安全审核数据列
“安全审核”事件类别具有以下事件类:
| 事件 ID | 事件名称 | 事件描述 |
|---|---|---|
| 1 | 审核登录 | 收集从开始跟踪之后发生的所有新连接事件,如客户端请求与正在运行 SQL Server 实例的服务器进行连接。 |
| 2 | 审核注销 | 收集从开始跟踪之后发生的所有新断开连接事件,如客户端发出一个断开连接命令即属于一个断开连接事件。 |
| 4 | 审核服务器启动和停止 | 记录服务关闭、启动和暂停活动。 |
| 18 | 审核对象权限事件 | 记录对象权限更改。 |
| 19 | 审核管理操作事件 | 记录服务器备份/还原/同步/附加/分离/图像加载/图像保存。 |
下表列出了其中每个事件类的数据列。
审核登录
| 列名 | 列 ID | 列类型 | 列说明 |
|---|---|---|---|
| EventClass | 0 | 1 | 事件类用于对事件进行分类。 |
| CurrentTime | 2 | 5 | 事件开始的时间(如果可用)。 为了便于筛选,采用的格式为“YYYY-MM-DD”和“YYYY-MM-DD HH:MM:SS”。 |
| StartTime | 3 | 5 | 事件开始的时间(如果可用)。 为了便于筛选,采用的格式为“YYYY-MM-DD”和“YYYY-MM-DD HH:MM:SS”。 |
| 严重性 | 22 | 1 | 异常错误的严重级别。 |
| 成功 | 23 | 1 | 1 = 成功。 0 = 失败(例如,1 表示权限检查成功,而 0 表示权限检查失败)。 |
| Error | 24 | 1 | 给定事件的错误号。 |
| ConnectionID | 25 | 1 | 唯一连接 ID。 |
| NTUserName | 32 | 8 | 包含与命令事件关联的用户名。 根据环境, 用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) - 代表 UPN 或 SPN (Power BI 服务 (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含与触发命令事件的用户帐户关联的域名。 - Windows 用户帐户 的 Windows 域名 - Microsoft Entra帐户 的 AzureAD - 没有 Windows 域名的 NT AUTHORITY 帐户,例如 Power BI 服务 |
| ClientHostName | 35 | 8 | 正在运行客户端的计算机的名称。 如果客户端提供了主机名,则填充此数据列。 |
| ClientProcessID | 36 | 1 | 客户端应用程序的进程 ID。 |
| ApplicationName | 37 | 8 | 创建到服务器的连接的客户端应用程序的名称。 此列由应用程序传递的值填充,而不是由所显示的程序名填充。 |
| NTCanonicalUserName | 40 | 8 | 包含与命令事件关联的用户名。 根据环境,用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) |
| ServerName | 43 | 8 | 生成事件的服务器的名称。 |
审核注销
| 列名称 | 列 ID | 列类型 | 列说明 |
|---|---|---|---|
| EventClass | 0 | 1 | 事件类用于对事件进行分类。 |
| CurrentTime | 2 | 5 | 事件开始的时间(如果可用)。 为了便于筛选,采用的格式为“YYYY-MM-DD”和“YYYY-MM-DD HH:MM:SS”。 |
| EndTime | 4 | 5 | 事件结束的时间。 对指示事件开始的事件类(例如 SQL:BatchStarting 或 SP:Starting)将不填充此列。 为了便于筛选,采用的格式为“YYYY-MM-DD”和“YYYY-MM-DD HH:MM:SS”。 |
| 持续时间 | 5 | 2 | 事件使用的时间(毫秒)。 |
| CPUTime | 6 | 2 | 事件所用的 CPU 时间(毫秒)。 |
| 成功 | 23 | 1 | 1 = 成功。 0 = 失败(例如,1 表示权限检查成功,而 0 表示权限检查失败)。 |
| ConnectionID | 25 | 1 | 唯一连接 ID。 |
| NTUserName | 32 | 8 | 包含与命令事件关联的用户名。 根据环境, 用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) - 代表 UPN 或 SPN (Power BI 服务 (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含与触发命令事件的用户帐户关联的域名。 - Windows 用户帐户 的 Windows 域名 - Microsoft Entra帐户 的 AzureAD - 没有 Windows 域名的 NT AUTHORITY 帐户,例如 Power BI 服务 |
| ClientHostName | 35 | 8 | 正在运行客户端的计算机的名称。 如果客户端提供了主机名,则填充此数据列。 |
| ClientProcessID | 36 | 1 | 客户端应用程序的进程 ID。 |
| ApplicationName | 37 | 8 | 创建到服务器的连接的客户端应用程序的名称。 此列由应用程序传递的值填充,而不是由所显示的程序名填充。 |
| NTCanonicalUserName | 40 | 8 | 包含与命令事件关联的用户名。 根据环境,用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) |
| ServerName | 43 | 8 | 生成事件的服务器的名称。 |
审核服务器启动和停止
| 列名称 | 列 ID | 列类型 | 列说明 |
|---|---|---|---|
| EventClass | 0 | 1 | 事件类用于对事件进行分类。 |
| EventSubclass | 1 | 1 | 事件子类提供有关每个事件类的附加信息: 1:实例已关闭 2:实例已启动 3:实例已暂停 4:实例已继续 |
