour transférer les journaux vers le service de transfert Chronique.
Le programme de transfert Chronicle est installé sur le collecteur Microsoft Windows ou Linux sur le serveur.
Examinez les appareils et les versions compatibles
L'analyseur Chronicle est compatible avec les journaux des versions suivantes du serveur Microsoft Windows. Le serveur Microsoft Windows est disponible avec les éditions suivantes: Foundation, Essentials, Standard et Datacenter. Le schéma d'événement des journaux générés par chaque édition ne diffère pas.
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012
L'analyseur Chronicle est compatible avec les journaux des systèmes clients Microsoft Windows 10 et versions ultérieures.
L'analyseur Chronicle est compatible avec les journaux collectés par la communauté NXLog ou Enterprise Edition.
Examiner les types de journaux compatibles
L'analyseur Chronicle est compatible avec les types de journaux suivants générés par les systèmes Microsoft Windows. Pour en savoir plus sur ces types de journaux, consultez la documentation sur le journal des événements Microsoft Windows. Cette page accepte les journaux générés en anglais et n'est pas compatible avec les journaux rédigés dans une autre langue.
| Type de journal | Remarques |
|---|---|
| Sécurité | Journaux d'audit et d'événement de sécurité |
| Application | Événements enregistrés par les applications ou les programmes. Si le fichier manifeste n'est pas installé en local, des valeurs hexadécimales ou manquantes sont consignées dans les journaux de l'application. |
| System | Événements enregistrés par les composants système Microsoft Windows. |
Configurer les serveurs, les points de terminaison et les contrôleurs de domaine Microsoft Windows
- Installez et configurez les serveurs, les points de terminaison et les contrôleurs de domaine.
- Configurez tous les systèmes avec le fuseau horaire UTC.
- Configurez les appareils pour qu'ils transfèrent les journaux vers un serveur Microsoft Windows de collecteur.
- Configurez un abonnement initié par la source sur le serveur Microsoft Windows (collecteur). Pour en savoir plus, consultez Configurer un abonnement initié par la source.
- Activez WinRM sur les serveurs et les clients Microsoft Windows. Pour en savoir plus, consultez Installation et configuration pour la gestion à distance de Microsoft Windows.
Configurer le serveur de collecteur Microsoft Windows
Configurer un collecteur Microsoft Windows pour collecter les données depuis les systèmes
- Configurez le système avec le fuseau horaire UTC.
- Installez NXLog. Suivez la documentation NXLog.
Créez un fichier de configuration pour NXLog. Utilisez le module d'entrée im_msvistalog pour les journaux du canal de sécurité du serveur Microsoft Windows. Remplacez les valeurs
<hostname>et<port>par des informations concernant le serveur central de Microsoft Windows ou Linux. Consultez la documentation NXLog pour en savoir plus sur le module om_tcp.define ROOT C:\Program Files (x86)\nxlog define WINEVTLOG_OUTPUT_DESTINATION_ADDRESS <hostname> define WINEVTLOG_OUTPUT_DESTINATION_PORT <port> define CERTDIR %ROOT%\cert define CONFDIR %ROOT%\conf define LOGDIR %ROOT%\data define LOGFILE %LOGDIR%\nxlog.log LogFile %LOGFILE% Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data <Extension _json> Module xm_json </Extension> <Input windows_security_eventlog> Module im_msvistalog <QueryXML> <QueryList> <Query Id="0"> <Select Path="Application">*</Select> <Select Path="System">*</Select> <Select Path="Security">*</Select> </Query> </QueryList> </QueryXML> ReadFromLast False SavePos False </Input> <Output out_chronicle_windevents> Module om_tcp Host %WINEVTLOG_OUTPUT_DESTINATION_ADDRESS% Port %WINEVTLOG_OUTPUT_DESTINATION_PORT% Exec $EventTime = integer($EventTime) / 1000; Exec $EventReceivedTime = integer($EventReceivedTime) / 1000; Exec to_json(); </Output> <Route r2> Path windows_security_eventlog is set to out_chronicle_windevents </Route>Démarrez le service NXLog.
Configurer le serveur central de Microsoft Windows ou Linux
Reportez-vous à la section Installer et configurer le transfert sous Linux ou Installer et configurer le service de transfert sous Microsoft Windowspour en savoir plus sur l'installation et la configuration.
- Configurez le système avec le fuseau horaire UTC.
- Installez le transfert Chronicle sur le serveur Microsoft Windows ou Linux central.
Configurez le transfert Chronicle pour envoyer les journaux à Chronicle. Voici un exemple de configuration de redirection.
- syslog: common: enabled: true data_type: WINEVTLOG batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Référence du mappage de champs: champs d'événement d'appareil courants vers des champs UDM
Les champs suivants sont communs à plusieurs ID d'événement et sont mappés de la même manière.
| Champ NXLog | Champ UDM |
|---|---|
| Heure de l'événement | métadonnées.event_timestamp |
| Nom d'hôte | nom_principal. |
| ID de l'événement | product_event_type est défini sur "%{EventID}" security_result.rule_name est défini sur "EventID: "{EventID}" |
| SourceName | metadata.product_name est défini sur "%25%7BSourceName}" metadata.vendor est défini sur "Microsoft" |
| Catégorie | about.labels.key/valeur |
| Canal | about.labels.key/valeur |
| Gravité | Les valeurs mappées au champ security_result.gravité comme suit: Valeur d'origine 0 (None), définie sur UNKNOWN_SEVERITY Valeur d'origine 1 (critique) est définie sur INFORMATIONAL Valeur d'origine 2 (Erreur) est définie sur ERROR Valeur d'origine 3 (Avertissement) est définie sur ERROR Valeur d'origine 4 (Information) est définie sur INFORMATIONAL |
| ID utilisateur | main.user.windows_sid |
| ID du processus d'exécution | main.process.pid |
| ID du processus | main.process.pid |
| ProviderGuid | métadonnées.product_deployment_id |
| Numéro d'enregistrement | métadonnées.product_log_id |
| Nom du module source | observation.labels.key/value |
| Type du module source | observateur.application |
| ID de l'activité | security_result.detection_fields.key/value |
Référence du mappage de champs: champ événement de l'appareil sur le champ UDM par ID d'événement
La section suivante décrit comment les champs NXlog/EventViewer sont mappés avec les champs UDM. Les données peuvent être mappées différemment pour différents ID d'événements Microsoft Windows.
L'en-tête de section identifie l'ID d'événement, la version (par exemple, la version 0) et le système d'exploitation (par exemple, le client Microsoft Windows 10), le cas échéant. Il peut exister plusieurs sections pour un ID d'événement lorsque la carte d'une version ou d'un système d'exploitation spécifique est différente.
