Столбцы данных аудита безопасности
Категория событий «Аудит безопасности» содержит следующие классы событий.
Идентификатор события |
Имя события |
Описание события |
1 |
Аудит входа в систему |
Собирает все новые события соединения с момента запуска трассировки, например запросы клиентов на соединение с сервером, на котором запущен экземпляр SQL Server. |
2 |
Аудит выхода из системы |
Собирает все новые события отключения с момента запуска трассировки, например выдачу клиентом команды отключения. |
4 |
Аудит запусков и остановок сервера |
Записывает операции завершения работы, запуска и приостановки действий. |
18 |
Событие аудита разрешений на объекты |
Записывает изменения разрешений на объекты. |
19 |
Событие аудита операций администрирования |
Записывает операции резервного копирования, восстановления, синхронизации, присоединения, отсоединения, загрузки образа и сохранения образа на сервере. |
В следующих таблицах перечисляются столбцы данных для каждого из этих классов событий.
Аудит входа в систему
Имя столбца |
Идентификатор столбца |
Тип столбца |
Описание столбца |
EventClass |
0 |
1 |
Класс событий используется для категоризации событий. |
CurrentTime |
2 |
5 |
Время начала события, если оно известно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
StartTime |
3 |
5 |
Время начала события, если оно известно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
Серьезность |
22 |
1 |
Степень серьезности исключения. |
Успешно |
23 |
1 |
1 = успешное завершение. 0 = неуспешное завершение (например, 1 означает, что проверка разрешений пройдена, а 0 — не пройдена). |
Ошибка |
24 |
1 |
Номер ошибки для данного события. |
ConnectionID |
25 |
1 |
Уникальный идентификатор соединения. |
NTUserName |
32 |
8 |
Имя пользователя Windows. |
NTDomainName |
33 |
8 |
Домен Windows, к которому принадлежит пользователь. |
ClientHostName |
35 |
8 |
Имя компьютера, на котором выполняется клиентская программа. Этот столбец данных заполняется в том случае, если клиент передает имя узла. |
ClientProcessID |
36 |
1 |
Идентификатор процесса клиентского приложения. |
ApplicationName |
37 |
8 |
Имя клиентского приложения, создавшего соединение с сервером. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
NTCanonicalUserName |
40 |
8 |
Имя пользователя в канонической форме. Например, engineering.microsoft.com/software/someone. |
ServerName |
43 |
8 |
Имя сервера, формирующего событие. |
Аудит выхода из системы
Имя столбца |
Идентификатор столбца |
Тип столбца |
Описание столбца |
|---|---|---|---|
EventClass |
0 |
1 |
Класс событий используется для категоризации событий. |
CurrentTime |
2 |
5 |
Время начала события, если оно известно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
EndTime |
4 |
5 |
Время окончания события. Этот столбец не заполняется для таких классов событий запуска, как SQL:BatchStarting или SP:Starting. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
Продолжительность |
5 |
2 |
Длительность события (в миллисекундах). |
CPUTime |
6 |
2 |
Время ЦП (в миллисекундах), использованного событием. |
Успешно |
23 |
1 |
1 = успешное завершение. 0 = неуспешное завершение (например, 1 означает, что проверка разрешений пройдена, а 0 — не пройдена). |
ConnectionID |
25 |
1 |
Уникальный идентификатор соединения. |
NTUserName |
32 |
8 |
Имя пользователя Windows. |
NTDomainName |
33 |
8 |
Домен Windows, к которому принадлежит пользователь. |
ClientHostName |
35 |
8 |
Имя компьютера, на котором выполняется клиентская программа. Этот столбец данных заполняется в том случае, если клиент передает имя узла. |
ClientProcessID |
36 |
1 |
Идентификатор процесса клиентского приложения. |
ApplicationName |
37 |
8 |
Имя клиентского приложения, создавшего соединение с сервером. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
NTCanonicalUserName |
40 |
8 |
Имя пользователя в канонической форме. Например, engineering.microsoft.com/software/someone. |
ServerName |
43 |
8 |
Имя сервера, формирующего событие. |
Аудит запусков и остановок сервера
Имя столбца |
Идентификатор столбца |
Тип столбца |
Описание столбца |
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
EventClass |
0 |
1 |
Класс событий используется для категоризации событий. |
||||||||||
EventSubclass |
1 |
1 |
Подкласс событий предоставляет дополнительные сведения о каждом классе событий.
