Columnas de datos de Auditoría de seguridad
La categoría de eventos Auditoría de seguridad tiene las siguientes clases de eventos:
| Id. de evento | Nombre del evento | Descripción del evento |
|---|---|---|
| 1 | Audit Login | Recopila todos los nuevos eventos de conexión desde que se inició el seguimiento, como cuando un cliente solicita una conexión a un servidor que ejecuta una instancia de SQL Server. |
| 2 | Audit Logout | Recopila todos los nuevos eventos de desconexión desde que se inició el seguimiento, como cuando un cliente envía un comando de desconexión. |
| 4 | Audit Server Starts And Stops | Registra las actividades de cierre, inicio y pausa de los servicios. |
| 18 | Audit Object Permission Event | Registra los cambios de permiso de un objeto. |
| 19 | Audit Admin Operations Event | Registra las operaciones de copia de seguridad/restauración/sincronización/operaciones de adjuntar o separar/carga de imágenes/guardado de imágenes realizadas en el servidor. |
En las siguientes tablas se muestran las columnas de datos de cada una de estas clases de eventos.
Audit Login
| Nombre de columna | Identificador de la columna | Tipo de columna | Descripción de la columna |
|---|---|---|---|
| EventClass (Clase de evento) | 0 | 1 | Clase de evento se usa para categorizar los eventos. |
| CurrentTime | 2 | 5 | Hora a la que se inició el evento, si está disponible. Para filtrar, los formatos esperados son "AAAA-MM-DD" y "AAAA-MM-DD HH:MM:SS". |
| StartTime | 3 | 5 | Hora a la que se inició el evento, si está disponible. Para filtrar, los formatos esperados son "AAAA-MM-DD" y "AAAA-MM-DD HH:MM:SS". |
| severity | 22 | 1 | Nivel de gravedad de una excepción. |
| Operación completada correctamente | 23 | 1 | 1 = operación completada correctamente. 0 = error (por ejemplo, 1 significa que una comprobación de permisos se realizó correctamente y 0 significa error en dicha comprobación). |
| Error | 24 | 1 | Número de error de un evento determinado. |
| ConnectionID | 25 | 1 | Id. de conexión única. |
| NTUserName | 32 | 8 | Contiene el nombre de usuario asociado al evento de comando. En función del entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMAIN\UserName) - Nombre principal de usuario (UPN) (username@domain.com) - Nombre de entidad de seguridad de servicio (SPN) (appid@tenantid) - Cuenta de servicio Power BI (servicio Power BI) - Servicio Power BI en nombre de un UPN o SPN (Servicio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene el nombre de dominio asociado a la cuenta de usuario que desencadenó el evento de comando. - Nombre de dominio de Windows para cuentas de usuario de Windows: AzureAD para cuentas de Microsoft Entra: cuentas NT AUTHORITY sin un nombre de dominio de Windows, como el servicio Power BI |
| ClientHostName | 35 | 8 | Nombre del equipo en el que se está ejecutando el cliente. Esta columna de datos se rellena si el cliente proporciona el nombre del host. |
| ClientProcessID | 36 | 1 | El identificador de proceso de la aplicación cliente. |
| ApplicationName | 37 | 8 | Nombre de la aplicación cliente que creó la conexión al servidor. Esta columna se rellena con los valores que pasa la aplicación, en lugar de con el nombre que se muestra para el programa. |
| NTCanonicalUserName | 40 | 8 | Contiene el nombre de usuario asociado al evento de comando. Según el entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMINIO\NombreDeUsuario) - Nombre principal de usuario (UPN) (username@domain.com) - Nombre de entidad de seguridad de servicio (SPN) (appid@tenantid) - Cuenta del servicio Power BI (servicio Power BI) |
| nombreDeServidor | 43 | 8 | Nombre del servidor que produce el evento. |
Audit Logout
| Nombre de la columna | Id. de columna | Tipo de columna | Descripción de la columna |
|---|---|---|---|
| EventClass (Clase de evento) | 0 | 1 | Clase de evento se usa para categorizar los eventos. |
| CurrentTime | 2 | 5 | Hora a la que se inició el evento, si está disponible. Para filtrar, los formatos esperados son "AAAA-MM-DD" y "AAAA-MM-DD HH:MM:SS". |
| EndTime | 4 | 5 | Hora a la que finalizó el evento. Esta columna no se llena para las clases de eventos de inicio, como SQL:BatchStarting o SP:Starting. Para filtrar, los formatos esperados son "AAAA-MM-DD" y "AAAA-MM-DD HH:MM:SS". |
| Duration | 5 | 2 | Cantidad de tiempo (en milisegundos) que tarda el evento. |