ID d'événement 0
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
safety_result.summary |
Fournisseur: gupdate
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: hcmon
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT target_resource_name défini sur target.resource.name |
ID de l'événement 1
Fournisseur: Microsoft-Windows-FilterManager
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Sysmon
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = PROCESS_LAUNCH
Si "EventLevelName" contient "Information", alors que "security_result.Grav" = INFORMATIONAL |
|
EventData.Hashes |
|
Basé sur l'algorithme de hachage. MD5 défini sur target.process.file.md5 SHA256 défini sur target.process.file.sha256 SHA1 défini sur target.process.file.sha1 |
|
EventData.User |
|
Domaine défini sur principal.administrative_domain
Nom d'utilisateur défini sur principal.user.userid |
|
Description |
|
metadata.description. |
|
Ligne de commande |
|
target.process.command_line |
|
Image |
|
target.process.file.full_path |
|
ParentCommandLine |
|
target.process.parent_process.command_line |
|
Image parent |
|
target.process.parent_process.file.full_path |
|
ParentProcessId |
|
target.process.parent_process.pid |
|
ProcessId |
|
target.process.pid |
|
EventOriginId |
|
target.process.product_specific_process_id défini sur "sysmon:%{EventOriginId}" |
Fournisseur: centre de sécurité
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
NomSource |
Non disponible |
target.application |
Fournisseur: télégraf
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données |
|
[Security_result.description] |
ID de l'événement 2
Fournisseur: MEIx64
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
Message défini sur security_result.summary |
Fournisseur: centre de sécurité
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
NomSource |
Non disponible |
target.application |
Fournisseur: vmci
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT
Message défini sur security_result.summary |
ID de l'événement 3
Version 3 / Fournisseur: Microsoft-Windows-Power-Troubleshooter
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_STARTUP |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Heure du coucher |
Données/Temps de sommeil |
target.resource.attribute.labels.key/value |
|
Heure du réveil |
Données/Heure de réveil |
target.resource.attribute.labels.key/value |
|
Type de réveil source |
Type de données/WakeSource |
target.resource.attribute.labels.key/value |
|
WakeSourceText |
Données/WakeSourceText |
target.resource.attribute.labels.key/value |
Fournisseur: Microsoft-Windows-Security-Kerberos
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Fichier |
|
target.file.full_path |
Fournisseur: service de disque virtuel
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
Fournisseur: vmci
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 4
Fournisseur: Microsoft-Windows-Security-Kerberos
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Serveur |
|
target.hostname |
Fournisseur: service de disque virtuel
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Message défini sur security_result.summary |
ID d'événement 5
Fournisseur: iScsiPrt
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT Message défini sur security_result.summary |
Fournisseur: McAfee Service Controller
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Message défini sur security_result.summary |
Fournisseur: Microsoft-Windows-Search-ProfileNotify
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
NomSource |
|
target.application |
|
Utilisateur |
Données/Utilisateur |
target.user.userid |
ID de l'événement 6
Fournisseur: Microsoft-Windows-CertificateServicesClient-AutoEnrollment
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Code d'erreur |
|
security_result.summary
Format : %{ErrorCode}-%{ErrorMsg}. |
|
Erreur Msg |
|
security_result.summary
Format : %{ErrorCode}-%{ErrorMsg}. |
|
Contexte |
|
target.application |
Fournisseur: Microsoft-Windows-FilterManager
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 7
Fournisseur: AdmPwd
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le nom d'hôte est absent, l'élément metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
security_result.summary
Format : &Error: %Data |
ID de l'événement 9
Fournisseur: volsnap
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Nom du volume |
|
target.file.full_path |
ID d'événement 11
Fournisseur: Microsoft-Windows-Hyper-V-Netvsc
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom du miniport |
|
target.resource.name |
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 12
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_STARTUP |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Sysmon
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = REGISTRY_CREATION
If EventLevelName =~ "Information", security_result.Grav = INFORMATIONAL |
|
EventOriginId |
|
target.process.product_specific_process_id défini sur "sysmon: "{EventOriginId}" |
|
Événement de données/Type d'événement |
|
target.registre.registry_key |
|
EventData/TargetObject |
|
target.registry.registry_value_name |
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-UserModePowerService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ProcessPath |
|
target.process.file.full_path |
|
NouvelleSchéma |
|
target.resource.product_object_id |
ID de l'événement 13
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
Fournisseur: Microsoft-Windows-Sysmon
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = REGISTRY_MODIFICATION
If EventLevelName =~ "Information", security_result.Grav = INFORMATIONAL |
|
EventOriginId |
|
target.process.product_specific_process_id défini sur "sysmon: "{EventOriginId}" |
|
Événement de données/Type d'événement |
|
target.registre.registry_key |
|
Événement de données/Détails |
|
target.registry.registry_value_data |
Fournisseur: Microsoft-Windows-CertificateServicesClient-CertRegister
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
|
|
Domaine |
|
domaine_principal.administrative_domain |
|
Nom du compte |
|
principal.user.userid |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Message |
|
metadata.description. |
|
User-ID |
|
principal.user.windows_sid |
|
Canada |
|
about.labels.key/value |
|
Code d'erreur |
|
sécurité_résultat Format : summary => %{error_code} - %{error_message} |
Fournisseur: NPS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Données |
|
target.ip |
ID de l'événement 14
Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) ou "ClientName" (Nom du client) est absent, définissez le paramètre "metadata.event_type" sur "GENERIC_EVENT". |
|
ClientName |
|
principal.hostname |
|
Cible |
|
target.application |
|
Compte |
|
target.hostname |
Fournisseur: Microsoft-Windows-Wininit
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 15
Fournisseur: disque
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED target_hostname défini sur target.hostname |
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = REGISTRY_UNCATEGORIZED. |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nouvelle taille |
Données/Nouvelle taille |
target.file.size |
|
HiveName (Nom de l'Hive) |
Données/Nom de l'appel |
target.registre.registry_key |
Fournisseur: centre de sécurité
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
ID d'événement 16
Fournisseur: Microsoft-Windows-HAL
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) ou "ClientName" (Nom du client) est absent, définissez le paramètre "metadata.event_type" sur "GENERIC_EVENT". |
|
ClientName |
|
principal.hostname |
|
Cible |
|
target.application |
|
Compte |
|
target.hostname |
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = REGISTRY_MODIFICATION |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
ProcessID (ID du processus) |
System/ProcessID (Système/ID du processus) |
principal.process.pid |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
HiveName (Nom de l'Hive) |
Données/Nom de l'appel |
target.registre.registry_key |
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Message défini sur metadata.description |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 17
Fournisseur: Microsoft-Windows-WHEA-Logger
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
Catégorie définie sur security_result.category_details Message défini sur metadata.description |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 18
Fournisseur: BTHUSB
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Message défini sur security_result.summary |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 19
version 0/Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Category |
Données/Catégorie |
security_result.category_details (en anglais) |
Fournisseur: Intel-SST-OED
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
Category |
|
safety_result.summary |
ID de l'événement 20
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
updateRévisionNumber. |
|
target.resource.attribute.labels.key/value |
|
updateTitle |
|
target.resource.name |
|
Guidon |
|
target.resource.product_object_id |
ID de l'événement 21
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
ID de l'événement 22
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
Catégorie définie sur security_result.category_details Message défini sur metadata.description |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
liste de mise à jour |
|
[Security_result.description] |
ID d'événement 23
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Message défini sur security_result.summary |
ID de l'événement 24
Fournisseur: Microsoft-Windows-Kernel-General
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 25
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 26
Fournisseur: pop-up d'application
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Légende |
|
safety_result.summary |
Fournisseur: Microsoft-Windows-CertificationAuthority
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START
target.application = "Services de certificat Active Directory" |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom |
