Colonne di dati degli eventi di controllo di sicurezza
La categoria di eventi Controllo di sicurezza include le classi di eventi seguenti:
| ID evento | Nome evento | Descrizione evento |
|---|---|---|
| 1 | Connessione di controllo | Raccoglie tutti i nuovi eventi di connessione generati dopo l'avvio della traccia, ad esempio quando un client richiede una connessione a un server che esegue un'istanza di SQL Server. |
| 2 | Disconnessione di controllo | Raccoglie tutti i nuovi eventi di disconnessione generati dopo l'avvio della traccia, ad esempio quando un client esegue un comando di disconnessione. |
| 4 | Inizi e arresti server di controllo | Registra le attività di chiusura, avvio e sospensione. |
| 18 | Audit Object Permission Event | Registra le modifiche alle autorizzazioni per gli oggetti. |
| 19 | Audit Admin Operations Event | Registra operazioni del server per eseguire il backup, il ripristino, la sincronizzazione, il collegamento, lo scollegamento, il caricamento o il salvataggio di immagini. |
Nelle tabelle seguenti vengono elencate le colonne di dati per ognuna di queste classi di eventi.
Connessione di controllo
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventClass | 0 | 1 | La classe di evento viene usata per suddividere gli eventi in categorie. |
| CurrentTime | 2 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| StartTime | 3 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente di Windows (DOMINIO\NomeUtente) - Nome entità utente (UPN) (username@domain.com) - Nome entità servizio (SPN) (appid@tenantid) - Account del servizio Power BI (servizio Power BI) - Servizio Power BI per conto di un UPN o SPN (servizio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento di comando. - Nome di dominio Windows per gli account utente di Windows - AzureAD per gli account Microsoft Entra - Account NT AUTHORITY senza un nome di dominio di Windows, ad esempio il servizio Power BI |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente di Windows (DOMINIO\UserName) - Nome entità utente (UPN) (username@domain.com) - Nome entità servizio (SPN) (appid@tenantid) - Account del servizio Power BI (servizio Power BI) |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Disconnessione di controllo
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventClass | 0 | 1 | La classe di evento viene usata per suddividere gli eventi in categorie. |
| CurrentTime | 2 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| EndTime | 4 | 5 | Ora di fine dell'evento. Questa colonna non viene popolata per le classi degli eventi di avvio, ad esempio SQL:BatchStarting o SP:Starting. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| Durata | 5 | 2 | Quantità di tempo (in millisecondi) richiesta dall'evento. |
| CPUTime | 6 | 2 | Tempo della CPU in millisecondi utilizzato dall'evento. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente Windows (DOMAIN\UserName) - Nome entità utente (UPN username@domain.com) - Nome entità servizio (SPN) (appid@tenantid SPN) - Account del servizio Power BI (Servizio Power BI) - Servizio Power BI per conto di un UPN o SPN (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento di comando. - Nome di dominio Windows per gli account utente di Windows - AzureAD per gli account Microsoft Entra - Account NT AUTHORITY senza un nome di dominio Windows, ad esempio il servizio Power BI |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente si trova nel formato seguente: - Account utente Windows (DOMAIN\UserName) - Nome entità utente (UPN) - Nome entità servizio (SPNusername@domain.com) (appid@tenantid ) - Account del servizio Power BI (servizio Power BI) |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Inizi e arresti server di controllo
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventClass | 0 | 1 | La classe di evento viene usata per suddividere gli eventi in categorie. |
| EventSubclass | 1 | 1 | La sottoclasse di evento fornisce informazioni aggiuntive su ogni classe di evento: 1: Instance Shutdown 2: Instance Started 3: Instance Paused 4: Instance Continued |
| CurrentTime | 2 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| TextData | 42 | 9 | Dati di testo associati all'evento. |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Audit Object Permission Event
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| ObjectID | 11 | 8 | ID oggetto (è una stringa). |
| ObjectType | 12 | 1 | Tipo di oggetto. |
| ObjectName | 13 | 8 | Nome dell'oggetto. |
| ObjectPath | 14 | 8 | Percorso dell'oggetto. Elenco delimitato da virgole di elementi padre, a partire dall'elemento padre dell'oggetto. |
| ObjectReference | 15 | 8 | Riferimento all'oggetto. Codificato in formato XML per tutti gli elementi padre. L'oggetto è descritto tramite tag. |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| DatabaseName | 28 | 8 | Nome del database in cui è in esecuzione l'istruzione dell'utente. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente di Windows (DOMINIO\NomeUtente) - Nome entità utente (UPN) (username@domain.com) - Nome entità servizio (SPN) (appid@tenantid) - Account del servizio Power BI (servizio Power BI) - Servizio Power BI per conto di un UPN o SPN (servizio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento di comando. - Nome di dominio Windows per gli account utente di Windows - AzureAD per gli account Microsoft Entra - Account NT AUTHORITY senza un nome di dominio di Windows, ad esempio il servizio Power BI |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| SessionID | 39 | 8 | GUID della sessione. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente di Windows (DOMINIO\UserName) - Nome entità utente (UPN) (username@domain.com) - Nome entità servizio (SPN) (appid@tenantid) - Account del servizio Power BI (servizio Power BI) |
| SPID | 41 | 1 | ID processo server. Identifica in modo univoco una sessione utente. Corrisponde direttamente al GUID di sessione usato da XML/A. |
| TextData | 42 | 9 | Dati di testo associati all'evento. |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Audit Admin Operations Event
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventSubclass | 1 | 1 | La sottoclasse di evento fornisce informazioni aggiuntive su ogni classe di evento: 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| DatabaseName | 28 | 8 | Nome del database in cui è in esecuzione l'istruzione dell'utente. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente di Windows (DOMINIO\NomeUtente) - Nome entità utente (UPN) (username@domain.com) - Nome entità servizio (SPN) (appid@tenantid) - Account del servizio Power BI (servizio Power BI) - Servizio Power BI per conto di un UPN o SPN (servizio Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento di comando. - Nome di dominio Windows per gli account utente di Windows - AzureAD per gli account Microsoft Entra - Account NT AUTHORITY senza un nome di dominio di Windows, ad esempio il servizio Power BI |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| SessionID | 39 | 8 | GUID della sessione. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Account utente di Windows (DOMINIO\UserName) - Nome entità utente (UPN) (username@domain.com) - Nome entità servizio (SPN) (appid@tenantid) - Account del servizio Power BI (servizio Power BI) |
| SPID | 41 | 1 | ID processo server. Identifica in modo univoco una sessione utente. Corrisponde direttamente al GUID di sessione usato da XML/A. |
| TextData | 42 | 9 | Dati di testo associati all'evento. |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |