Sicherheitsüberwachung-Datenspalten
Die Ereigniskategorie Sicherheitsüberwachung enthält die folgenden Ereignisklassen:
- Audit Login-Klasse
- Audit Backup/Restore Event-Klasse
- Audit Logout-Klasse
- Audit Server Starts and Stops-Klasse
- Audit Object Permission Event-Klasse
In den folgenden Tabellen sind die Datenspalten für jede dieser Ereignisklassen aufgeführt.
Audit Login Event-Klasse – Datenspalten
| Datenspalte | Beschreibung |
|---|---|
ConnectionID |
Enthält die eindeutige Verbindungs-ID, die dem Anmeldeereignis zugeordnet ist. |
ServerName |
Enthält den Namen der Instanz von Microsoft SQL Server 2005 Analysis Services (SSAS), für die das Anmeldeereignis aufgetreten ist. |
CurrentTime |
Enthält die aktuelle Uhrzeit des Anmeldeereignisses. Für das Filtern lauten diese Formate JJJJ-MM-TT und JJJJ-MM-TT HH:MM:SS. |
NTCanonicalUserName |
Enthält den Windows-Benutzernamen, der dem Anmeldeereignis zugeordnet ist. Der Benutzername wird in kanonischer Form angegeben. Beispiel: engineering.microsoft.com/software/user. |
NTUserName |
Enthält den Windows-Benutzernamen, der dem Anmeldeereignis zugeordnet ist. |
StartTime |
Enthält die Uhrzeit (wenn verfügbar), zu der das Anmeldeereignis begonnen hat. Für das Filtern lauten diese Formate JJJJ-MM-TT und JJJJ-MM-TT HH:MM:SS. |
Error |
Enthält die Fehlernummer eines Fehlers, der ggf. dem Anmeldeereignis zugeordnet ist. |
Severity |
Enthält den Schweregrad einer Ausnahme, die dem Anmeldeereignis zugeordnet ist. Die Werte sind: 0 = Erfolg 1 = Information 2 = Warnung 3 = Fehler |
Success |
Enthält die Angabe zum Erfolg oder Fehlschlagen des Anmeldeereignisses. Die Werte sind: 0 = Fehlschlag 1 = Erfolg |
ApplicationName |
Enthält den Namen der Clientanwendung, die dem Anmeldeereignis zugeordnet ist. |
ClientHostName |
Enthält den Namen des Computers, auf dem das Anmeldeereignis aufgetreten ist. |
ClientProcessID |
Enthält die Clientprozess-ID, die dem Anmeldeereignis zugeordnet ist. |
NTDomainName |
Enthält das Windows-Domänenkonto, das dem Anmeldeereignis zugeordnet ist. |
Audit Backup/Restore Event-Klasse – Datenspalten
| Datenspalte | Beschreibung |
|---|---|
ConnectionID |
Enthält die eindeutige Verbindungs-ID, die dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
TextData |
Enthält die Textdaten, die dem Sicherungs- oder Wiederherstellungsereignis zugeordnet sind. |
ServerName |
Enthält den Namen der Instanz von Analysis Services, für die das Sicherungs- oder Wiederherstellungsereignis aufgetreten ist. |
DatabaseName |
Enthält den Namen der Datenbank, in der das Sicherungs- oder Wiederherstellungsereignis ausgeführt wird. |
EventSubClass |
Enthält die Ereignisklasse in den Analysis Services-Sicherungs- oder Wiederherstellungsereignissen. Die Werte sind: 1 = Sicherung 2 = Wiederherstellung 3 = Synchronisierung |
NTCanonicalUserName |
Enthält den Windows-Benutzernamen, der dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. Der Benutzername wird in kanonischer Form angegeben. Beispiel: engineering.microsoft.com/software/user. |
NTUserName |
Enthält den Windows-Benutzernamen, der dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
SPID |
Enthält die Serverprozess-ID (SPID), die die dem Sicherungs- oder Wiederherstellungsereignis zugeordnete Benutzersitzung eindeutig identifiziert. Die SPID entspricht direkt der Sitzungs-GUID, die von XMLA (XML for Analysis) verwendet wird. |