Données/NomDC |
target.administrative_domain |
|
CACommonName |
Data/CACommonName |
target.user.userid |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Cible |
|
target.hostname |
|
Name (Nom) |
|
target.user.userid |
ID d'événement 27
version 0 / Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
|
CheminDuFichierFichier |
Data/NewLogFilePath |
target.file.full_path |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Message défini sur metadata.description |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 28
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Message défini sur metadata.description |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 29
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
ID de l'événement 30
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
ID de l'événement 31
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
ID de l'événement 32
Fournisseur: e1iexpress
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT Message défini sur security_result.summary |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 33
Fournisseur: volsnap
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = FICHIER_UNCATEGORIZED |
|
Nom du volume |
|
target.file.full_path |
|
Nom de l'appareil |
|
target.resource.name |
ID de l'événement 34
Fournisseur: Oracle.xstore
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = RESOURCE_READ |
|
DBID |
|
additional.fields.key/value |
|
NomSource |
|
principal.application |
|
UTILISATEUR DE BASE DE DONNÉES |
|
principal.user.uerid |
|
ACTION |
|
target.process.command_line |
ID de l'événement 35
Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "principal.machineid" est absent, l'élément "metadata.event_type" est défini sur "GENERIC_EVENT". |
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 36
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: NPS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION
Si le champ target.ip est absent, alors le champ metadata.event_type a été défini sur STATUS_UPDATE. |
|
Message |
|
IP défini sur target.ip |
ID de l'événement 37
Fournisseur: Microsoft-Windows-Kerberos-Key-Distribution-Center
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le nom d'hôte est absent, l'élément metadata.event_type est défini sur GENERIC_EVENT. |
|
ClientName |
|
principal.hostname |
|
NomDuServeur |
|
target.hostname |
Fournisseur: Microsoft-Windows-Kernel-Processor-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Numéro |
Données/Numéro |
target.resource.attribute.labels.key/value |
|
CapDurationInSeconds |
Data/CapDurationInSeconds |
target.resource.attribute.labels.key/value |
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 38
Fournisseur: Microsoft-Windows-CertificationAuthority
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP
target.application = "Services de certificat Active Directory" |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
CACommonName |
Data/CACommonName |
target.user.userid |
ID de l'événement 40
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
ID de l'événement 42
Client de version 0 Windows 10 / Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
client version 2 Windows 10 /
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
Motif |
Données/Motifs |
[Security_result.description] |
ID de l'événement 43
Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
updateRévisionNumber. |
Data/updateRevisionNumber (Données/ModificationRévision) |
target.resource.attribute.labels.key/value |
|
updateTitle |
Data/updateTitle |
target.resource.name |
|
Guidon |
Données/Guidon |
target.resource.product_object_id |
ID de l'événement 44
Client de version 0 Windows 10 / Fournisseur: Microsoft-Windows-WindowsUpdateClient
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Category |
Données/Catégorie |
security_result.category_details (en anglais) |
ID de l'événement 45
Fournisseur: Symantec AntiVirus
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
Données |
|
safety_result.summary |
ID de l'événement 47
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Message d'erreur |
|
[Security_result.description] |
|
ManualPeer |
|
target.ip |
Fournisseur: Microsoft-Windows-WHEA-Logger
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 50
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Ntfs
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 51
Fournisseur: disque
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED target_hostname défini sur target.hostname |
ID d'événement 55
Client de version 0 Windows 10/Fournisseur: Microsoft-Windows-Kernel-Processor-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Ntfs
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Résultat |
|
safety_result.summary |
ID d'événement 57
Fournisseur: hpqilo3
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Message défini sur security_result.summary |
ID d'événement 58
Fournisseur: partmgr
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Message défini sur metadata.description |
Fournisseur: volsnap
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Message défini sur metadata.description |
ID d'événement 64
Fournisseur: Microsoft-Windows-CertificateServicesClient-AutoEnrollment
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Contexte |
|
target.application |
ID de l'événement 75
Fournisseur: Microsoft-Windows-CertificationAuthority
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application définie sur "Services de certificat Active Directory" |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
ErrorMessageText |
|
safety_result.summary |
ID d'événement 80
Fournisseur: ocz10xx
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données |
|
target.hostname |
ID d'événement 81
Fournisseur: hpqilo2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
Fournisseur: Microsoft-Windows-FallbackClustering-Client
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
ID de l'événement 98
Fournisseur: Microsoft-Windows-Ntfs
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_HEARTBEAT |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom de l'appareil |
Données/Nom de l'appareil |
principal.hostname |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 100
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = Readiness |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
TâcheName |
Données/Nom de la tâche |
target.resource.name |
|
ID d'instance |
Données/Identificateur d'instance |
target.resource.product_object_id |
ID d'événement 101
Fournisseur: Stratégie de groupe pour la gestion des applications
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED security_result.description" set to "ErrorCode - %{error_code}". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 102
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT |
|
Message |
|
Extraire le PID et le mapper au champ UDM target.process.pid |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
ProcessID (ID du processus) |
Données/ID du processus |
principal.process.pid |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
ID de l'événement 103
Fournisseur: Stratégie de groupe pour la gestion des applications
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED security_result.description" set to "ErrorCode - {error_code}". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT |
|
Message |
Système/Message |
Extraire le PID et le mapper au champ UDM target.process.pid |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Motif |
Données/Motifs |
[Security_result.description] |
Fournisseur: ocz10xx
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données |
|
target.hostname |
ID de l'événement 104
Client / Fournisseur Windows 10: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_WIPE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Windows 2019 Server /
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Transfer
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_RESOURCE_ACCESS |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
SubscriptionManagerAddress |
Data/SubscriptionManagerAddress |
target.url |
Fournisseur: WudfUsbccidDriver
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 105
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Canal |
Données/Canal |
[Security_result.description] |
|
Chemin de sauvegarde |
Données/Chemin de sauvegarde |
target.file.full_path |
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
Fournisseur: VMTools
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 106
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 107
Client de version 0 Windows 10/Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = Readiness |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
TâcheName |
Données/Nom de la tâche |
target.resource.name |
|
ID d'instance |
Données/Identificateur d'instance |
target.resource.product_object_id |
ID de l'événement 108
Fournisseur: Stratégie de groupe pour la gestion des applications
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED security_result.description" set to "ErrorCode - {error_code}". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: VMTools
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 109
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
ProcessID (ID du processus) |
Données/ID du processus |
principal.process.pid |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format : Code d'erreur: %{value} |
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
|
ShutdownReason |
Données/Motif de l'arrêt |
[Security_result.description] |
ID de l'événement 110
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 111
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 112
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 115
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
safety_result.summary |
ID d'événement 129
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = Readiness |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Priorité |
Données/Priorité |
security_result.priorité_détails |
|
