Colunas de dados de auditoria de segurança
A categoria de evento Security Audit tem as seguintes classes de evento:
| ID do evento | Nome do Evento | Descrição do evento |
|---|---|---|
| 1 | Auditar logon | Coleta todos os novos eventos de conexão desde o início do rastreamento; por exemplo, quando um cliente solicita uma conexão a um servidor executando uma instância do SQL Server. |
| 2 | Auditar logoff | Coleta todos os novos eventos de desconexão desde o início do rastreamento; por exemplo, quando um cliente emite um comando de desconexão. |
| 4 | Auditar início e parada de servidor | Registra as atividades de desligar, iniciar e pausar serviço. |
| 18 | Audit Object Permission Event | Registra alterações na permissão do objeto. |
| 19 | Evento de Operações de Administração de Auditoria | Registra backup/restore/synchronize/attach/detach/imageload/imagesave do servidor. |
As tabelas a seguir listam as colunas de dados de cada uma dessas classes de evento.
Auditar logon
| Nome da coluna | Id da coluna | Tipo de coluna | Descrição da coluna |
|---|---|---|---|
| EventClass | 0 | 1 | A Classe de Evento é usada para categorizar eventos. |
| CurrentTime | 2 | 5 | Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
| StartTime | 3 | 5 | Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
| Severidade | 22 | 1 | Nível de severidade de uma exceção. |
| Êxito | 23 | 1 | 1 = êxito. 0 = falha (por exemplo, 1 significa êxito em uma verificação de permissões e 0 significa uma falha nessa verificação). |
| Error | 24 | 1 | Número do erro de um determinado evento. |
| ConnectionID | 25 | 1 | ID de Conexão Exclusiva. |
| NTUserName | 32 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formulário: - Conta de usuário do Windows (DOMÍNIO\Nomedousuário) - Nome upn () -username@domain.com SPN (nome da entidade de serviço) (appid@tenantid) - Conta de Serviço do Power BI (Serviço do Power BI) - Serviço do Power BI em nome de um UPN ou SPN (Serviço do Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contém o nome de domínio associado à conta de usuário que disparou o evento de comando. – Nome de domínio do Windows para contas de usuário do Windows – AzureAD para contas Microsoft Entra – contas NT AUTHORITY sem um nome de domínio do Windows, como o serviço do Power BI |
| ClientHostName | 35 | 8 | Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
| ClientProcessID | 36 | 1 | A ID de processo do aplicativo cliente. |
| ApplicationName | 37 | 8 | Nome do aplicativo cliente que criou a conexão com o servidor. Essa coluna é populada com os valores passados pelo aplicativo e não com o nome exibido do programa. |
| NTCanonicalUserName | 40 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formulário: - Conta de usuário do Windows (DOMAIN\UserName) - Nome upn (username@domain.com) – nome da entidade de serviço (SPN) (appid@tenantid) – Conta de Serviço do Power BI (Serviço do Power BI) |
| ServerName | 43 | 8 | Nome do servidor que gera o evento. |
Auditar logoff
| Nome da Coluna | ID da coluna | Tipo de coluna | Descrição da coluna |
|---|---|---|---|
| EventClass | 0 | 1 | A Classe de Evento é usada para categorizar eventos. |
| CurrentTime | 2 | 5 | Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
| EndTime | 4 | 5 | Horário em que o evento foi encerrado. Esta coluna não é populada para classes de eventos iniciais, como SQL:BatchStarting ou SP:Starting. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
| Duração | 5 | 2 | Quantidade de tempo (em milissegundos) tomada pelo evento. |
| CPUTime | 6 | 2 | Tempo da CPU (em milissegundos) usado pelo evento. |
| Êxito | 23 | 1 | 1 = êxito. 0 = falha (por exemplo, 1 significa êxito em uma verificação de permissões e 0 significa uma falha nessa verificação). |
| ConnectionID | 25 | 1 | ID de Conexão Exclusiva. |
| NTUserName | 32 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formato: - Conta de usuário do Windows (DOMAIN\UserName) - Nome UPN (username@domain.com) - Nome da Entidade de Serviço (SPN) (appid@tenantid) - Conta de Serviço do Power BI (Serviço do Power BI) - Serviço do Power BI em nome de um UPN ou SPN (Serviço do Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contém o nome de domínio associado à conta de usuário que disparou o evento de comando. – Nome de domínio do Windows para contas de usuário do Windows – AzureAD para contas Microsoft Entra – contas NT AUTHORITY sem um nome de domínio do Windows, como o serviço do Power BI |
| ClientHostName | 35 | 8 | Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
| ClientProcessID | 36 | 1 | A ID de processo do aplicativo cliente. |
| ApplicationName | 37 | 8 | Nome do aplicativo cliente que criou a conexão com o servidor. Essa coluna é populada com os valores passados pelo aplicativo e não com o nome exibido do programa. |
| NTCanonicalUserName | 40 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formato: - Conta de usuário do Windows (DOMAIN\UserName) - Nome UPN (username@domain.com) - Nome da Entidade de Serviço (SPN) (appid@tenantid) - Conta de Serviço do Power BI (Serviço do Power BI) |
| ServerName | 43 | 8 | Nome do servidor que gera o evento. |
Auditar início e parada de servidor
| Nome da Coluna | ID da coluna | Tipo de coluna | Descrição da coluna |
|---|---|---|---|
| EventClass | 0 | 1 | A Classe de Evento é usada para categorizar eventos. |
| EventSubclass | 1 | 1 | A Subclasse de Evento oferece informações adicionais sobre cada classe de evento: 1: desligamento da instância 2: instância iniciada 3: instância pausada 4 = continuação da instância |
