eventId
|
eventId
|
事件類型
|
|
1
|
遙測處理
|
|
2
|
遙測檔案
|
|
3
|
遙測連接
|
|
4
|
遙測_DNS
|
|
5
|
遙測註冊表
|
|
6
|
遙測帳戶
|
|
7
|
遙測網路
|
|
8
|
遙測_已修改的進程
|
|
9
|
遙測_WINDOWS_HOOK
|
|
10
|
遙測_Windows_事件
|
|
11
|
遙測_ASMI
|
|
12
|
遙測_WMI
|
|
13
|
遙測記憶體
|
|
14
|
遙測_BM
|
|
15
|
TELEMETRY_APP
|
|
16
|
遙測系統事件
|
|
17
|
遙測事件管道
|
|
18
|
TELEMETRY_MAC_SYS_LOG
|
|
19
|
遙測_DDR
|
|
101
|
遙測關聯
|
eventSubId
|
eventSubId
|
事件子類型
|
|
0
|
無遙測
|
|
1
|
遙測處理開啟
|
|
2
|
遙測_進程_創建
|
|
3
|
遙測處理終止
|
|
4
|
遙測處理載入映像
|
|
5
|
遙測_執行程序
|
|
6
|
遙測處理連接
|
|
7
|
遙測處理_TRACME
|
|
8
|
遙測_處理_加載_內核_映像
|
|
101
|
TELEMETRY_FILE_CREATE
|
|
102
|
遙測_檔案_開啟
|
|
103
|
遙測_檔案_刪除
|
|
104
|
遙測檔案設置安全性
|
|
105
|
遙測檔案複製
|
|
106
|
遙測檔案移動
|
|
107
|
遙測檔案關閉
|
|
108
|
遙測檔案修改時間戳
|
|
109
|
遙測檔案修改
|
|
110
|
TELEMETRY_FILE_SET_ATTRIBUTES
|
|
111
|
遙測檔案枚舉
|
|
112
|
TELEMETRY_FILE_SET_EXTENDED_ATTRIBUTE
|
|
113
|
刪除擴展屬性的遙測檔案
|
|
201
|
遙測連接連接
|
|
202
|
遙測連接監聽
|
|
203
|
遙測連接入站連接
|
|
204
|
遙測連接向外連接
|
|
301
|
TELEMETRY_DNS_QUERY
|
|
401
|
TELEMETRY_REGISTRY_CREATE
|
|
402
|
遙測註冊表設置
|
|
403
|
TELEMETRY_REGISTRY_DELETE
|
|
404
|
遙測註冊表重命名
|
|
405
|
遙測註冊表枚舉
|
|
406
|
TELEMETRY_REGISTRY_ENUMERATEVALUE
|
|
407
|
遙測_註冊表_查詢值
|
|
408
|
TELEMETRY_REGISTRY_SAVE
|
|
501
|
遙測帳戶新增
|
|
502
|
遙測帳戶刪除
|
|
503
|
遙測帳戶冒充
|
|
504
|
遙測帳戶修改
|
|
505
|
TELEMETRY_ACCOUNT_LOGIN
|
|
506
|
TELEMETRY_ACCOUNT_LOGOUT
|
|
601
|
TELEMETRY_INTERNET_OPEN
|
|
602
|
遙測_網際網路連線
|
|
603
|
遙測網路下載
|
|
701
|
TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD
|
|
702
|
遙測_修改的進程寫入記憶體
|
|
703
|
遙測_修改的進程_寫入進程
|
|
704
|
遙測_修改的進程_讀取進程
|
|
705
|
遙測_修改_寫入_進程_名稱
|
|
801
|
遙測_WINDOWS_HOOK_SET
|
|
901
|
TELEMETRY_AMSI_EXECUTE
|
|
1001
|
遙測記憶體修改
|
|
1002
|
遙測記憶體修改權限
|
|
1003
|
遙測記憶體讀取
|
|
1101
|
TELEMETRY_BM_INVOKE
|
|
1102
|
TELEMETRY_BM_INVOKE_API
|
|
1201
|
遙測應用程式啟動
|
|
1202
|
遙測_應用程式_停止
|
|
1203
|
遙測應用程式安裝
|
|
1204
|
TELEMETRY_APP_UNINSTALL
|
|
1205
|
TELEMETRY_APP_BEHAVIOR
|
|
1301
|
TELEMETRY_SYSTEM_EVENT_ENABLE
|
|
1302
|
TELEMETRY_SYSTEM_EVENT_DISABLE
|
|
1303
|
遙測系統認證安裝
|
|
1304
|
TELEMETRY_SYSTEM_DEVICE_ROOTED
|
|
1401
|
TELEMETRY_PIPE_CREATE
|
|
1402
|
TELEMETRY_PIPE_CONNECT
|
|
1601
|
TELEMETRY_MAC_SYS_LOG_COLLECT
|
|
1701
|
TELEMETRY_DDR_FILE_COPY
|
|
1702
|
TELEMETRY_DDR_FILE_MOVE
|
|
1703
|
TELEMETRY_DDR_FILE_RENAME
|
|
1704
|
TELEMETRY_DDR_FILE_MODIFY
|
|
1705
|
TELEMETRY_DDR_FILE_DELETE
|
|
1706
|
TELEMETRY_DDR_FILE_UNZIP
|
|
1707
|
TELEMETRY_DDR_FILE_ZIP
|
|
1708
|
TELEMETRY_DDR_FILE_UPLOAD
|
|
1709
|
TELEMETRY_DDR_FILE_DOWNLOAD
|
|
1710
|
TELEMETRY_DDR_FILE_PRINT
|
|
10101
|
TELEMETRY_ASSOCIATION_PROCESS_IMAGE_FILE
|
|
10102
|
TELEMETRY_ASSOCIATION_AUTO_RUN_KEY_FULL_PATH
|
|
10103
|
TELEMETRY_ASSOCIATION_HOST_PROC_CMD_FULL_PATH
|
|
10104
|
TELEMETRY_ASSOCIATION_SERVICE_DLL
|
|
10105
|
TELEMETRY_ASSOCIATION_ARCHIVE_FILE
|
|
10106
|
TELEMETRY_ASSOCIATION_BROWSER_PROCESS
|