Chemin d'accès |
Données/Chemin |
target.process.file.full_path |
|
ProcessID (ID du processus) |
Données/ID du processus |
target.process.pid |
|
TâcheName |
Données/Nom de la tâche |
target.resource.name |
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Message d'erreur |
Données/Message d'erreur |
[Security_result.description] |
ID de l'événement 130
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 131
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Message d'erreur |
Données/Message d'erreur |
[Security_result.description] |
|
Pair du domaine |
Data/DomainPeer |
target.administrative_domain |
ID de l'événement 134
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Message d'erreur |
Données/Message d'erreur |
[Security_result.description] |
|
Pair du domaine |
Data/DomainPeer |
target.administrative_domain |
ID d'événement 137
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: Ntfs
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 138
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Pair du domaine |
Data/DomainPeer |
target.administrative_domain |
ID d'événement 139
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 140
Fournisseur: Microsoft-Windows-Ntfs
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Nom de l'appareil |
|
principal.hostname |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_MODIFICATION
target.resource.resource_type = Readiness |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
TâcheName |
Données/Nom de la tâche |
target.resource.name |
|
UserName (Nom d'utilisateur) |
Données/Nom d'utilisateur |
target.user.user_display_name |
ID de l'événement 142
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED
Message défini sur security_result.summary |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 143
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 146
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Message défini sur security_result.summary |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 153
Fournisseur: disque
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Message défini sur security_result.summary |
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 157
Fournisseur: disque
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Message défini sur security_result.summary |
ID de l'événement 158
Fournisseur: disque
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Message défini sur security_result.summary target_url défini sur target.url |
Fournisseur: Microsoft-Windows-Time-Service
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
TimeProvider |
|
target.resource.name |
ID de l'événement 172
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Motif |
Données/Motifs |
[Security_result.description] |
ID d'événement 200
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_ENABLE
target.resource.resource_type = Readiness |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
TâcheName |
Données/Nom de la tâche |
target.resource.name |
|
TâcheInstanceId |
Data/TaskInstanceId |
target.resource.product_object_id |
ID de l'événement 201
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED
target.resource.resource_type = Readiness |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
TâcheName |
Données/Nom de la tâche |
target.resource.name |
|
TâcheInstanceId |
Data/TaskInstanceId |
target.resource.product_object_id |
ID de l'événement 202
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 203
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 204
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 205
Serveur version 0 2019 de Windows / Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
Nom de domaine |
Données/Nommage |
target.administrative_domain |
ID de l'événement 219
Fournisseur: Microsoft-Windows-Kernel-PnP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Pilote |
|
target.hostname |
|
Nom de l'échec |
|
target.resource.name |
ID de l'événement 225
Fournisseur: Microsoft-Windows-Kernel-PnP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
InstanceInstance |
|
target.hostname |
|
ProcessName (Nom du processus) |
|
target.process.file.full_path |
ID d'événement 233
Fournisseur: Microsoft-Windows-Hyper-V-VmSwitch
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
ID de l'événement 234
Fournisseur: Microsoft-Windows-Hyper-V-VmSwitch
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
ID d'événement 238
Fournisseur: Microsoft-Windows-Kernel-Boot
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si aucun champ "Nom du compte" ou "ID utilisateur" n'est défini, définissez le champ "metadata.event_type" sur "GENERIC_EVENT". |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 258
Fournisseur: VMUpgradeHelper
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 260
Fournisseur: VMUpgradeHelper
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 271
Fournisseur: VMUpgradeHelper
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 272
Fournisseur: VMUpgradeHelper
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 299
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 300
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT
Extrayez le PID et mappez-le sur target.process.pid. |
ID de l'événement 301
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT
Extrayez le PID et mappez-le sur target.process.pid. |
ID de l'événement 302
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT
Extrayez le PID et mappez-le sur target.process.pid. |
ID d'événement 325
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT
Extrayez le PID et mappez le fichier sur target.process.pid. |
ID d'événement 326
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT
Extrayez le PID et mappez-le sur target.process.pid. |
ID de l'événement 403
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données_9 |
|
network.http.user_agent |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Données_8 |
|
principal.ip |
|
Données_7 |
|
principal.port |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Données_3 |
|
target.ip |
|
Données_5 |
|
target.url |
ID de l'événement 404
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Données_3 |
|
security_description défini sur "{Data_3}" : "{Data_4}" |
|
Données_4 |
|
security_description défini sur "{Data_3}" : "{Data_4}" |
ID de l'événement 405
Fournisseur: ADSync
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
domaine_principal.administrative_domain |
|
Données_1 |
|
principal.user.userid |
ID de l'événement 410
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données_4 |
|
network.http.user_agent |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Données_10 |
|
target.ip |
|
Données_8 |
|
target.url |
ID de l'événement 412
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 424
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
client_certificate_series défini sur network.tls.client.certificate.series client_certificate_subject défini sur "network.tls.client.certificate.subject" |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 500
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 501
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 506
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE [Security_result.description] |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
ID de l'événement 507
Fournisseur: Microsoft-Windows-Kernel-Power
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE reason_description défini sur security_result.description |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
ID de l'événement 508
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT Extrayez le PID et mappez-le sur target.process.pid. |
ID de l'événement 510
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données_1 |
|
Data_1.Host défini sur target.hostname Data_1.User-Agent défini sur network.http.user_agent Data_1.X-MS-Endpoint-Absolute-Path défini sur target.url |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 517
Fournisseur: Microsoft-Windows-DFSN-Server
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
User-ID |
|
principal.user.windows_sid |
|
Espace de noms fsfs |
|
target.resource.name |
ID de l'événement 521
Fournisseur: sécurité
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
ID de l'événement 529
Fournisseur: sécurité
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGIN
security_result.action = BLOCK security_result.category = AUTH_VIOLATION |
|
Type d'authentification |
Non disponible |
extensions.auth.mechanism. |
|
Message |
Non disponible |
username défini sur target.user.userid domaine défini sur target.administrative_domain target_workstation défini sur target.hostname |
ID de l'événement 600
Fournisseur: PowerShell
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
Category |
|
metadata.description. |
|
NomSource |
|
principal.application |
|
Application application |
|
target.file.full_path |
|
ProviderName (Nom du fournisseur) |
|
target.resource.name |
ID de l'événement 601
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. metadata.description = Tentative d'installation d'un service |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
|
principal.user.userid |
|
Résumé |
|
safety_result.summary |
|
Nom du service |
|
target.process.command_line |
|
ServiceFileName (Nom du fichier de service) |
|
target.process.file.full_path |
ID de l'événement 642
Fournisseur: ESENT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED. Si le champ target.process est absent, la valeur metadata.event_type est définie sur GENERIC_EVENT
Extraire le mappage PID avec target.process.pid |
ID de l'événement 653
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
safety_result.summary |
ID de l'événement 654
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
safety_result.summary |
ID de l'événement 663
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
safety_result.summary |
ID de l'événement 700
Fournisseur: NTDS ISAM
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Si le champ "Hostname" (Nom d'hôte) ou "MessageSourceAddress" (Adresse_source_message) est absent, définissez "metadata.event_type" sur "GENERIC_EVENT". |
