Sicherheitsüberwachung-Datenspalten
Die Sicherheitsüberwachungs-Ereigniskategorie verfügt über die folgenden Ereignisklassen:
| Ereignis-ID | Ereignisname | Ereignisbeschreibung |
|---|---|---|
| 1 | Audit Login | Sammelt alle neuen Verbindungsereignisse seit dem Start der Ablaufverfolgung (z. B., wenn ein Client eine Verbindung mit einem Server anfordert, auf dem eine SQL Server-Instanz ausgeführt wird). |
| 2 | Audit Logout | Sammelt alle neuen Ereignisse zum Trennen einer Verbindung, die seit dem Start der Ablaufverfolgung eingetreten sind, z. B. wenn ein Client einen Befehl zum Trennen der Verbindung ausgibt. |
| 4 | Audit Server Starts And Stops | Erfasst das Herunterfahren von Diensten, startet Aktivitäten und hält sie an. |
| 18 | Audit Object Permission Event | Erfasst Objektberechtigungsänderungen. |
| 19 | Audit Admin Operations-Ereignis | Erfasst Serversicherung/-wiederherstellung/-synchronisierung/-anfügung/-trennung/Laden von Bildern (imageload)/Speichern von Bildern (imagesave). |
In den folgenden Tabellen sind die Datenspalten für jede dieser Ereignisklassen aufgeführt.
Audit Login
| Spaltenname | Spalten-ID | Spaltentyp | Spaltenbeschreibung |
|---|---|---|---|
| EventClass | 0 | 1 | Die Ereignisklasse wird zum Kategorisieren von Ereignissen verwendet. |
| CurrentTime | 2 | 5 | Der Zeitpunkt, zu dem das Ereignis begonnen hat (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS". |
| StartTime | 3 | 5 | Der Zeitpunkt, zu dem das Ereignis begonnen hat (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS". |
| severity | 22 | 1 | Schweregrad einer Ausnahme. |
| Vorgang erfolgreich | 23 | 1 | 1 = Erfolgreiche Ausführung 0 = Fehlerhafte Ausführung (z.B. gibt der Wert „1“ die erfolgreiche Ausführung einer Berechtigungsüberprüfung und „0“ einen Fehler bei dieser Überprüfung an). |
| Fehler (Error) | 24 | 1 | Fehlernummer eines bestimmten Ereignisses. |
| ConnectionID | 25 | 1 | Eindeutige Verbindungs-ID. |
| NTUserName | 32 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Abhängig von der Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMÄNE\Benutzername) - Benutzerprinzipalname (UPN) (username@domain.com) - Dienstprinzipalname (SPN) (appid@tenantid) - Power BI-Dienstkonto (Power BI-Dienst) – Power BI-Dienst im Namen eines UPN oder SPN (Power BI-Dienst (UPN/SPN)) |
| NTDomainName | 33 | 8 | Enthält den Domänennamen, der dem Benutzerkonto zugeordnet ist, das das Befehlsereignis ausgelöst hat. – Windows-Domänenname für Windows-Benutzerkonten – AzureAD für Microsoft Entra-Konten – NT AUTHORITY-Konten ohne Windows-Domänennamen, z. B. die Power BI-Dienst |
| ClientHostName | 35 | 8 | Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird. |
| ClientProcessID | 36 | 1 | Die Prozess-ID der Clientanwendung. |
| ApplicationName | 37 | 8 | Der Name der Clientanwendung, die die Verbindung mit dem Server erstellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms. |
| NTCanonicalUserName | 40 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Je nach Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMÄNE\Benutzername) – Benutzerprinzipalname (UPN) () –username@domain.com Dienstprinzipalname (SPN) (appid@tenantid) – Power BI-Dienstkonto (Power BI-Dienst) |
| ServerName | 43 | 8 | Name des Servers, der das Ereignis erzeugt. |
Audit Logout
| Spaltenname | Spalten-ID | Spaltentyp | Spaltenbeschreibung |
|---|---|---|---|
| EventClass | 0 | 1 | Die Ereignisklasse wird zum Kategorisieren von Ereignissen verwendet. |
| CurrentTime | 2 | 5 | Der Zeitpunkt, zu dem das Ereignis begonnen hat (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS". |
| EndTime | 4 | 5 | Der Zeitpunkt, zu dem das Ereignis beendet wurde. Diese Spalte wird für Startereignisklassen (z. B. SQL:BatchStarting oder SP:Starting) nicht aufgefüllt. Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS". |
| Duration | 5 | 2 | Die für das Ereignis benötigte Zeit (in Millisekunden). |
| CPUTime | 6 | 2 | Die CPU-Zeit (in Millisekunden), die vom Ereignis verwendet wurde. |
