左側のナビゲーション ペインで、[調査] をクリックし、[認証イベント] タブをクリックします。イベントを検索します。

任意のイベント行の右側にある をクリックして、追加のイベント情報を表示します。

[グループ化] ドロップダウン メニューを使用して結果をグループ化し、認証イベント結果のグループの [>] をクリックすると、[イベントの詳細] パネルに [グループの詳細]、[前回のイベントの詳細]、[プロセス]、および [デバイス] セクションが表示されます。[グループの詳細] セクションには、以下の内容がまとめられています。

• [グループ化] の基準
• グループ内のイベント数
• グループ内の最初のイベントと最後のイベントの時間
• グループ内のイベント間で共通の追加情報

[前回のイベントの詳細] セクションには、グループ内の最新のイベントに関する情報が含まれます。

単一の認証イベント結果の [>] をクリックすると、[イベントの詳細] パネルに [イベントの詳細]、[プロセス]、および [デバイス] セクションが表示されます。

[認証イベント] 画面の [イベントの詳細] パネルには、複数属性の調査機能が導入されています。これにより、これらの属性に同じ値を持つ他の結果にピボットできます。ピボットに関しては以下のようなオプションがあります。

• ユーザー名とデバイス
• デバイスとリモート IP アドレス（リモート認証イベントで使用可能）
• ユーザー名と Windows イベント ID

この例では、 [調査] ドロップダウン メニューで [ユーザー名とデバイス] オプションを選択すると、Username と Device の値が同じ結果を検索できます。

単一属性のピボットがサポートされています。[イベントの詳細] パネルの一部の値がハイパーリンクされ、これらの値に基づいてピボットが有効になります。この例では、4624 は Windows event ID フィールドにハイパーリンクされています。[4624] をクリックすると、[認証イベント] タブに windows_event_id:4624 を持つすべての結果を検索できます。