| CPUTime | 6 | 2 | Cantidad de tiempo de CPU (en milisegundos) que utiliza el evento. |
| Correcto | 23 | 1 | 1 = operación completada correctamente. 0 = error (por ejemplo, 1 significa que una comprobación de permisos se realizó correctamente y 0 significa error en dicha comprobación). |
| ConnectionID | 25 | 1 | Id. de conexión única. |
| NTUserName | 32 | 8 | Contiene el nombre de usuario asociado al evento de comando. En función del entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMAIN\UserName) - Nombre principal de usuario (UPN) (username@domain.com) - Nombre de entidad de seguridad de servicio (SPN) (appid@tenantid) - Cuenta de servicio Power BI (servicio Power BI) - Servicio Power BI en nombre de un UPN o SPN (Servicio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene el nombre de dominio asociado a la cuenta de usuario que desencadenó el evento de comando. - Nombre de dominio de Windows para cuentas de usuario de Windows: AzureAD para cuentas de Microsoft Entra: cuentas NT AUTHORITY sin un nombre de dominio de Windows, como el servicio Power BI |
| ClientHostName | 35 | 8 | Nombre del equipo en el que se está ejecutando el cliente. Esta columna de datos se rellena si el cliente proporciona el nombre del host. |
| ClientProcessID | 36 | 1 | El identificador de proceso de la aplicación cliente. |
| ApplicationName | 37 | 8 | Nombre de la aplicación cliente que creó la conexión al servidor. Esta columna se rellena con los valores que pasa la aplicación, en lugar de con el nombre que se muestra para el programa. |
| NTCanonicalUserName | 40 | 8 | Contiene el nombre de usuario asociado al evento de comando. Según el entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMINIO\NombreDeUsuario) - Nombre principal de usuario (UPN) (username@domain.com) - Nombre de entidad de seguridad de servicio (SPN) (appid@tenantid) - Cuenta del servicio Power BI (servicio Power BI) |
| nombreDeServidor | 43 | 8 | Nombre del servidor que produce el evento. |
Audit Server Starts And Stops
| Nombre de la columna | Id. de columna | Tipo de columna | Descripción de la columna |
|---|---|---|---|
| EventClass (Clase de evento) | 0 | 1 | Clase de evento se usa para categorizar los eventos. |
| EventSubclass (Subclase de evento) | 1 | 1 | EventSubclass proporciona información adicional sobre cada clase de eventos. 1: Instance Shutdown 2: Instance Started 3: Instance Paused 4: Instance Continued |
| CurrentTime | 2 | 5 | Hora a la que se inició el evento, si está disponible. Para filtrar, los formatos esperados son "AAAA-MM-DD" y "AAAA-MM-DD HH:MM:SS". |
| severity | 22 | 1 | Nivel de gravedad de una excepción. |
| Operación completada correctamente | 23 | 1 | 1 = operación completada correctamente. 0 = error (por ejemplo, 1 significa que una comprobación de permisos se realizó correctamente y 0 significa error en dicha comprobación). |
| Error | 24 | 1 | Número de error de un evento determinado. |
| TextData | 42 | 9 | Datos de texto asociados al evento. |
| nombreDeServidor | 43 | 8 | Nombre del servidor que produce el evento. |
Audit Object Permission Event
| Nombre de la columna | Id. de columna | Tipo de columna | Descripción de la columna |
|---|---|---|---|
| ObjectID | 11 | 8 | Identificador del objeto (tenga en cuenta que es una cadena). |
| ObjectType | 12 | 1 | Tipo de objeto. |
| ObjectName | 13 | 8 | Nombre de objeto. |
| ObjectPath | 14 | 8 | Ruta del objeto. Lista separada por comas de elementos primarios, empezando por el elemento primario del objeto. |
| ObjectReference | 15 | 8 | Referencia al objeto. Codificado como XML para todos los elementos primarios, usando etiquetas para describir el objeto. |
| severity | 22 | 1 | Nivel de gravedad de una excepción. |
| Operación completada correctamente | 23 | 1 | 1 = operación completada correctamente. 0 = error (por ejemplo, 1 significa que una comprobación de permisos se realizó correctamente y 0 significa error en dicha comprobación). |
| Error | 24 | 1 | Número de error de un evento determinado. |
| ConnectionID | 25 | 1 | Id. de conexión única. |
| DatabaseName | 28 | 8 | Nombre de la base de datos en la que se ejecuta la instrucción del usuario. |