|
MessageSourceAddress (Adresse source de la messagerie) |
|
principal.ip |
ID de l'événement 701
Fournisseur: NTDS ISAM
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Si le champ "Hostname" (Nom d'hôte) ou "MessageSourceAddress" (Adresse_source_message) est absent, définissez "metadata.event_type" sur "GENERIC_EVENT". |
|
MessageSourceAddress (Adresse source de la messagerie) |
|
principal.ip |
ID de l'événement 719
Fournisseur: Microsoft-Windows-TaskScheduler
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Category |
Données/Catégorie |
security_result.category_details (en anglais) |
ID de l'événement 781
Fournisseur: Microsoft-Windows-Complus
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
param3 |
Données/param3 |
target.registre.registry_key |
ID d'événement 800
Fournisseur: PowerShell
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT
metadata.description défini sur "Pipeline d'exécution"
security_result.summary défini sur "Détails d'exécution du pipeline pour la ligne de commande" |
|
NomSource |
|
principal.application |
|
UserId |
|
principal.user.userid |
|
Application application |
|
target.file.full_path |
ID d'événement 888
Fournisseur: top_5
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 900
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = SERVICE_START
target.application = "Software Protection" |
ID de l'événement 902
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = SERVICE_START
target.application = "Software Protection" |
ID de l'événement 903
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = SERVICE_STOP
target.application = "Software Protection" |
ID de l'événement 904
Fournisseur: Synchronisation des annuaires
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données |
|
safety_result.summary |
ID de l'événement 1001
Fournisseur: Microsoft Antilogiciels
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED target_resource_product_object_id défini sur target.resource.product_object_id |
Fournisseur: Microsoft-Windows-WER-SystemErrorReporting
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
param2 |
|
target.file.full_path |
Fournisseur: POP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Message défini sur security_result.summary |
Fournisseur: Windows Error Reporting
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1003
Fournisseur: Microsoft-Windows-Search
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Category |
Données/Catégorie |
target.application |
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1004
Fournisseur: IPMIDRV
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données |
|
target.hostname |
Fournisseur: Microsoft-Windows-Search
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
Motif |
Données/Motifs |
[Security_result.description] |
|
Category |
Données/Catégorie |
target.application |
Fournisseur: POP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
Fournisseur: TdIca
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target_ip défini sur target.ip target_port défini sur "target_port" |
ID de l'événement 1005
Fournisseur: Microsoft-Windows-Search
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
Category |
Données/Catégorie |
target.application |
ID de l'événement 1007
Fournisseur: TdIca
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target_ip défini sur target.ip target_port défini sur "target_port" |
ID de l'événement 1008
Fournisseur: Microsoft-Windows-Perflib
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
ÉvénementXML.param1 |
|
target.application |
|
ÉvénementXML.param2 |
|
target.file.full_path |
Fournisseur: Microsoft-Windows-Search
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Motif |
Données/Motifs |
[Security_result.description] |
|
Category |
Données/Catégorie |
target.application |
ID de l'événement 1010
Fournisseur: Microsoft-Windows-Search
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_MODIFICATION |
|
Category |
Données/Catégorie |
target.application |
ID de l'événement 1013
Fournisseur: Microsoft-Windows-Search
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
Category |
Données/Catégorie |
target.application |
ID de l'événement 1016
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1023
Fournisseur: Microsoft-Windows-Perflib
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Bibliothèque |
Données/Bibliothèque |
target.file.full_path |
ID de l'événement 1030
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
|
[Security_result.description] |
|
Code d'erreur |
|
security_result.summary
Format: ErrorCode - %{ErrorCode} |
|
Nom |
|
target.administrative_domain |
ID de l'événement 1033
Fournisseur: MsiInstaller
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Extrayez le nom du produit et mappez-le sur target.application |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 1034
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1037
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 1040
Fournisseur: MsiInstaller
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Extraire processus_id et le mapper sur target.process.pid |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 1042
Fournisseur: MsiInstaller
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Extraire processus_id et le mapper sur target.process.pid |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 1053
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
Données/Erreur de description |
[Security_result.description] |
ID de l'événement 1054
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
Données/Erreur de description |
[Security_result.description] |
ID de l'événement 1055
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
Données/Erreur de description |
[Security_result.description] |
|
Code d'erreur |
Données/Code d'erreur |
security_result.summary
Format: ErrorCode - %{ErrorCode} |
ID de l'événement 1056
Fournisseur: Microsoft-Windows-TerminalServices-RemoteConnectionManager
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT server_certificate_subject défini sur network.tls.server.certificate.subject |
ID de l'événement 1057
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target.resource_type_= DATABASE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 1058
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
Données/Erreur de description |
[Security_result.description] |
|
Nom |
Données/NomDC |
target.administrative_domain |
|
FilePath |
Données/Chemin d'accès |
target.file.full_path |
ID de l'événement 1064
Fournisseur: Microsoft-Windows-TerminalServices-RemoteConnectionManager
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT safety_result.summary |
ID de l'événement 1066
Fournisseur: Microsoft-Windows-Security-SPP
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = GENERIC_EVENT |
ID de l'événement 1067
Fournisseur: Microsoft-Windows-TerminalServices-RemoteConnectionManager
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 1069
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Groupe de ressources |
|
nom.groupe.groupe_à_afficher |
|
ResourceName |
|
target.resource.name |
ID de l'événement 1073
Fournisseur: User32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
param1 |
Données/param1 |
target.hostname |
|
param2 |
Données/param2 |
target.user.userid |
ID de l'événement 1074
Fournisseur: User32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
Fournisseur: USER32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN
target_process_file_full_path défini sur target.process.file.full_path target_hostname défini sur target.hostname |
Fournisseur: User32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
Domaine |
|
domaine_principal.administrative_domain |
Fournisseur: USER32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
Fournisseur: User32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
param2 |
Données/param2 |
principal.hostname |
|
param1 |
Données/param1 |
principal.process.file.full_path |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
Fournisseur: USER32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
Fournisseur: User32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
User-ID |
|
principal.user.windows_sid |
|
param3 |
Données/param3 |
[Security_result.description] |
|
param7 |
Données/param7 |
target.user.userid |
ID de l'événement 1076
Fournisseur: User32
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 1085
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
Données/Erreur de description |
[Security_result.description] |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: ErrorCode - %{value} |
|
Nom |
Données/NomDC |
target.administrative_domain |
ID de l'événement 1100
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP
target.application = "Service de journalisation des événements" |
ID d'événement 1101
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1102
Fournisseur: audit AD FS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
target_ip défini sur "target.ip"
target_url défini sur target.url
client_certificate_series défini sur network.tls.client.certificate.series client_certificate_subject défini sur "network.tls.client.certificate.subject" |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
Fournisseur: réplication DFS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_WIPE |
|
|
SubjectDomaine |
domaine_principal.administrative_domain |
|
|
SubjectUserName (Nom d'utilisateur de l'objet) |
principal.user.userid |
|
|
ObjetUtilisateur |
principal.user.windows_sid |
ID d'événement 1103
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID d'événement 1104
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1105
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
AutoBackup.BackupPath |
Données/Chemin de sauvegarde |
target.file.full_path |
ID d'événement 1106
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Motif |
Données/Motifs |
[Security_result.description] |
ID de l'événement 1107
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_UNSPECIFIED.
