Столбцы данных аудита безопасности
Категория событий «Аудит безопасности» содержит следующие классы событий.
| Код события | Имя события | Описание события |
|---|---|---|
| 1 | Аудит входа в систему | Собирает все новые события соединения с момента запуска трассировки, например запросы клиентов на соединение с сервером, на котором запущен экземпляр SQL Server. |
| 2 | Audit Logout | Собирает все новые события отключения с момента запуска трассировки, например выдачу клиентом команды отключения. |
| 4 | Audit Server Starts And Stops | Записывает операции завершения работы, запуска и приостановки действий. |
| 18 | Событие аудита разрешений на объекты | Записывает изменения разрешений на объекты. |
| 19 | Событие аудита операций администрирования | Записывает операции резервного копирования, восстановления, синхронизации, присоединения, отсоединения, загрузки образа и сохранения образа на сервере. |
В следующих таблицах перечисляются столбцы данных для каждого из этих классов событий.
Аудит входа в систему
| Имя столбца | Идентификатор столбца | Тип столбца | Описание столбца |
|---|---|---|---|
| EventClass | 0 | 1 | EventClass используется для классификации событий по категориям. |
| CurrentTime | 2 | 5 | Время начала события, если оно доступно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
| StartTime | 3 | 5 | Время начала события, если оно доступно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
| Статус | 22 | 1 | Уровень серьезности исключения. |
| Успешное завершение | 23 | 1 | 1 = успех. 0 = ошибка (например, 1 означает успешную проверку наличия разрешений, а 0 означает ошибку при этой проверке). |
| Ошибка | 24 | 1 | Номер ошибки определенного события. |
| ConnectionID | 25 | 1 | Уникальный идентификатор подключения. |
| NTUserName | 32 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI) — служба Power BI от имени участника-пользователя или имени участника-службы (служба Power BI (upN/SPN)) |
| NTDomainName | 33 | 8 | Содержит доменное имя, связанное с учетной записью пользователя, активировав событие команды. — Доменное имя Windows для учетных записей пользователей Windows — AzureAD для Microsoft Entra учетных записей — учетные записи NT AUTHORITY без доменного имени Windows, например служба Power BI |
| ClientHostName | 35 | 8 | Имя компьютера, на котором выполняется клиентская программа. Заполнение этого столбца данных производится в том случае, если клиент предоставляет имя узла. |
| ClientProcessID | 36 | 1 | Идентификатор процесса клиентского приложения. |
| ApplicationName | 37 | 8 | Имя клиентского приложения, установившего подключение к серверу. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
| NTCanonicalUserName | 40 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI). |
| ServerName | 43 | 8 | Имя сервера, формирующего событие. |
Audit Logout
| Имя столбца | Идентификатор столбца | Тип столбца | Описание столбца |
|---|---|---|---|
| EventClass | 0 | 1 | EventClass используется для классификации событий по категориям. |
| CurrentTime | 2 | 5 | Время начала события, если оно доступно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
| EndTime | 4 | 5 | Время окончания события. Этот столбец не заполняется для таких классов событий запуска, как SQL:BatchStarting или SP:Starting. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
| Duration | 5 | 2 | Время (в миллисекундах), затраченное событием. |
| CPUTime | 6 | 2 | Объем времени ЦП (в миллисекундах), использованного событием. |
| Успешное завершение | 23 | 1 | 1 = успех. 0 = ошибка (например, 1 означает успешную проверку наличия разрешений, а 0 означает ошибку при этой проверке). |
| ConnectionID | 25 | 1 | Уникальный идентификатор подключения. |
| NTUserName | 32 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI) — служба Power BI от имени имени участника-пользователя или имени участника-службы (служба Power BI (upN/SPN)). |
| NTDomainName | 33 | 8 | Содержит доменное имя, связанное с учетной записью пользователя, которая вызвала событие команды. — Доменное имя Windows для учетных записей пользователей Windows — AzureAD для Microsoft Entra учетных записей — учетные записи NT AUTHORITY без доменного имени Windows, например служба Power BI |
| ClientHostName | 35 | 8 | Имя компьютера, на котором выполняется клиентская программа. Заполнение этого столбца данных производится в том случае, если клиент предоставляет имя узла. |
| ClientProcessID | 36 | 1 | Идентификатор процесса клиентского приложения. |
| ApplicationName | 37 | 8 | Имя клиентского приложения, установившего подключение к серверу. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
| NTCanonicalUserName | 40 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI). |
| ServerName | 43 | 8 | Имя сервера, формирующего событие. |
Audit Server Starts And Stops
| Имя столбца | Идентификатор столбца | Тип столбца | Описание столбца |
|---|---|---|---|
| EventClass | 0 | 1 | EventClass используется для классификации событий по категориям. |
| EventSubclass | 1 | 1 | Подкласс событий предоставляет дополнительные сведения о каждом классе событий: 1: экземпляр выключен 2: экземпляр запущен 3: экземпляр приостановлен 4: экземпляр продолжен |
