Partilhar via


Colunas de dados de auditoria de segurança

A categoria de evento Security Audit tem as seguintes classes de evento:

ID do evento

Nome do evento

Descrição do evento

1

Audit Login

Coleta todos os novos eventos de conexão desde o início do rastreamento; por exemplo, quando um cliente solicita uma conexão a um servidor executando uma instância do SQL Server.

2

Audit Logout

Coleta todos os novos eventos de desconexão desde o início do rastreamento; por exemplo, quando um cliente emite um comando de desconexão.

4

Audit Server Starts And Stops

Registra as atividades de desligar, iniciar e pausar serviço.

18

Audit Object Permission Event

Registra alterações na permissão do objeto.

19

Evento de Operações de Administração de Auditoria

Registra backup/restore/synchronize/attach/detach/imageload/imagesave do servidor.

As tabelas a seguir listam as colunas de dados de cada uma dessas classes de evento.

Audit Login

Nome da coluna

Id da coluna

Tipo de coluna

Descrição da coluna

EventClass

0

1

A classe de evento é usada para categorizar eventos.

CurrentTime

2

5

Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'.

StartTime

3

5

Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'.

Severidade

22

1

Nível de severidade de uma exceção.

Êxito

23

1

1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação).

Erro

24

1

Número de erro de um determinado evento.

ConnectionID

25

1

ID de conexão exclusiva.

NTUserName

32

8

Nome de usuário do Windows.

NTDomainName

33

8

Domínio do Windows ao qual o usuário pertence.

ClientHostName

35

8

Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente.

ClientProcessID

36

1

A ID do processo do aplicativo do cliente.

ApplicationName

37

8

Nome do aplicativo cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa.

NTCanonicalUserName

40

8

Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone.

ServerName

43

8

Nome do servidor que gera o evento.

Audit Logout

Nome da coluna

Id da coluna

Tipo de coluna

Descrição da coluna

EventClass

0

1

A classe de evento é usada para categorizar eventos.

CurrentTime

2

5

Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'.

EndTime

4

5

Horário em que o evento foi encerrado. Esta coluna não é populada para classes de evento iniciais, como SQL:BatchStarting ou SP:Starting. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'.

Duração

5

2

Período de tempo (em milissegundos) utilizado pelo evento.

CPUTime

6

2

Tempo da CPU (em milissegundos) usado pelo evento.

Êxito

23

1

1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação).

ConnectionID

25

1

ID de conexão exclusiva.

NTUserName

32

8

Nome de usuário do Windows.

NTDomainName

33

8

Domínio do Windows ao qual o usuário pertence.

ClientHostName

35

8

Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente.

ClientProcessID

36

1

A ID do processo do aplicativo cliente.

ApplicationName

37

8

Nome do aplicativo cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa.

NTCanonicalUserName

40

8

Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone.

ServerName

43

8

O nome do servidor que gera o evento.

Audit Server Starts And Stops

Nome da coluna

Id da coluna

Tipo de coluna

Descrição da coluna

EventClass

0

1

A classe de evento é usada para categorizar eventos.

EventSubclass

1

1

A subclasse de evento fornece informações adicionais sobre cada classe de evento.

Id da subclasse

Nome da subclasse

1

Instance Shutdown

2

Instance Started

3

Instance Paused

4

Instance Continued

CurrentTime

2

5

Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'.

Severity

22

1

Nível de severidade de uma exceção.

Êxito

23

1

1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação).

Erro

24

1

Número de erro de um determinado evento.

TextData

42

9

Dados de texto associados ao evento.

ServerName

43

8

O nome do servidor que gera o evento.

Audit Object Permission Event

Nome da coluna

Id da coluna

Tipo de coluna

Descrição da coluna

ObjectID

11

8

ID do objeto (note que esta é uma cadeia de caracteres).

ObjectType

12

1

Tipo de objeto.

ObjectName

13

8

Nome do objeto.

ObjectPath

14

8

Caminho do objeto. Uma lista de pais separados por vírgulas, começando com o pai do objeto.

ObjectReference

15

8

Referência ao objeto. Codificado como XML para todos os pais, usando marcas para descrever o objeto.

Severity

22

1

Nível de severidade de uma exceção.

Êxito

23

1

1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação).

Erro

24

1

Número de erro de um determinado evento.

ConnectionID

25

1

ID de conexão exclusiva.

DatabaseName

28

8

Nome do banco de dados em que a instrução do usuário está em execução.

NTUserName

32

8

Nome de usuário do Windows.

NTDomainName

33

8

Domínio do Windows ao qual o usuário pertence.

ClientHostName

35

8

Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente.

ClientProcessID

36

1

A ID do processo do aplicativo cliente.

ApplicationName

37

8

Nome do aplicativo cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa.

SessionID

39

8

GUID da sessão.

NTCanonicalUserName

40

8

Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone.

SPID

41

1

ID do processo de servidor. Identifica exclusivamente uma sessão de usuário. Corresponde diretamente à GUID de sessão usada por XML/A.

TextData

42

9

Dados de texto associados ao evento.

ServerName

43

8

Nome do servidor que gera o evento.

Evento de Operações de Administração de Auditoria

Nome da coluna

Id da coluna

Tipo de coluna

Descrição da coluna

EventSubclass

1

1

A subclasse de evento oferece informações adicionais sobre cada classe de evento.

Id da subclasse

Nome da subclasse

1

Backup

2

Restore

3

Synchronize

4

Detach

5

Attach

6

ImageLoad

7

ImageSave

Severity

22

1

Nível de severidade de uma exceção.

Êxito

23

1

1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação).

Erro

24

1

Número de erro de um determinado evento.

ConnectionID

25

1

ID de conexão exclusiva.

DatabaseName

28

8

Nome do banco de dados no qual a instrução do usuário está em execução.

NTUserName

32

8

Nome de usuário do Windows.

NTDomainName

33

8

Domínio do Windows ao qual o usuário pertence.

ClientHostName

35

8

Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente.

ClientProcessID

36

1

A ID do processo do aplicativo cliente.

ApplicationName

37

8

Nome da aplicação cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa.

SessionID

39

8

GUID da sessão.

NTCanonicalUserName

40

8

Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone.

SPID

41

1

ID de processo do servidor. Identifica exclusivamente uma sessão de usuário. Corresponde diretamente ao GUID de sessão usado pelo XML/A.

TextData

42

9

Dados de texto associados ao evento.

ServerName

43

8

Nome do servidor que gera o evento.

Consulte também

Outros recursos

Categoria de evento de auditoria de segurança