target.application = "Service de journalisation des événements" |
|
ProcessID (ID du processus) |
Données/ID du processus |
principal.process.pid |
|
Code d'erreur |
Données/Code d'erreur |
safety_result.summary
Format: Code d'erreur: %{value} |
ID d'événement 1108
Fournisseur: Microsoft-Windows-Eventlog
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 1112
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
|
[Security_result.description] |
|
Code d'erreur |
|
security_result.summary
Format: ErrorCode - %{ErrorCode} |
|
Nom |
|
target.administrative_domain |
|
ExtensionName (Nom de l'extension) |
|
target.resource.name |
|
ExtensionId |
|
target.resource.product_object_id |
ID de l'événement 1126
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données_1 |
|
security_result.summary set & "Error: %{Data_1} - %{Data_2}" |
|
Données_2 |
|
security_result.summary set & "Error: %{Data_1} - %{Data_2}" |
ID de l'événement 1128
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ExtensionName (Nom de l'extension) |
|
target.resource.name |
|
ExtensionId |
|
target.resource.product_object_id |
ID de l'événement 1129
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ErrorDescription (Description d'erreur) |
Données/Erreur de description |
[Security_result.description] |
ID d'événement 1134
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1150
Fournisseur: Microsoft Antilogiciels
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED platform_version défini sur principal.asset.platform_software.platform_version |
ID de l'événement 1162
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1173
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1196
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
StatusString |
|
safety_result.summary |
|
ResourceName |
|
target.resource.name |
ID de l'événement 1205
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Groupe de ressources |
|
nom.groupe.groupe_à_afficher |
ID de l'événement 1213
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
ID de l'événement 1216
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Données_3 |
|
[Security_result.description] |
|
Données |
|
safety_result.summary
Format: &code d'erreur - DataData-" |
ID d'événement 1226
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 1254
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Groupe de ressources |
|
nom.groupe.groupe_à_afficher |
ID de l'événement 1257
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
DNSZone |
|
about.labels.key/value |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Groupe de ressources |
|
nom.groupe.groupe_à_afficher |
ID d'événement 1307
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1311
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1317
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
ID de l'événement 1500
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom |
Données/NomDC |
target.administrative_domain |
ID de l'événement 1501
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 1502
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom |
Données/NomDC |
target.administrative_domain |
ID de l'événement 1503
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom |
Données/NomDC |
target.administrative_domain |
ID de l'événement 1531
Fournisseur: service de profils utilisateur Microsoft-Windows
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Domaine |
Non disponible |
domaine_principal.administrative_domain |
|
Nom du compte |
Non disponible |
principal.user.userid |
|
User-ID |
Non disponible |
principal.user.windows_sid |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 1532
Fournisseur: service de profils utilisateur Microsoft-Windows
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
Domaine |
Non disponible |
domaine_principal.administrative_domain |
|
Nom du compte |
Non disponible |
principal.user.userid |
|
User-ID |
Non disponible |
principal.user.windows_sid |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 1535
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données |
|
[Security_result.description] |
ID d'événement 1564
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = RESOURCE_READ |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ShareName (Nom du partage) |
|
target.resource.name |
ID d'événement 1566
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1573
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 1593
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = RESOURCE_READ
target.resource_type_= DATABASE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
DatabaseFilePath (Chemin d'accès à la base de données) |
|
target.file.full_path |
ID d'événement 1643
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 1644
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 1645
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 1653
Fournisseur: Microsoft-Windows-FallbackClustering
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID d'événement 1699
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données_4 |
|
security_result.summary set &"Error Code - %{Data_4}". |
ID d'événement 1704
Fournisseur: SceCli
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
ProcessId |
|
principal.process.pid |
|
Message |
|
safety_result.summary |
ID d'événement 1865
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1925
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 1955
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2000
Fournisseur: Microsoft Antilogiciels
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE
current_signature_version set to target.resource.attribute.labels.key/value previous_signature_version défini sur target.resource.attribute.labels.key/value |
ID d'événement 2001
Fournisseur: Microsoft Antilogiciels
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données_14 |
|
safety_result.summary |
|
Données_17 |
|
target.url |
Fournisseur: NTDS ISAM
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED
Si le champ "Hostname" (Nom d'hôte) ou "MessageSourceAddress" (Adresse_source_message) est absent, définissez "metadata.event_type" sur "GENERIC_EVENT". |
|
MessageSourceAddress (Adresse source de la messagerie) |
|
principal.ip |
ID d'événement 2004
Fournisseur: Microsoft-Windows-Resource-Exhaustion-Detector
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 2041
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
ID de l'événement 2042
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2053
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2065
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2085
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
MessageSourceAddress (Adresse source de la messagerie) |
|
principal.ip |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2089
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 2108
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données_3 |
|
security_result.summary set "Error: %{Data_4} - %{Data_3}" |
|
Données_4 |
|
security_result.summary set "Error: %{Data_4} - %{Data_3}" |
ID de l'événement 2811
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2887
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2889
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2896
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données_1 |
|
security_result.summary set & "Error: %{Data_1} - %{Data_2}" |
|
Données_2 |
|
security_result.summary set & "Error: %{Data_1} - %{Data_2}" |
ID de l'événement 2904
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2946
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID de l'événement 2947
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
Données_2 |
|
principal.ip |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données_3 |
|
security_result.summary set "Error: %{Data_3}" ; |
ID de l'événement 2974
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
|
Données_2 |
|
security_result.summary set &"Error Code - %{Data_2}". |
ID d'événement 3040
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 3041
Fournisseur: Microsoft-Windows-ActiveDirectory_DomainService
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED Si le champ "Hostname" (Nom d'hôte) est absent, alors le champ metadata.event_type est défini sur GENERIC_EVENT. |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.attribute.roles.name |
|
Nom du compte |
|
principal.user.userid |
|
User-ID |
|