Error |
Enthält die Fehlernummer eines Fehlers, der ggf. dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
Severity |
Enthält den Schweregrad einer Ausnahme, die dem Anmeldeereignis zugeordnet ist. Die Werte sind: 0 = Erfolg 1 = Information 2 = Warnung 3 = Fehler |
Success |
Enthält die Angabe zum Erfolg oder Fehlschlagen des Sicherungs- oder Wiederherstellungsereignisses. Die Werte sind: 0 = Fehlschlag 1 = Erfolg |
ApplicationName |
Enthält den Namen der Clientanwendung, die dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
ClientHostName |
Enthält den Namen des Computers, auf dem das Sicherungs- oder Wiederherstellungsereignis aufgetreten ist. |
ClientProcessID |
Enthält die Clientprozess-ID, die dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
NTDomainName |
Enthält das Windows-Domänenkonto, das dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
SessionID |
Enthält die Sitzungs-ID, die dem Sicherungs- oder Wiederherstellungsereignis zugeordnet ist. |
Audit Logout Event-Klasse – Datenspalten
| Datenspalte | Beschreibung |
|---|---|
ConnectionID |
Enthält die eindeutige Verbindungs-ID, die dem Abmeldeereignis zugeordnet ist. |
ServerName |
Enthält den Namen der Instanz von Analysis Services, für die das Abmeldeereignis aufgetreten ist. |
CurrentTime |
Enthält die aktuelle Uhrzeit des Abmeldeereignisses. Für das Filtern lauten die erwarteten Formate JJJJ-MM-TT und JJJJ-MM-TT HH:MM:SS. |
Duration |
Enthält die Zeitdauer zwischen dem Anmeldeereignis und dem Abmeldeereignis. |
EndTime |
Enthält die Uhrzeit, zu der das Abmeldeereignis aufgetreten ist. Für das Filtern lauten diese Formate JJJJ-MM-TT und JJJJ-MM-TT HH:MM:SS. |
NTCanonicalUserName |
Enthält den Windows-Benutzernamen, der dem Abmeldeereignis zugeordnet ist. Der Benutzername wird in kanonischer Form angegeben. Beispiel: engineering.microsoft.com/software/user. |
NTUserName |
Enthält den Windows-Benutzernamen, der dem Abmeldeereignis zugeordnet ist. |
CPUTime |
Enthält die CPU-Zeit (in Millisekunden), die vom Prozess zwischen dem Anmelde- und dem Abmeldeereignis verwendet wurde. |
Success |
Enthält die Angabe zum Erfolg oder Fehlschlagen des Überwachungsabmeldeereignisses. Die Werte sind: 0 = Fehlschlag 1 = Erfolg |
ApplicationName |
Enthält den Namen der Clientanwendung, die dem Abmeldeereignis zugeordnet ist. |
ClientHostName |
Enthält den Namen des Computers, auf dem das Abmeldeereignis aufgetreten ist. |
ClientProcessID |
Enthält die Clientprozess-ID, die dem Abmeldeereignis zugeordnet ist. |
NTDomainName |
Enthält das Windows-Domänenkonto, das dem Abmeldeereignis zugeordnet ist. |
Audit Server Starts and Stops Event-Klasse – Datenspalten
| Datenspalte | Beschreibung |
|---|---|
TextData |
Enthält die Textdaten, die dem Serverstart- oder -stopereignis zugeordnet sind. |
ServerName |
Enthält den Namen der Instanz von Analysis Services, für die das Serverstart- oder -stopereignis aufgetreten ist. |
CurrentTime |
Enthält die aktuelle Uhrzeit des Serverstart- oder -stopereignisses. Für das Filtern lauten diese Formate JJJJ-MM-TT und JJJJ-MM-TT HH:MM:SS. |
EventSubClass |
Enthält die Ereignisklasse im Serverstart- oder -stopereignis. Die Werte sind: 1 = Instanz heruntergefahren 2 = Instanz gestartet 3 = Instanz angehalten 4 = Instanz fortgesetzt |