| NTUserName | 32 | 8 | Contiene el nombre de usuario asociado al evento de comando. Dependiendo del entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMAIN\UserName) - Nombre principal de usuario (UPN) (username@domain.com) - Nombre principal de servicio (SPN) (appid@tenantid): cuenta de servicio Power BI (servicio Power BI) - Servicio Power BI en nombre de un UPN o SPN (servicio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene el nombre de dominio asociado a la cuenta de usuario que desencadenó el evento de comando. - Nombre de dominio de Windows para cuentas de usuario de Windows: AzureAD para cuentas de Microsoft Entra: cuentas NT AUTHORITY sin un nombre de dominio de Windows, como el servicio Power BI |
| ClientHostName | 35 | 8 | Nombre del equipo en el que se está ejecutando el cliente. Esta columna de datos se rellena si el cliente proporciona el nombre del host. |
| ClientProcessID | 36 | 1 | El identificador de proceso de la aplicación cliente. |
| ApplicationName | 37 | 8 | Nombre de la aplicación cliente que creó la conexión al servidor. Esta columna se rellena con los valores que pasa la aplicación, en lugar de con el nombre que se muestra para el programa. |
| SessionID | 39 | 8 | GUID de la sesión. |
| NTCanonicalUserName | 40 | 8 | Contiene el nombre de usuario asociado al evento de comando. En función del entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMAIN\UserName) - Nombre principal de usuario (UPN) () -username@domain.com Nombre principal de servicio (SPN) (appid@tenantid): cuenta de servicio Power BI (servicio Power BI) |
| SPID | 41 | 1 | Id. de proceso de servidor. Identifica una sesión de usuario de manera única. Corresponde directamente al GUID de la sesión que XML/A usa. |
| TextData | 42 | 9 | Datos de texto asociados al evento. |
| nombreDeServidor | 43 | 8 | Nombre del servidor que produce el evento. |
Audit Admin Operations Event
| Nombre de la columna | Id. de columna | Tipo de columna | Descripción de la columna |
|---|---|---|---|
| EventSubclass (Subclase de evento) | 1 | 1 | EventSubclass proporciona información adicional sobre cada clase de eventos. 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| severity | 22 | 1 | Nivel de gravedad de una excepción. |
| Operación completada correctamente | 23 | 1 | 1 = operación completada correctamente. 0 = error (por ejemplo, 1 significa que una comprobación de permisos se realizó correctamente y 0 significa error en dicha comprobación). |
| Error | 24 | 1 | Número de error de un evento determinado. |
| ConnectionID | 25 | 1 | Id. de conexión única. |
| DatabaseName | 28 | 8 | Nombre de la base de datos en la que se ejecuta la instrucción del usuario. |
| NTUserName | 32 | 8 | Contiene el nombre de usuario asociado al evento de comando. Dependiendo del entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMAIN\UserName) - Nombre principal de usuario (UPN) (username@domain.com) - Nombre principal de servicio (SPN) (appid@tenantid): cuenta de servicio Power BI (servicio Power BI) - Servicio Power BI en nombre de un UPN o SPN (servicio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene el nombre de dominio asociado a la cuenta de usuario que desencadenó el evento de comando. - Nombre de dominio de Windows para cuentas de usuario de Windows: AzureAD para cuentas de Microsoft Entra: cuentas NT AUTHORITY sin un nombre de dominio de Windows, como el servicio Power BI |
| ClientHostName | 35 | 8 | Nombre del equipo en el que se está ejecutando el cliente. Esta columna de datos se rellena si el cliente proporciona el nombre del host. |
| ClientProcessID | 36 | 1 | El identificador de proceso de la aplicación cliente. |
| ApplicationName | 37 | 8 | Nombre de la aplicación cliente que creó la conexión al servidor. Esta columna se rellena con los valores que pasa la aplicación, en lugar de con el nombre que se muestra para el programa. |
| SessionID | 39 | 8 | GUID de la sesión. |
| NTCanonicalUserName | 40 | 8 | Contiene el nombre de usuario asociado al evento de comando. En función del entorno, el nombre de usuario tiene el siguiente formato: - Cuenta de usuario de Windows (DOMAIN\UserName) - Nombre principal de usuario (UPN) () -username@domain.com Nombre principal de servicio (SPN) (appid@tenantid): cuenta de servicio Power BI (servicio Power BI) |
| SPID | 41 | 1 | Id. de proceso de servidor. Identifica una sesión de usuario de manera única. Corresponde directamente al GUID de la sesión que XML/A usa. |
| TextData | 42 | 9 | Datos de texto asociados al evento. |
| nombreDeServidor | 43 | 8 | Nombre del servidor que produce el evento. |