principal.user.windows_sid |
ID d'événement 3072
Fournisseur: agents de base
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID d'événement 3096
Fournisseur: NETLOGON
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE Message défini sur security_result.summary |
ID d'événement 3260
Fournisseur: poste de travail
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID d'événement 3261
Fournisseur: poste de travail
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 4000
client version 0 Windows 10 / Fournisseur: Microsoft-Windows-Diagnostics-Networking
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4003
Fournisseur: Microsoft-Windows-WLAN-AutoConfig
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Code d'erreur |
Données/Code d'erreur |
security_result.summary
Format : %{ErrorCode}-%{ErrorMsg}. |
ID de l'événement 4005
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.attribute.roles.name |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
ReasonForSyncProcessing |
Data/ReasonForSyncProcessing |
safety_result.summary |
|
Nom principal |
Data/PrincipalSamName |
target.hostname |
|
Règle ActivityId |
Data/PolicyActivityId |
target.resource.product_object_id |
ID de l'événement 4006
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom principal |
Data/PrincipalSamName |
target.hostname |
|
Règle ActivityId |
Data/PolicyActivityId |
target.resource.product_object_id |
ID de l'événement 4016
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
DescriptionString (Chaîne de description) |
Données/Chaîne de description |
[Security_result.description] |
|
CSEExtensionName |
Data/CSEExtensionName |
target.resource.name |
|
CSEExtensionId |
Data/CSEExtensionId |
target.resource.product_object_id |
ID de l'événement 4017
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Description de l'opération |
Data/OperationDescription |
[Security_result.description] |
ID de l'événement 4096
Fournisseur: NetJoin
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
Nom de domaine |
Données/Nommage |
target.administrative_domain |
|
NomOrdinateur |
Données/NomOrdinateur |
target.hostname |
ID de l'événement 4097
Fournisseur: Microsoft-Windows-CAPI2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
Fournisseur: NetJoin
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
|
NetStatusCode |
Données/Code d'état |
[Security_result.description] |
|
Nom de domaine |
Données/Nommage |
target.administrative_domain |
|
NomOrdinateur |
Données/NomOrdinateur |
target.hostname |
ID de l'événement 4100
Fournisseur: Microsoft-Windows-Diagnostics-Networking
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4103
version 1 / Fournisseur: Microsoft-Windows-PowerShell
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Domaine |
|
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
|
principal.user.role_description |
|
Nom du compte |
|
principal.user.role_name |
|
User-ID |
|
principal.user.windows_sid |
|
Category |
|
safety_result.summary |
|
CommandName |
|
target.application |
|
Nom du script |
|
target.file.full_path |
|
Application application |
|
target.process.command_line target.process.file.full_path |
ID de l'événement 4104
Fournisseur: Microsoft-Windows-PowerShell
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
Domaine |
|
domaine_principal.administrative_domain |
|
User-ID |
|
principal.user.windows_sid |
|
Category |
|
safety_result.summary |
|
NomSource |
|
target.application |
ID de l'événement 4108
Fournisseur: Microsoft-Windows-CAPI2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE
Extrayez les informations du champ "Message" et mappez-les sur "network.tls.client.certificate" |
ID de l'événement 4109
Fournisseur: Microsoft-Windows-CAPI2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE
Extrayez les informations du champ"Message"et mappez-les sur"network.tls.client.certificate" |
ID de l'événement 4111
Fournisseur: Microsoft-Windows-MSDTC
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_STOP |
|
NomSource |
Non disponible |
target.application |
ID de l'événement 4112
Fournisseur: Microsoft-Windows-CAPI2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
ID de l'événement 4113
Fournisseur: Microsoft-Windows-CAPI2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
Non disponible |
metadata.event_type = STATUS_UPDATE |
ID de l'événement 4115
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4116
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4117
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4126
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4199
Fournisseur: Tcpip
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Données |
Données/Données |
principal.ip |
|
Données_1 |
Données/Données_1 |
target.mac |
ID de l'événement 4200
Fournisseur: Microsoft-Windows-Iphlpsvc
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
Nom du compte |
Système/Nom du compte |
principal.user.userid |
|
Interface |
|
target_resource_product_object_id défini sur target.resource.product_object_id |
|
Adresse |
|
target.ip |
ID de l'événement 4202
Fournisseur: Microsoft-Windows-MSDTC 2
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
|
NomSource |
Non disponible |
target.application |
|
param9 |
Données/param9 |
target.user.userid |
ID de l'événement 4227
Fournisseur: Tcpip
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT
Message défini sur security_result.summary |
ID de l'événement 4230
Fournisseur: Tcpip
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
ID de l'événement 4257
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_LOG_UNCATEGORIZED |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4319
Fournisseur: NetBT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 4321
Fournisseur: NetBT
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_CONNECTION |
|
Données |
Données/Données |
principal.hostname et principal.port |
|
Données_1 |
Données/Données_1 |
principal.ip |
|
Données_2 |
Données/Données_2 |
target.ip |
ID de l'événement 4326
Fournisseur: Microsoft-Windows-GroupPolicy
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
Domaine |
Système/Domaine |
domaine_principal.administrative_domain |
|
AccountType (Type de compte) |
Système/Type de compte |
principal.user.role_description |
|
Nom du compte |
Système/Nom du compte |
principal.user.role_name |
|
User-ID |
Système/UserID |
principal.user.windows_sid |
ID de l'événement 4400
Fournisseur: NPS
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UNCATEGORIZED |
|
Données_1 |
|
domaine_principal.administrative_domain |
ID de l'événement 4608
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_STARTUP |
ID de l'événement 4609
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_SHUTDOWN |
ID de l'événement 4610
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
AuthenticationPackageName |
Data/AuthenticationPackageName |
target.resource.name |
ID de l'événement 4611
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = PROCESS_UNCATEGORIZED (processus annulé) |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
LogonProcessName |
Data/LogonProcessName |
target.process.command_line |
ID de l'événement 4612
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
ID de l'événement 4614
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
NotificationPackageName |
Data/NotificationPackageName |
target.resource.name |
ID de l'événement 4615
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_UNCATEGORIZED |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
principal.process.command_line |
|
ProcessId |
Data/ProcessId |
principal.process.pid |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
ID de l'événement 4616
version 0 / Fournisseur: Microsoft-Windows-Security-Audit
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = Setting_MODIFICATION
target.resource.resource_type définie sur Setting |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
principal.process.file.full_path |
|
ProcessId |
Data/ProcessId |
principal.process.pid |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
version 1/
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
principal.process.file.full_path |
|
ProcessId |
Data/ProcessId |
principal.process.pid |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
Nouvelle date |
Données/Nouvelle date |
target.resource.attribute.labels.key = "NewDate" value in target.resource.attribute.labels.value |
|
Nouvelle heure |
Données/NewTime |