Error |
Enthält die Fehlernummer eines Fehlers, der ggf. dem Serverstart- oder -stopereignis zugeordnet ist. |
Severity |
Enthält den Schweregrad einer Ausnahme, die dem Serverstart- oder -stopereignis zugeordnet ist. Die Werte sind: 0 = Erfolg 1 = Information 2 = Warnung 3 = Fehler |
Success |
Enthält die Angabe zum Erfolg oder Fehlschlagen des Serverstart- oder -stopereignisses. Die Werte sind: 0 = Fehlschlag 1 = Erfolg |
Audit Object Permission Event-Klasse – Datenspalten
| Datenspalte | Beschreibung |
|---|---|
ConnectionID |
Enthält die eindeutige Verbindungs-ID, die dem Objektberechtigungsereignis zugeordnet ist. |
TextData |
Enthält die Textdaten, die dem Objektberechtigungsereignis zugeordnet sind. |
ServerName |
Enthält den Namen der Instanz von Analysis Services, für die das Objektberechtigungsereignis aufgetreten ist. |
DatabaseName |
Enthält den Namen der Datenbank, in der das Objektberechtigungsereignis aufgetreten ist. |
NTCanonicalUserName |
Enthält den Windows-Benutzernamen, der dem Objektberechtigungsereignis zugeordnet ist. Der Benutzername wird in kanonischer Form angegeben. Beispiel: engineering.microsoft.com/software/user. |
NTUserName |
Enthält den Windows-Benutzernamen, der dem Objektberechtigungsereignis zugeordnet ist. |
ObjectID |
Enthält die Objekt-ID (eine Zeichenfolge), die dem Objektberechtigungsereignis zugeordnet ist. |
ObjectName |
Enthält den Namen des Objekts, das dem Objektberechtigungsereignis zugeordnet ist. |
ObjectPath |
Enthält den Objektpfad für das Objekt, das dem Objektberechtigungsereignis zugeordnet ist, als durch Kommas getrennte Liste der übergeordneten Elemente, beginnend mit den übergeordneten Elementen des Objekts. |
ObjectReference |
Enthält den Objektverweis für das Objektberechtigungsereignis, als XML für alle übergeordneten Elemente codiert. Zum Beschreiben des Objekts werden Tags verwendet. |
ObjectType |
Enthält den Typ des Objekts, das dem Objektberechtigungsereignis zugeordnet ist. |
SPID |
Enthält die Serverprozess-ID (SPID), die die dem Objektberechtigungsereignis zugeordnete Benutzersitzung eindeutig identifiziert. Die SPID entspricht direkt der Sitzungs-GUID, die von XMLA (XML for Analysis) verwendet wird. |
Error |
Enthält die Fehlernummer eines Fehlers, der ggf. dem Objektberechtigungsereignis zugeordnet ist. |
Severity |
Enthält den Schweregrad einer Ausnahme, die dem Objektberechtigungsereignis zugeordnet ist. Die Werte sind: 0 = Erfolg 1 = Information 2 = Warnung 3 = Fehler |
Success |
Enthält die Angabe zum Erfolg oder Fehlschlagen des Objektberechtigungsereignisses. Die Werte sind: 0 = Fehlschlag 1 = Erfolg |
ApplicationName |
Enthält den Namen der Clientanwendung, die dem Objektberechtigungsereignis zugeordnet ist. |
ClientHostName |
Enthält den Namen des Computers, auf dem das Objektberechtigungsereignis aufgetreten ist. |
ClientProcessID |
Enthält die Clientprozess-ID, die dem Objektberechtigungsereignis zugeordnet ist. |
NTDomainName |
Enthält das Windows-Domänenkonto, das dem Objektberechtigungsereignis zugeordnet ist. |
SessionID |
Enthält die Sitzungs-ID, die dem Objektberechtigungsereignis zugeordnet ist. |
Siehe auch
Andere Ressourcen
Sicherheitsüberwachung-Ereigniskategorie