|
||||||||||
CurrentTime |
2 |
5 |
Время начала события, если оно известно. Ожидаемые форматы фильтрации: «ГГГГ-ММ-ДД» и «ГГГГ-ММ-ДД ЧЧ:ММ:СС». |
||||||||||
Серьезность |
22 |
1 |
Степень серьезности исключения. |
||||||||||
Успешно |
23 |
1 |
1 = успешное завершение. 0 = неуспешное завершение (например, 1 означает, что проверка разрешений пройдена, а 0 — не пройдена). |
||||||||||
Ошибка |
24 |
1 |
Номер ошибки для данного события. |
||||||||||
TextData |
42 |
9 |
Текстовые данные, связанные с событием. |
||||||||||
ServerName |
43 |
8 |
Имя сервера, формирующего событие. |
Событие аудита разрешений на объекты
Имя столбца |
Идентификатор столбца |
Тип столбца |
Описание столбца |
|---|---|---|---|
ObjectID |
11 |
8 |
Идентификатор объекта (обратите внимание, что это строка). |
ObjectType |
12 |
1 |
Тип объекта. |
ObjectName |
13 |
8 |
Имя объекта. |
ObjectPath |
14 |
8 |
Путь к объекту. Разделенный запятыми список родителей, начиная с родителя объекта. |
ObjectReference |
15 |
8 |
Ссылка на объект. Кодируется для всех родителей в виде XML с использованием тегов для описания объекта. |
Серьезность |
22 |
1 |
Степень серьезности исключения. |
Успешно |
23 |
1 |
1 = успешное завершение. 0 = неуспешное завершение (например, 1 означает, что проверка разрешений пройдена, а 0 — не пройдена). |
Ошибка |
24 |
1 |
Номер ошибки для данного события. |
ConnectionID |
25 |
1 |
Уникальный идентификатор соединения. |
DatabaseName |
28 |
8 |
Имя базы данных, в которой выполняется инструкция пользователя. |
NTUserName |
32 |
8 |
Имя пользователя Windows. |
NTDomainName |
33 |
8 |
Домен Windows, к которому принадлежит пользователь. |
ClientHostName |
35 |
8 |
Имя компьютера, на котором выполняется клиентская программа. Этот столбец данных заполняется в том случае, если клиент передает имя узла. |
ClientProcessID |
36 |
1 |
Идентификатор процесса клиентского приложения. |
ApplicationName |
37 |
8 |
Имя клиентского приложения, создавшего соединение с сервером. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
SessionID |
39 |
8 |
Идентификатор GUID сеанса. |
NTCanonicalUserName |
40 |
8 |
Имя пользователя в канонической форме. Например, engineering.microsoft.com/software/someone. |
SPID |
41 |
1 |
Идентификатор процесса сервера. Это уникально идентифицирует пользователя сеанса. Непосредственно соответствует идентификатору GUID сеанса, используемому XML/A. |
TextData |
42 |
9 |
Текстовые данные, связанные с событием. |
ServerName |
43 |
8 |
Имя сервера, формирующего событие. |
Событие аудита операций администрирования
Имя столбца |
Идентификатор столбца |
Тип столбца |
Описание столбца |
||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
EventSubclass |
1 |
1 |
Подкласс событий предоставляет дополнительные сведения о каждом классе событий.
|
||||||||||||||||
Серьезность |
22 |
1 |
Степень серьезности исключения. |
||||||||||||||||
Успешно |
23 |
1 |
1 = успешное завершение. 0 = неуспешное завершение (например, 1 означает, что проверка разрешений пройдена, а 0 — не пройдена). |
||||||||||||||||
Ошибка |
24 |
1 |
Номер ошибки для данного события. |
||||||||||||||||
ConnectionID |
25 |
1 |
Уникальный идентификатор соединения. |
||||||||||||||||
DatabaseName |
28 |
8 |
Имя базы данных, в которой выполняется инструкция пользователя. |
||||||||||||||||
NTUserName |
32 |
8 |
Имя пользователя Windows. |
||||||||||||||||
NTDomainName |
33 |
8 |
Домен Windows, к которому принадлежит пользователь. |
||||||||||||||||
ClientHostName |
35 |
8 |
Имя компьютера, на котором выполняется клиентская программа. Этот столбец данных заполняется в том случае, если клиент передает имя узла. |
||||||||||||||||
ClientProcessID |
36 |
1 |
Идентификатор процесса клиентского приложения. |
||||||||||||||||
ApplicationName |
37 |
8 |
Имя клиентского приложения, создавшего соединение с сервером. Этот столбец заполняется значениями, передаваемыми приложением, а не отображаемым именем программы. |
||||||||||||||||
SessionID |
39 |
8 |
Идентификатор GUID сеанса. |
||||||||||||||||
NTCanonicalUserName |
40 |
8 |
Имя пользователя в канонической форме. Например, engineering.microsoft.com/software/someone. |
||||||||||||||||
SPID |
41 |
1 |
Идентификатор процесса сервера. Это уникально идентифицирует пользователя сеанса. Непосредственно соответствует идентификатору GUID сеанса, используемому XML/A. |
||||||||||||||||
TextData |
42 |
9 |
Текстовые данные, связанные с событием. |
||||||||||||||||
ServerName |
43 |
8 |
Имя сервера, формирующего событие. |