| CurrentTime | 2 | 5 | Время начала события, если оно доступно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
| Статус | 22 | 1 | Уровень серьезности исключения. |
| Успешное завершение | 23 | 1 | 1 = успех. 0 = ошибка (например, 1 означает успешную проверку наличия разрешений, а 0 означает ошибку при этой проверке). |
| Ошибка | 24 | 1 | Номер ошибки для данного события. |
| TextData | 42 | 9 | Текстовые данные, связанные с событием. |
| ServerName | 43 | 8 | Имя сервера, формирующего событие. |
Событие аудита разрешений на объекты
| Имя столбца | Идентификатор столбца | Тип столбца | Описание столбца |
|---|---|---|---|
| ObjectID | 11 | 8 | Идентификатор объекта (обратите внимание, что это строка). |
| ObjectType | 12 | 1 | Тип объекта. |
| ObjectName | 13 | 8 | Имя объекта. |
| ObjectPath | 14 | 8 | Путь к объекту. Разделенный запятыми список родителей, начиная с родителя объекта. |
| ObjectReference | 15 | 8 | Ссылка на объект. Кодируется для всех родителей в виде XML с использованием тегов для описания объекта. |
| Статус | 22 | 1 | Уровень серьезности исключения. |
| Успешное завершение | 23 | 1 | 1 = успех. 0 = ошибка (например, 1 означает успешную проверку наличия разрешений, а 0 означает ошибку при этой проверке). |
| Ошибка | 24 | 1 | Номер ошибки определенного события. |
| ConnectionID | 25 | 1 | Уникальный идентификатор подключения. |
| имя_базы_данных | 28 | 8 | Имя базы данных, в которой выполняется инструкция пользователя. |
| NTUserName | 32 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI) — служба Power BI от имени имени участника-пользователя или имени участника-службы (служба Power BI (upN/SPN)). |
| NTDomainName | 33 | 8 | Содержит доменное имя, связанное с учетной записью пользователя, которая вызвала событие команды. — Доменное имя Windows для учетных записей пользователей Windows — AzureAD для Microsoft Entra учетных записей — учетные записи NT AUTHORITY без доменного имени Windows, например служба Power BI |
| ClientHostName | 35 | 8 | Имя компьютера, на котором выполняется клиентская программа. Заполнение этого столбца данных производится в том случае, если клиент предоставляет имя узла. |
| ClientProcessID | 36 | 1 | Идентификатор процесса клиентского приложения. |
| ApplicationName | 37 | 8 | Имя клиентского приложения, установившего подключение к серверу. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
| SessionID | 39 | 8 | Идентификатор GUID сеанса. |
| NTCanonicalUserName | 40 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI). |
| SPID | 41 | 1 | Идентификатор серверного процесса. Однозначно идентифицирует сеанс пользователя. Прямо соответствует идентификатору GUID сеанса, используемому XML/A. |
| TextData | 42 | 9 | Текстовые данные, связанные с событием. |
| ServerName | 43 | 8 | Имя сервера, формирующего событие. |
Событие аудита операций администрирования
| Имя столбца | Идентификатор столбца | Тип столбца | Описание столбца |
|---|---|---|---|
| EventSubclass | 1 | 1 | Подкласс событий предоставляет дополнительные сведения о каждом классе событий: 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| Статус | 22 | 1 | Уровень серьезности исключения. |
| Успешное завершение | 23 | 1 | 1 = успех. 0 = ошибка (например, 1 означает успешную проверку наличия разрешений, а 0 означает ошибку при этой проверке). |
| Ошибка | 24 | 1 | Номер ошибки определенного события. |
| ConnectionID | 25 | 1 | Уникальный идентификатор подключения. |
| имя_базы_данных | 28 | 8 | Имя базы данных, в которой выполняется инструкция пользователя. |
| NTUserName | 32 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI) — служба Power BI от имени имени участника-пользователя или имени участника-службы (служба Power BI (upN/SPN)). |
| NTDomainName | 33 | 8 | Содержит доменное имя, связанное с учетной записью пользователя, которая вызвала событие команды. — Доменное имя Windows для учетных записей пользователей Windows — AzureAD для Microsoft Entra учетных записей — учетные записи NT AUTHORITY без доменного имени Windows, например служба Power BI |
| ClientHostName | 35 | 8 | Имя компьютера, на котором выполняется клиентская программа. Заполнение этого столбца данных производится в том случае, если клиент предоставляет имя узла. |
| ClientProcessID | 36 | 1 | Идентификатор процесса клиентского приложения. |
| ApplicationName | 37 | 8 | Имя клиентского приложения, установившего подключение к серверу. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
| SessionID | 39 | 8 | Идентификатор GUID сеанса. |
| NTCanonicalUserName | 40 | 8 | Содержит имя пользователя, связанное с событием команды. В зависимости от среды имя пользователя имеет следующий вид: — учетная запись пользователя Windows (DOMAIN\UserName) — имя участника-пользователя (UPN) (username@domain.com) — имя субъекта-службы (SPN) (appid@tenantid) — учетная запись службы Power BI (служба Power BI). |
| SPID | 41 | 1 | Идентификатор серверного процесса. Однозначно идентифицирует сеанс пользователя. Прямо соответствует идентификатору GUID сеанса, используемому XML/A. |
| TextData | 42 | 9 | Текстовые данные, связанные с событием. |
| ServerName | 43 | 8 | Имя сервера, формирующего событие. |