安全审核数据列
“安全审核”事件类别具有以下事件类:
- 审核登录类
- 审核备份/还原事件
- 审核注销类
- 审核服务器启动和停止事件
- 审核对象权限事件
下表列出了其中每个事件类的数据列。
审核登录事件类 - 数据列
| 数据列 | 说明 |
|---|---|
ConnectionID |
包含与登录事件关联的唯一连接 ID。 |
ServerName |
包含发生登录事件的 Microsoft SQL Server 2005 Analysis Services (SSAS) 实例的名称。 |
CurrentTime |
包含登录事件的当前时间。为了便于筛选,采用的格式为 YYYY-MM-DD 和 YYYY-MM-DD HH:MM:SS。 |
NTCanonicalUserName |
包含与登录事件关联的 Windows 用户名。用户名采用规范格式。例如,engineering.microsoft.com/software/user。 |
NTUserName |
包含与登录事件关联的 Windows 用户名。 |
StartTime |
包含登录事件的开始时间(如果有)。为了便于筛选,采用的格式为 YYYY-MM-DD 和 YYYY-MM-DD HH:MM:SS。 |
Error |
包含与登录事件关联的任何错误的错误号。 |
严重性 |
包含与登录事件关联的异常的严重级别。取值为: 0 = 成功 1 = 信息 2 = 警告 3 = 错误 |
Success |
包含登录事件的成功或失败信息。取值为: 0 = 失败 1 = 成功 |
ApplicationName |
包含与登录事件关联的客户端应用程序的名称。 |
ClientHostName |
包含发生登录事件的计算机的名称。 |
ClientProcessID |
包含与登录事件关联的客户端进程 ID。 |
NTDomainName |
包含与登录事件关联的 Windows 域帐户。 |
审核备份/还原事件类 - 数据列
| 数据列 | 说明 |
|---|---|
ConnectionID |
包含与备份或还原事件关联的唯一连接 ID。 |
TextData |
包含与备份或还原事件关联的文本数据。 |
ServerName |
包含发生备份或还原事件的 Analysis Services 实例的名称。 |
DatabaseName |
包含正在运行备份或还原语句的数据库的名称。 |
EventSubclass |
包含 Analysis Services 备份或还原事件中的事件的类。取值为: 1 = 备份。 2 = 还原。 3 = 同步 |
NTCanonicalUserName |
包含与备份或还原事件关联的 Windows 用户名。用户名采用规范格式。例如,engineering.microsoft.com/software/user。 |
NTUserName |
包含与备份或还原事件关联的 Windows 用户名。 |
SPID |
包含可以唯一标识与备份或还原事件关联的用户会话的服务器进程 ID (SPID)。SPID 直接对应于 XML for Analysis (XMLA) 所使用的会话 GUID。 |
Error |
包含与备份或还原事件关联的任何错误的错误号。 |
严重性 |
包含与登录事件关联的异常的严重级别。取值为: 0 = 成功 1 = 信息 2 = 警告 3 = 错误 |
Success |
包含备份或还原事件的成功或失败信息。取值为: 0 = 失败 1 = 成功 |
ApplicationName |
包含与备份或还原事件关联的客户端应用程序的名称。 |
ClientHostName |
包含发生备份或还原事件的计算机的名称。 |
ClientProcessID |
包含与备份或还原事件关联的客户端进程 ID。 |
NTDomainName |
包含与备份或还原事件关联的 Windows 域帐户。 |
SessionID |
包含与备份或还原事件关联的会话 ID。 |
审核注销事件类 - 数据列
| 数据列 | 说明 |
|---|---|
ConnectionID |
包含与注销事件关联的唯一连接 ID。 |
ServerName |
包含发生注销事件的 Analysis Services 实例的名称。 |
CurrentTime |
包含注销事件的当前时间。为了便于筛选,采用的格式为 YYYY-MM-DD 和 YYYY-MM-DD HH:MM:SS。 |
Duration |