| CurrentTime | 2 | 5 | 事件开始的时间(如果可用)。 为了便于筛选,采用的格式为“YYYY-MM-DD”和“YYYY-MM-DD HH:MM:SS”。 |
| 严重性 | 22 | 1 | 异常错误的严重级别。 |
| 成功 | 23 | 1 | 1 = 成功。 0 = 失败(例如,1 表示权限检查成功,而 0 表示权限检查失败)。 |
| Error | 24 | 1 | 给定事件的错误号。 |
| TextData | 42 | 9 | 与事件关联的文本数据。 |
| ServerName | 43 | 8 | 生成事件的服务器的名称。 |
审核对象权限事件
| 列名称 | 列 ID | 列类型 | 列说明 |
|---|---|---|---|
| ObjectID | 11 | 8 | 对象 ID(请注意这是一个字符串)。 |
| ObjectType | 12 | 1 | 对象类型。 |
| ObjectName | 13 | 8 | 对象名称。 |
| ObjectPath | 14 | 8 | 对象路径。 逗号分隔的父级列表,以对象的父级开头。 |
| ObjectReference | 15 | 8 | 对象引用。 作为所有父级的 XML 编码,并且使用标记来描述对象。 |
| 严重性 | 22 | 1 | 异常错误的严重级别。 |
| 成功 | 23 | 1 | 1 = 成功。 0 = 失败(例如,1 表示权限检查成功,而 0 表示权限检查失败)。 |
| Error | 24 | 1 | 给定事件的错误号。 |
| ConnectionID | 25 | 1 | 唯一连接 ID。 |
| DatabaseName | 28 | 8 | 正在运行用户语句的数据库的名称。 |
| NTUserName | 32 | 8 | 包含与命令事件关联的用户名。 根据环境, 用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) - 代表 UPN 或 SPN (Power BI 服务 (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含与触发命令事件的用户帐户关联的域名。 - Windows 用户帐户 的 Windows 域名 - Microsoft Entra帐户 的 AzureAD - 没有 Windows 域名的 NT AUTHORITY 帐户,例如 Power BI 服务 |
| ClientHostName | 35 | 8 | 正在运行客户端的计算机的名称。 如果客户端提供了主机名,则填充此数据列。 |
| ClientProcessID | 36 | 1 | 客户端应用程序的进程 ID。 |
| ApplicationName | 37 | 8 | 创建到服务器的连接的客户端应用程序的名称。 此列由应用程序传递的值填充,而不是由所显示的程序名填充。 |
| SessionID | 39 | 8 | 会话 GUID。 |
| NTCanonicalUserName | 40 | 8 | 包含与命令事件关联的用户名。 根据环境,用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) |
| SPID | 41 | 1 | 服务器进程 ID。 它唯一标识用户会话。 这直接对应于 XML/A 使用的会话 GUID。 |
| TextData | 42 | 9 | 与事件关联的文本数据。 |
| ServerName | 43 | 8 | 生成事件的服务器的名称。 |
审核管理操作事件
| 列名称 | 列 ID | 列类型 | 列说明 |
|---|---|---|---|
| EventSubclass | 1 | 1 | 事件子类提供有关每个事件类的附加信息: 1: 备份 2: 还原 3: 同步 4: 分离 5: 附加 6: ImageLoad 7: ImageSave |
| 严重性 | 22 | 1 | 异常错误的严重级别。 |
| 成功 | 23 | 1 | 1 = 成功。 0 = 失败(例如,1 表示权限检查成功,而 0 表示权限检查失败)。 |
| Error | 24 | 1 | 给定事件的错误号。 |
| ConnectionID | 25 | 1 | 唯一连接 ID。 |
| DatabaseName | 28 | 8 | 正在运行用户语句的数据库的名称。 |
| NTUserName | 32 | 8 | 包含与命令事件关联的用户名。 根据环境, 用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) - 代表 UPN 或 SPN (Power BI 服务 (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含与触发命令事件的用户帐户关联的域名。 - Windows 用户帐户 的 Windows 域名 - 用于Microsoft Entra帐户 的 AzureAD - 没有 Windows 域名的 NT AUTHORITY 帐户,例如 Power BI 服务 |
| ClientHostName | 35 | 8 | 正在运行客户端的计算机的名称。 如果客户端提供了主机名,则填充此数据列。 |
| ClientProcessID | 36 | 1 | 客户端应用程序的进程 ID。 |
| ApplicationName | 37 | 8 | 创建到服务器的连接的客户端应用程序的名称。 此列由应用程序传递的值填充,而不是由所显示的程序名填充。 |
| SessionID | 39 | 8 | 会话 GUID。 |
| NTCanonicalUserName | 40 | 8 | 包含与命令事件关联的用户名。 根据环境,用户名采用以下形式: - Windows 用户帐户 (DOMAIN\UserName) - 用户主体名称 (UPN) (username@domain.com) - 服务主体名称 (SPN) (appid@tenantid) - Power BI 服务帐户 (Power BI 服务) |
| SPID | 41 | 1 | 服务器进程 ID。 它唯一标识用户会话。 这直接对应于 XML/A 使用的会话 GUID。 |
| TextData | 42 | 9 | 与事件关联的文本数据。 |
| ServerName | 43 | 8 | 生成事件的服务器的名称。 |