Столбцы данных аудита безопасности
Категория событий «Аудит безопасности» содержит следующие классы событий:
- Класс «Аудит входа»
- Класс событий «Аудит резервной копии/восстановления»
- Класс «Аудит выхода»
- Класс «Аудит запуска и остановки сервера»
- Класс событий «Аудит разрешения на объект»
В следующих таблицах перечисляются столбцы данных для каждого из этих классов событий.
Класс событий аудита входа — Столбцы данных
| Столбец данных | Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием входа. |
ServerName |
Содержит имя экземпляра служб Microsoft SQL Server 2005 Analysis Services (SSAS), где произошло событие входа. |
CurrentTime |
Содержит текущее время события входа. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
NTCanonicalUserName |
Содержит имя пользователя Windows, связанное с событием входа. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, связанное с событием входа. |
StartTime |
Содержит время (при наличии) начала события входа в систему. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
Error |
Содержит номер ошибки, связанной с событием входа. |
Severity |
Содержит уровень серьезности исключения, связанного с событием входа. Допустимы следующие значения: 0 = Успешное завершение 1 = Информационное сообщение 2 = Предупреждение 3 = Ошибка |
Success |
Указывает на успешность или ошибку события входа. Допустимы следующие значения: 0 = Неуспешное завершение 1 = Успешное завершение |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием входа. |
ClientHostName |
Содержит имя компьютера, где произошло событие входа. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием входа. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием входа. |
Столбцы данных — класс событий аудита резервной копии/восстановления
| Столбец данных | Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием резервного копирования или восстановления. |
TextData |
Содержит текстовые данные, связанные с событием резервного копирования или восстановления. |
ServerName |
Содержит имя экземпляра служб Analysis Services, где произошло событие резервного копирования или восстановления. |
DatabaseName |
Содержит имя базы данных, в которой запущена инструкция резервного копирования или восстановления. |
EventSubclass |
Содержит класс событий в рамках событий резервного копирования или восстановления служб Analysis Services. Допустимы следующие значения: 1 = Резервная копия 2 = Восстановление 3 = Синхронизация |
NTCanonicalUserName |
Содержит имя пользователя Windows, связанного с событием резервного копирования или восстановления. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, связанного с событием резервного копирования или восстановления. |
SPID |
Содержит идентификатор серверного процесса (SPID), уникально идентифицирующий пользовательский сеанс, связанный с событием резервного копирования или восстановления. Идентификатор SPID напрямую соответствует идентификатору GUID сеанса, используемому XML для аналитики (XMLA). |
Error |
Содержит номер любой ошибки, связанной с событием резервного копирования или восстановления. |
Severity |
Содержит уровень серьезности исключения, связанного с событием входа. Допустимы следующие значения: 0 = Успешное завершение 1 = Информационное сообщение 2 = Предупреждение 3 = Ошибка |
Success |
Указывает на успешность или ошибку события резервного копирования или восстановления. Допустимы следующие значения: 0 = Неуспешное завершение 1 = Успешное завершение |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием резервного копирования или восстановления. |
ClientHostName |
Содержит имя компьютера, где произошло событие резервного копирования или восстановления. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием резервного копирования или восстановления. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием резервного копирования или восстановления. |
SessionID |
Содержит идентификатор сеанса, связанный с событием резервного копирования или восстановления. |
Столбцы данных — класс событий аудита выхода
| Столбец данных | Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием выхода. |
ServerName |
Содержит имя экземпляра служб Analysis Services, где произошло событие выхода. |
CurrentTime |
Содержит текущее время события выхода. Ожидаемые форматы фильтрации: ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
Duration |
Содержит интервал между событием входа и событием выхода. |
EndTime |
Содержит время, когда событие выхода произошло. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
NTCanonicalUserName |
Содержит имя пользователя Windows, связанное с событием выхода. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, связанное с событием выхода. |
CPUTime |
Указывает количество времени ЦП (в миллисекундах), использованное процессом в интервале между событием входа и событием выхода. |
Success |
Указывает на успешность или ошибку события аудита выхода. Допустимы следующие значения: 0 = Неуспешное завершение 1 = Успешное завершение |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием выхода. |
ClientHostName |
Содержит имя компьютера, где произошло событие выхода. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием выхода. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием выхода. |
Столбцы данных — класс событий аудита запуска и остановки сервера
| Столбец данных | Описание |
|---|---|
TextData |
Содержит текстовые данные, связанные с событием запуска или остановки сервера. |
ServerName |
Содержит имя экземпляра служб Analysis Services, где произошло событие запуска или остановки сервера. |
CurrentTime |
Содержит текущее время события запуска или остановки сервера. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
EventSubclass |
Содержит класс событий в рамках события запуска или остановки сервера. Допустимы следующие значения: 1 = Экземпляр выключен 2 = Экземпляр запущен 3 = Экземпляр приостановлен 4 = Экземпляр продолжен |
Error |
Содержит номер любой ошибки, связанной с событием запуска или остановки сервера. |
Severity |
Содержит уровень серьезности исключения, связанного с событием запуска или остановки сервера. Допустимы следующие значения: 0 = Успешное завершение 1 = Информационное сообщение 2 = Предупреждение 3 = Ошибка |
Success |
Указывает на успешность или ошибку запуска или остановки сервера. Допустимы следующие значения: 0 = Неуспешное завершение 1 = Успешное завершение |
Столбцы данных — класс событий аудита разрешения на объект
| Столбец данных | Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием разрешения объекта. |
TextData |
Содержит текстовые данные, связанные с событием разрешения объекта. |
ServerName |
Содержит имя экземпляра служб Analysis Services, где произошло событие разрешения объекта. |
DatabaseName |
Содержит имя базы данных, в которой произошло событие разрешения объекта. |
NTCanonicalUserName |
Содержит имя пользователя Windows, сопоставленное с событием разрешения объекта. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, сопоставленное с событием разрешения объекта. |
ObjectID |
Содержит идентификатор объекта (строку), связанного с событием разрешения объекта. |
ObjectName |
Содержит имя объекта, связанного с событием разрешения объекта. |
ObjectPath |
Содержит путь к объекту, связанному с событием разрешения объекта, в виде списка родительских элементов, разделенных запятой, начинающегося с родительских элементов объекта. |
ObjectReference |
Содержит ссылку на объект для события разрешения объекта, закодированную как XML по всем родительским элементам и использующую теги для описания объекта. |
ObjectType |
Содержит тип объекта, связанного с событием разрешения объекта |
SPID |
Содержит идентификатор серверного процесса (SPID), уникально идентифицирующий пользовательский сеанс, связанный с событием разрешения объекта. Идентификатор SPID напрямую соответствует идентификатору GUID сеанса, используемому XML для аналитики (XMLA). |
Error |
Содержит номер любой ошибки, связанной с событием разрешения объекта. |
Severity |
Содержит уровень серьезности исключения, связанного с событием разрешения объекта. Допустимы следующие значения: 0 = Успешное завершение 1 = Информационное сообщение 2 = Предупреждение 3 = Ошибка |
Success |
Указывает на успешность или ошибку события разрешения объекта. Допустимы следующие значения: 0 = Неуспешное завершение 1 = Успешное завершение |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием разрешения объекта. |
ClientHostName |
Содержит имя компьютера, где произошло событие разрешения объекта. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием разрешения объекта. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием разрешения объекта. |
SessionID |
Содержит идентификатор сеанса, связанный с событием разрешения объекта. |
См. также
Другие ресурсы
Категория событий «Аудит безопасности»