包含在登录事件和注销事件之间的时间长度。 |
EndTime |
包含发生注销事件的时间。为了便于筛选,采用的格式为 YYYY-MM-DD 和 YYYY-MM-DD HH:MM:SS。 |
NTCanonicalUserName |
包含与注销事件关联的 Windows 用户名。用户名采用规范格式。例如,engineering.microsoft.com/software/user。 |
NTUserName |
包含与注销事件关联的 Windows 用户名。 |
CPUTime |
包含在登录事件和注销事件时间之间进程所用的 CPU 时间量(毫秒)。 |
Success |
包含审核注销事件的成功或失败信息。取值为: 0 = 失败 1 = 成功 |
ApplicationName |
包含与注销事件关联的客户端应用程序的名称。 |
ClientHostName |
包含发生注销事件的计算机的名称。 |
ClientProcessID |
包含与注销事件关联的客户端进程 ID。 |
NTDomainName |
包含与注销事件关联的 Windows 域帐户。 |
审核服务器开始和停止事件类 - 数据列
| 数据列 | 说明 |
|---|---|
TextData |
包含与服务器启动或停止事件关联的文本数据。 |
ServerName |
包含发生服务器启动或停止事件的 Analysis Services 实例的名称。 |
CurrentTime |
包含服务器启动或停止事件的当前时间。为了便于筛选,采用的格式为 YYYY-MM-DD 和 YYYY-MM-DD HH:MM:SS。 |
EventSubclass |
包含服务器启动或停止事件中的事件类。取值为: 1 = 实例已关闭 2 = 实例已启动 3 = 实例暂停 4 = 实例继续 |
Error |
包含与服务器启动或停止事件关联的任何错误的错误号。 |
严重性 |
包含与服务器启动或停止事件关联的异常的严重性级别。取值为: 0 = 成功 1 = 信息 2 = 警告 3 = 错误 |
Success |
包含服务器启动或停止事件的成功或失败信息。取值为: 0 = 失败 1 = 成功 |
审核对象权限事件类 - 数据列
| 数据列 | 说明 |
|---|---|
ConnectionID |
包含与对象权限事件关联的唯一连接 ID。 |
TextData |
包含与对象权限事件关联的文本数据。 |
ServerName |
包含发生对象权限事件的 Analysis Services 实例的名称。 |
DatabaseName |
包含发生对象权限事件的数据库的名称。 |
NTCanonicalUserName |
包含与对象权限事件关联的 Windows 用户名。用户名采用规范格式。例如,engineering.microsoft.com/software/user。 |
NTUserName |
包含与对象权限事件关联的 Windows 用户名。 |
ObjectID |
包含与对象权限事件关联的对象 ID(字符串)。 |
ObjectName |
包含与对象权限事件关联的对象的名称。 |
ObjectPath |
包含与对象权限事件关联的对象的对象路径,这是从对象的父级开始以逗号分隔的父级列表。 |
ObjectReference |
包含对象权限事件的对象引用,该引用对所有父级按 XML 编码,并使用标记来描述对象。 |
ObjectType |
包含与对象权限事件关联的对象的类型 |
SPID |
包含服务器进程 ID (SPID),该 SPID 用于唯一标识与对象权限事件关联的用户会话。SPID 直接对应于 XML for Analysis (XMLA) 所使用的会话 GUID。 |
Error |
包含与对象权限事件关联的任何错误的错误号。 |
严重性 |
包含与对象权限事件关联的异常的严重性级别。取值为: 0 = 成功 1 = 信息 2 = 警告 3 = 错误 |
Success |
包含对象权限事件的成功或失败信息。取值为: 0 = 失败 1 = 成功 |
ApplicationName |
包含与对象权限事件关联的客户端应用程序的名称。 |
ClientHostName |
包含发生对象权限事件的计算机的名称。 |
ClientProcessID |
包含与对象权限事件关联的客户端进程 ID。 |
NTDomainName |
包含与对象权限事件关联的 Windows 域帐户。 |
SessionID |
包含与对象权限事件关联的会话 ID。 |