| Erfolg | 23 | 1 | 1 = Erfolgreiche Ausführung 0 = Fehlerhafte Ausführung (z.B. gibt der Wert „1“ die erfolgreiche Ausführung einer Berechtigungsüberprüfung und „0“ einen Fehler bei dieser Überprüfung an). |
| ConnectionID | 25 | 1 | Eindeutige Verbindungs-ID. |
| NTUserName | 32 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Je nach Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMAIN\Benutzername) - Benutzerprinzipalname (UPN) (username@domain.com) - Dienstprinzipalname (SPN) (appid@tenantid) - Power BI-Dienstkonto (Power BI-Dienst) - Power BI-Dienst im Auftrag eines UPN oder SPN (Power BI-Dienst (UPN/SPN)) |
| NTDomainName | 33 | 8 | Enthält den Domänennamen, der dem Benutzerkonto zugeordnet ist, das das Befehlsereignis ausgelöst hat. – Windows-Domänenname für Windows-Benutzerkonten – AzureAD für Microsoft Entra-Konten – NT AUTHORITY-Konten ohne Windows-Domänennamen, z. B. der Power BI-Dienst |
| ClientHostName | 35 | 8 | Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird. |
| ClientProcessID | 36 | 1 | Die Prozess-ID der Clientanwendung. |
| ApplicationName | 37 | 8 | Der Name der Clientanwendung, die die Verbindung mit dem Server erstellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms. |
| NTCanonicalUserName | 40 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Je nach Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMAIN\Benutzername) - Benutzerprinzipalname (UPN) (username@domain.com) - Dienstprinzipalname (SPN) (appid@tenantid) - Power BI-Dienstkonto (Power BI-Dienst) |
| ServerName | 43 | 8 | Name des Servers, der das Ereignis erzeugt. |
Audit Server Starts And Stops
| Spaltenname | Spalten-ID | Spaltentyp | Spaltenbeschreibung |
|---|---|---|---|
| EventClass | 0 | 1 | Die Ereignisklasse wird zum Kategorisieren von Ereignissen verwendet. |
| EventSubclass | 1 | 1 | Die Ereignisunterklasse enthält zusätzliche Informationen zu jeder Ereignisklasse. 1: Instanz heruntergefahren 2: Instanz gestartet 3: Instanz angehalten 4: Instanz fortgesetzt |
| CurrentTime | 2 | 5 | Der Zeitpunkt, zu dem das Ereignis begonnen hat (falls verfügbar). Für das Filtern lauten die erwarteten Formate "JJJJ-MM-TT" und "JJJJ-MM-TT HH:MM:SS". |
| Schweregrad | 22 | 1 | Schweregrad einer Ausnahme. |
| Vorgang erfolgreich | 23 | 1 | 1 = Erfolgreiche Ausführung 0 = Fehlerhafte Ausführung (z.B. gibt der Wert „1“ die erfolgreiche Ausführung einer Berechtigungsüberprüfung und „0“ einen Fehler bei dieser Überprüfung an). |
| Fehler (Error) | 24 | 1 | Fehlernummer eines bestimmten Ereignisses. |
| TextData | 42 | 9 | Dem Ereignis zugeordnete Textdaten. |
| ServerName | 43 | 8 | Name des Servers, der das Ereignis erzeugt. |
Audit Object Permission Event
| Spaltenname | Spalten-ID | Spaltentyp | Spaltenbeschreibung |
|---|---|---|---|
| ObjectID | 11 | 8 | Objekt-ID (beachten Sie, dass dies eine Zeichenfolge ist). |
| ObjektType | 12 | 1 | Objekttyp. |
| ObjectName | 13 | 8 | Objektname |
| ObjectPath | 14 | 8 | Objektpfad. Eine durch Trennzeichen getrennte Liste von übergeordneten Elementen, die beim übergeordneten Element des Objekts beginnt. |
| ObjectReference | 15 | 8 | Objektverweis. Codiert als XML für alle übergeordneten Elemente, das Verwenden von Tags, um das Objekt zu beschreiben. |
| severity | 22 | 1 | Schweregrad einer Ausnahme. |
| Vorgang erfolgreich | 23 | 1 | 1 = Erfolgreiche Ausführung 0 = Fehlerhafte Ausführung (z.B. gibt der Wert „1“ die erfolgreiche Ausführung einer Berechtigungsüberprüfung und „0“ einen Fehler bei dieser Überprüfung an). |
| Fehler (Error) | 24 | 1 | Fehlernummer eines bestimmten Ereignisses. |
| ConnectionID | 25 | 1 | Eindeutige Verbindungs-ID. |
| DatabaseName | 28 | 8 | Name der Datenbank, in der die Anweisung des Benutzers ausgeführt wird. |
| NTUserName | 32 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Abhängig von der Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMÄNE\Benutzername) - Benutzerprinzipalname (UPN) (username@domain.com) - Dienstprinzipalname (SPN) (appid@tenantid) - Power BI-Dienstkonto (Power BI-Dienst) – Power BI-Dienst im Namen eines UPN oder SPN (Power BI-Dienst (UPN/SPN)) |