| CurrentTime | 2 | 5 | Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
| Severidade | 22 | 1 | Nível de severidade de uma exceção. |
| Êxito | 23 | 1 | 1 = êxito. 0 = falha (por exemplo, 1 significa êxito em uma verificação de permissões e 0 significa uma falha nessa verificação). |
| Error | 24 | 1 | Número do erro de um determinado evento. |
| TextData | 42 | 9 | Dados de texto associados ao evento. |
| ServerName | 43 | 8 | Nome do servidor que gera o evento. |
Audit Object Permission Event
| Nome da Coluna | ID da coluna | Tipo de coluna | Descrição da coluna |
|---|---|---|---|
| ObjectID | 11 | 8 | ID do objeto (note que esta é uma cadeia de caracteres). |
| ObjectType | 12 | 1 | Tipo de objeto. |
| ObjectName | 13 | 8 | Nome do objeto. |
| ObjectPath | 14 | 8 | Caminho do objeto. Uma lista de pais separados por vírgulas, começando com o pai do objeto. |
| ObjectReference | 15 | 8 | Referência ao objeto. Codificado como XML para todos os pais, usando marcas para descrever o objeto. |
| Severidade | 22 | 1 | Nível de severidade de uma exceção. |
| Êxito | 23 | 1 | 1 = êxito. 0 = falha (por exemplo, 1 significa êxito em uma verificação de permissões e 0 significa uma falha nessa verificação). |
| Error | 24 | 1 | Número do erro de um determinado evento. |
| ConnectionID | 25 | 1 | ID de Conexão Exclusiva. |
| DatabaseName | 28 | 8 | Nome do banco de dados no qual a instrução do usuário está sendo executada. |
| NTUserName | 32 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formato: - Conta de usuário do Windows (DOMAIN\UserName) - Nome UPN (username@domain.com) - Nome da Entidade de Serviço (SPN) (appid@tenantid) - Conta de Serviço do Power BI (Serviço do Power BI) - Serviço do Power BI em nome de um UPN ou SPN (Serviço do Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contém o nome de domínio associado à conta de usuário que disparou o evento de comando. – Nome de domínio do Windows para contas de usuário do Windows – AzureAD para contas Microsoft Entra – contas NT AUTHORITY sem um nome de domínio do Windows, como o serviço do Power BI |
| ClientHostName | 35 | 8 | Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
| ClientProcessID | 36 | 1 | A ID de processo do aplicativo cliente. |
| ApplicationName | 37 | 8 | Nome do aplicativo cliente que criou a conexão com o servidor. Essa coluna é populada com os valores passados pelo aplicativo e não com o nome exibido do programa. |
| SessionID | 39 | 8 | GUID de sessão. |
| NTCanonicalUserName | 40 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formato: - Conta de usuário do Windows (DOMAIN\UserName) - Nome UPN (username@domain.com) - Nome da Entidade de Serviço (SPN) (appid@tenantid) - Conta de Serviço do Power BI (Serviço do Power BI) |
| SPID | 41 | 1 | ID de processo do servidor. Identifica exclusivamente a sessão do usuário. Corresponde diretamente ao GUID de sessão usado pelo XML/A. |
| TextData | 42 | 9 | Dados de texto associados ao evento. |
| ServerName | 43 | 8 | Nome do servidor que gera o evento. |
Evento de Operações de Administração de Auditoria
| Nome da Coluna | ID da coluna | Tipo de coluna | Descrição da coluna |
|---|---|---|---|
| EventSubclass | 1 | 1 | A Subclasse de Evento oferece informações adicionais sobre cada classe de evento: 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| Severidade | 22 | 1 | Nível de severidade de uma exceção. |
| Êxito | 23 | 1 | 1 = êxito. 0 = falha (por exemplo, 1 significa êxito em uma verificação de permissões e 0 significa uma falha nessa verificação). |
| Error | 24 | 1 | Número do erro de um determinado evento. |
| ConnectionID | 25 | 1 | ID de Conexão Exclusiva. |
| DatabaseName | 28 | 8 | Nome do banco de dados no qual a instrução do usuário está sendo executada. |
| NTUserName | 32 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formulário: - Conta de usuário do Windows (DOMÍNIO\Nomedousuário) - Nome upn () -username@domain.com SPN (nome da entidade de serviço) (appid@tenantid) - Conta de Serviço do Power BI (Serviço do Power BI) - Serviço do Power BI em nome de um UPN ou SPN (Serviço do Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contém o nome de domínio associado à conta de usuário que disparou o evento de comando. – Nome de domínio do Windows para contas de usuário do Windows – AzureAD para contas Microsoft Entra – contas NT AUTHORITY sem um nome de domínio do Windows, como o serviço do Power BI |
| ClientHostName | 35 | 8 | Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
| ClientProcessID | 36 | 1 | A ID de processo do aplicativo cliente. |
| ApplicationName | 37 | 8 | Nome do aplicativo cliente que criou a conexão com o servidor. Essa coluna é populada com os valores passados pelo aplicativo e não com o nome exibido do programa. |
| SessionID | 39 | 8 | GUID de sessão. |
| NTCanonicalUserName | 40 | 8 | Contém o nome de usuário associado ao evento de comando. Dependendo do ambiente, o nome de usuário está no seguinte formulário: - Conta de usuário do Windows (DOMAIN\UserName) - Nome upn (username@domain.com) – nome da entidade de serviço (SPN) (appid@tenantid) – Conta de Serviço do Power BI (Serviço do Power BI) |
| SPID | 41 | 1 | ID de processo do servidor. Identifica exclusivamente a sessão do usuário. Corresponde diretamente ao GUID de sessão usado pelo XML/A. |
| TextData | 42 | 9 | Dados de texto associados ao evento. |
| ServerName | 43 | 8 | Nome do servidor que gera o evento. |