target.resource.attribute.labels.key = "NewTime" valeur dans target.resource.attribute.labels.value |
|
PreviousDate (Date précédente) |
Données/Date précédente |
target.resource.attribute.labels.key = "PreviousDate" value in target.resource.attribute.labels.value |
|
Heure précédente |
Données/Heure précédente |
target.resource.attribute.labels.key = "PreviousTime" valeur dans target.resource.attribute.labels.value |
ID de l'événement 4618
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GENERIC_EVENT |
|
CibleUtilisateurDomaine |
Données/DomaineUtilisateur de la cible |
target.administrative_domain |
|
NomOrdinateur |
Données/NomOrdinateur |
target.hostname |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4621
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
CrashOnAuditFailValue |
Données/CrashOnAuditFailValue |
safety_result.summary |
ID de l'événement 4622
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
SecurityPackageName |
Data/SecurityPackageName |
target.resource.name |
ID de l'événement 4624
version 0 / Fournisseur: Microsoft-Windows-Security-Audit
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGIN security_result.action défini sur "ALLOW" |
|
Type d'authentification |
Data/LogonType (Données/Type d'authentification) |
extensions.auth.mechanism et extensions.auth.details |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
ID LogonId |
Data/TargetLogonId |
target.labels.key/value |
|
WorkstationName (Nom du poste de travail) |
Données/Nom du poste de travail |
principal.hostname |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
principal.process.command_line |
|
ProcessId |
Data/ProcessId |
principal.process.pid |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
AuthenticationPackageName |
Data/AuthenticationPackageName |
security_result.about.resource.name (en anglais) |
|
ElevatedToken |
Données/ElevatedToken |
security_result.detection_fields.labels.key/value |
|
Adresse IP |
Données/Adresse IP |
src.ip |
|
IpPort |
Données/Port IP |
src.port |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
LogonProcessName |
Data/LogonProcessName |
target.process.file.full_path |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4625
Fournisseur: Microsoft-Windows-EventSystem
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = STATUS_UPDATE |
|
param3 |
Données/param3 |
about.registre.registre_key |
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGIN
security_result.category = AUTH_VIOLATION
security_result.action = BLOCK
extensions.auth.type défini sur MACHINE |
|
Type d'authentification |
Data/LogonType (Données/Type d'authentification) |
extensions.auth.mechanism et extensions.auth.details |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
Objet LogonId |
Data/SubjectLogonId |
principal.labels.key/value |
|
WorkstationName (Nom du poste de travail) |
Données/Nom du poste de travail |
principal.hostname |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
principal.process.command_line |
|
ProcessId |
Data/ProcessId |
principal.process.pid |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
AuthenticationPackageName |
Data/AuthenticationPackageName |
security_result.about.resource.name (en anglais) |
|
Status |
Données/État |
safety_result.summary
Renseignez la description correspondant aux codes d'état. Format: Status(%{Status}): %{status_description}. Si la valeur suivante est 0xc000006d, stockez-la. Le motif est soit un nom d'utilisateur incorrect, soit des informations d'authentification (référencées dans le tableau des documents).' |
|
Sous-état |
Données/Sous-état |
[Security_result.description] Renseignez la description correspondant aux codes de sous-état. Format: SubStatus(%{SubStatus}): %{sub_status_description} Si la valeur à venir est 0xc000006d, stockez la valeur 'c'est-à-dire un nom d'utilisateur ou des informations d'authentification incorrects (référencés dans le tableau des documents. |
|
Adresse IP |
Données/Adresse IP |
src.ip |
|
IpPort |
Données/Port IP |
src.port |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
LogonProcessName |
Data/LogonProcessName |
target.process.file.full_path |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4626
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGIN |
|
Type d'authentification |
Data/LogonType (Données/Type d'authentification) |
extensions.auth.mechanism et extensions.auth.details |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4627
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = GROUP_UNCATEGORIZED |
|
Type d'authentification |
Data/LogonType (Données/Type d'authentification) |
extensions.auth.mechanism et extensions.auth.details |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
Appartenance à un groupe |
Données/appartenance au groupe |
target.user.group_identifiers [identifiants_groupe_d'utilisateurs] |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4634
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGOUT
security_result.action = ALLOW |
|
Type d'authentification |
Data/LogonType (Données/Type d'authentification) |
extensions.auth.mechanism et extensions.auth.details |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4646
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SERVICE_START |
ID de l'événement 4647
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGOUT |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
|
TargetUserSid |
Données/CibleUtilisateurSid |
target.user.windows_sid |
ID de l'événement 4648
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = USER_LOGIN
security_result.action défini sur "ALLOW"
extensions.auth.mechanism défini sur "USERNAME_PASSWORD" |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
principal.process.command_line |
|
ProcessId |
Data/ProcessId |
principal.process.pid |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
Adresse IP |
Données/Adresse IP |
src.ip |
|
IpPort |
Données/Port IP |
src.port |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
ID de l'événement 4649
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = SYSTEM_AUDIT_UNCATEGORIZED |
|
SubjectDomaine |
Données/Nom du domaine |
domaine_principal.administrative_domain |
|
LogonProcessName |
Data/LogonProcessName |
principal.process.command_line |
|
SubjectUserName (Nom d'utilisateur de l'objet) |
Données/Nom d'utilisateur |
principal.user.userid |
|
ObjetUtilisateur |
Données/ObjetUtilisateur |
principal.user.windows_sid |
|
Nom de cible cible |
Données/Nombril cible |
target.administrative_domain |
|
WorkstationName (Nom du poste de travail) |
Données/Nom du poste de travail |
target.hostname |
|
ProcessName (Nom du processus) |
Données/Nom du processus |
target.process.command_line |
|
ProcessId |
Data/ProcessId |
target.process.pid |
|
TargetUserName |
Data/TargetUserName |
target.user.userid |
ID de l'événement 4650
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
LocalMMPrincipalName |
Data/LocalMMPrincipalName |
principal.hostname |
|
Adresse locale |
Données/Adresse locale |
principal.ip |
|
LocalKeyModPort |
Data/LocalKeyModPort |
principal.port |
|
RemoteMMPrincipalName |
Data/RemoteMMPrincipalName |
target.hostname |
|
RemoteAddress |
Données/Adresse à distance |
target.ip |
|
RemoteKeyModPort |
Data/RemoteKeyModPort |
target.port |
ID de l'événement 4651
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
Local MMIssuingCA |
Données/LocalMMIssuingCA |
network.tls.client.certificate.issuer |
|
RemoteMMIssuingCA |
Données/TélécommandeMMMM |
network.tls.server.certificate.issuer |
|
LocalMMPrincipalName |
Data/LocalMMPrincipalName |
principal.hostname |
|
Adresse locale |
Données/Adresse locale |
principal.ip |
|
LocalKeyModPort |
Data/LocalKeyModPort |
principal.port |
|
RemoteMMPrincipalName |
Data/RemoteMMPrincipalName |
target.hostname |
|
RemoteAddress |
Données/Adresse à distance |
target.ip |
|
RemoteKeyModPort |
Data/RemoteKeyModPort |
target.port |
ID de l'événement 4652
Fournisseur: Microsoft-Windows-Security-Auditing
|
Champ NXLog |
Champ Observateur d'événements |
Champ UDM |
|
|
|
metadata.event_type = NETWORK_UNCATEGORIZED |
|
Local MMIssuingCA |
Données/LocalMMIssuingCA |
network.tls.client.certificate.issuer |
|
RemoteMMIssuingCA |
Données/TélécommandeMMMM |
network.tls.server.certificate.issuer |
|
LocalMMPrincipalName |
Data/LocalMMPrincipalName |
principal.hostname |
|
Adresse locale |
Données/Adresse locale |
principal.ip |
|
LocalKeyModPort |
|