| NTDomainName | 33 | 8 | Enthält den Domänennamen, der dem Benutzerkonto zugeordnet ist, das das Befehlsereignis ausgelöst hat. – Windows-Domänenname für Windows-Benutzerkonten – AzureAD für Microsoft Entra-Konten – NT AUTHORITY-Konten ohne Windows-Domänennamen, z. B. die Power BI-Dienst |
| ClientHostName | 35 | 8 | Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird. |
| ClientProcessID | 36 | 1 | Die Prozess-ID der Clientanwendung. |
| ApplicationName | 37 | 8 | Der Name der Clientanwendung, die die Verbindung mit dem Server erstellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms. |
| SessionID | 39 | 8 | Sitzungs-GUID. |
| NTCanonicalUserName | 40 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Je nach Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMÄNE\Benutzername) – Benutzerprinzipalname (UPN) () –username@domain.com Dienstprinzipalname (SPN) (appid@tenantid) – Power BI-Dienstkonto (Power BI-Dienst) |
| SPID | 41 | 1 | Serverprozess-ID. Hierdurch wird eine Benutzersitzung eindeutig identifiziert. Die ID entspricht unmittelbar der von XML/A verwendeten Sitzungs-GUID. |
| TextData | 42 | 9 | Dem Ereignis zugeordnete Textdaten. |
| ServerName | 43 | 8 | Name des Servers, der das Ereignis erzeugt. |
Audit Admin Operations-Ereignis
| Spaltenname | Spalten-ID | Spaltentyp | Spaltenbeschreibung |
|---|---|---|---|
| EventSubclass | 1 | 1 | Die Ereignisunterklasse enthält zusätzliche Informationen zu jeder Ereignisklasse. 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| severity | 22 | 1 | Schweregrad einer Ausnahme. |
| Vorgang erfolgreich | 23 | 1 | 1 = Erfolgreiche Ausführung 0 = Fehlerhafte Ausführung (z.B. gibt der Wert „1“ die erfolgreiche Ausführung einer Berechtigungsüberprüfung und „0“ einen Fehler bei dieser Überprüfung an). |
| Fehler (Error) | 24 | 1 | Fehlernummer eines bestimmten Ereignisses. |
| ConnectionID | 25 | 1 | Eindeutige Verbindungs-ID. |
| DatabaseName | 28 | 8 | Name der Datenbank, in der die Anweisung des Benutzers ausgeführt wird. |
| NTUserName | 32 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Je nach Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMAIN\Benutzername) - Benutzerprinzipalname (UPN) (username@domain.com) - Dienstprinzipalname (SPN) (appid@tenantid) - Power BI-Dienstkonto (Power BI-Dienst) - Power BI-Dienst im Auftrag eines UPN oder SPN (Power BI-Dienst (UPN/SPN)) |
| NTDomainName | 33 | 8 | Enthält den Domänennamen, der dem Benutzerkonto zugeordnet ist, das das Befehlsereignis ausgelöst hat. – Windows-Domänenname für Windows-Benutzerkonten – AzureAD für Microsoft Entra-Konten – NT AUTHORITY-Konten ohne Windows-Domänennamen, z. B. der Power BI-Dienst |
| ClientHostName | 35 | 8 | Der Name des Computers, auf dem der Client ausgeführt wird. Diese Datenspalte wird aufgefüllt, wenn der Hostname durch den Client bereitgestellt wird. |
| ClientProcessID | 36 | 1 | Die Prozess-ID der Clientanwendung. |
| ApplicationName | 37 | 8 | Der Name der Clientanwendung, die die Verbindung mit dem Server erstellt hat. Diese Spalte wird mit den Werten aufgefüllt, die von der Anwendung übergeben werden, und nicht mit dem angezeigten Namen des Programms. |
| SessionID | 39 | 8 | Sitzungs-GUID. |
| NTCanonicalUserName | 40 | 8 | Enthält den Benutzernamen, der dem Befehlsereignis zugeordnet ist. Je nach Umgebung hat der Benutzername die folgende Form: - Windows-Benutzerkonto (DOMAIN\Benutzername) - Benutzerprinzipalname (UPN) (username@domain.com) - Dienstprinzipalname (SPN) (appid@tenantid) - Power BI-Dienstkonto (Power BI-Dienst) |
| SPID | 41 | 1 | Serverprozess-ID. Hierdurch wird eine Benutzersitzung eindeutig identifiziert. Die ID entspricht unmittelbar der von XML/A verwendeten Sitzungs-GUID. |
| TextData | 42 | 9 | Dem Ereignis zugeordnete Textdaten. |
| ServerName | 43 | 8 | Name des Servers, der das Ereignis erzeugt. |