安全性稽核資料行
安全性稽核事件類別目錄有下列的事件類別:
| 事件識別碼 | 事件名稱 | 事件描述 |
|---|---|---|
| 1 | 稽核登入 | 收集自啟動追蹤後的所有新連接事件,例如當用戶端要求連接到執行 SQL Server 執行個體的伺服器時。 |
| 2 | 稽核登出 | 收集自啟動追蹤後的所有新中斷連接事件,例如當用戶端發出中斷連接命令時。 |
| 4 | 稽核伺服器啟動與停止 | 記錄服務關閉、啟動與暫停活動。 |
| 18 | 稽核物件權限事件 | 記錄物件權限之變更。 |
| 19 | 稽核管理作業事件 | 記錄伺服器備份/還原/同步處理/附加/卸離/影像載入/影像儲存。 |
下表列出每一個這類事件類別的資料行。
稽核登入
| 資料行名稱 | 資料行識別碼 | 資料行類型 | 資料行描述 |
|---|---|---|---|
| EventClass | 0 | 1 | 「事件類別」是用來將事件分類。 |
| CurrentTime | 2 | 5 | 事件的開始時間 (如果可以取得的話)。 篩選所需的格式為 'YYYY-MM-DD' 與 'YYYY-MM-DD HH:MM:SS'。 |
| StartTime | 3 | 5 | 事件的開始時間 (如果可以取得的話)。 篩選所需的格式為 'YYYY-MM-DD' 與 'YYYY-MM-DD HH:MM:SS'。 |
| 嚴重性 | 22 | 1 | 例外狀況的嚴重性層級。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (例如,1 表示權限檢查成功,而 0 表示該檢查失敗)。 |
| 錯誤 | 24 | 1 | 給定事件的錯誤號碼。 |
| ConnectionID | 25 | 1 | 唯一的連線識別碼。 |
| NTUserName | 32 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定, 使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN) () - 服務主體名稱 (SPN) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務) - Power BI 服務代表 UPN username@domain.com 或 SPN (Power BI Service (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含與觸發命令事件之使用者帳戶相關聯的功能變數名稱。 - Windows 使用者帳戶 的 Windows 功能變數名稱 - 適用于Microsoft Entra帳戶的 AzureAD - 不含 Windows 功能變數名稱的 NT AUTHORITY 帳戶 ,例如Power BI 服務 |
| ClientHostName | 35 | 8 | 執行用戶端的電腦名稱。 這個資料行會在用戶端提供主機名稱時填入。 |
| ClientProcessID | 36 | 1 | 用戶端應用程式的處理序識別碼。 |
| ApplicationName | 37 | 8 | 建立對伺服器連線之用戶端應用程式的名稱。 這個資料行會填入應用程式所傳送的值,而非程式的顯示名稱。 |
| NTCanonicalUserName | 40 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定,使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN username@domain.com ) () - 服務主體名稱 (SPN) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務) |
| ServerName | 43 | 8 | 產生事件的伺服器名稱。 |
稽核登出
| 資料行名稱 | 資料行識別碼 | 資料行類型 | 資料行描述 |
|---|---|---|---|
| EventClass | 0 | 1 | 「事件類別」是用來將事件分類。 |
| CurrentTime | 2 | 5 | 事件的開始時間 (如果可以取得的話)。 篩選所需的格式為 'YYYY-MM-DD' 與 'YYYY-MM-DD HH:MM:SS'。 |
| EndTime | 4 | 5 | 事件結束的時間。 此資料行不會因啟動的事件類別 (如 SQL:BatchStarting 或 SP:Starting) 而擴展。 篩選所需的格式為 'YYYY-MM-DD' 與 'YYYY-MM-DD HH:MM:SS'。 |
| 持續時間 | 5 | 2 | 事件花費的時間量 (毫秒)。 |
| CPUTime | 6 | 2 | 事件所用的 CPU 時間 (以毫秒為單位)。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (例如,1 表示權限檢查成功,而 0 表示該檢查失敗)。 |
| ConnectionID | 25 | 1 | 唯一的連線識別碼。 |
| NTUserName | 32 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定, 使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN) () - 服務主體名稱 (SPN) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務) - Power BI 服務代表 UPN username@domain.com 或 SPN (Power BI Service (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含與觸發命令事件之使用者帳戶相關聯的功能變數名稱。 - Windows 使用者帳戶 的 Windows 功能變數名稱 - 適用于Microsoft Entra帳戶的 AzureAD - 不含 Windows 功能變數名稱的 NT AUTHORITY 帳戶 ,例如Power BI 服務 |
| ClientHostName | 35 | 8 | 執行用戶端的電腦名稱。 這個資料行會在用戶端提供主機名稱時填入。 |
| ClientProcessID | 36 | 1 | 用戶端應用程式的處理序識別碼。 |
| ApplicationName | 37 | 8 | 建立對伺服器連線之用戶端應用程式的名稱。 這個資料行會填入應用程式所傳送的值,而非程式的顯示名稱。 |
| NTCanonicalUserName | 40 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定,使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN username@domain.com ) () - 服務主體名稱 (SPN) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務) |
| ServerName | 43 | 8 | 產生事件的伺服器名稱。 |
稽核伺服器啟動與停止
| 資料行名稱 | 資料行識別碼 | 資料行類型 | 資料行描述 |
|---|---|---|---|
| EventClass | 0 | 1 | 「事件類別」是用來將事件分類。 |
| EventSubclass | 1 | 1 | 事件子類別提供有關每個事件類別的額外資訊: 1:執行個體關閉 2:執行個體已啟動 3:執行個體暫停 4:執行個體繼續 |
| CurrentTime | 2 | 5 | 事件的開始時間 (如果可以取得的話)。 篩選所需的格式為 'YYYY-MM-DD' 與 'YYYY-MM-DD HH:MM:SS'。 |
| 嚴重性 | 22 | 1 | 例外狀況的嚴重性層級。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (例如,1 表示權限檢查成功,而 0 表示該檢查失敗)。 |
| 錯誤 | 24 | 1 | 給定事件的錯誤號碼。 |
| TextData | 42 | 9 | 與事件相關的文字資料。 |
| ServerName | 43 | 8 | 產生事件的伺服器名稱。 |
稽核物件權限事件
| 資料行名稱 | 資料行識別碼 | 資料行類型 | 資料行描述 |
|---|---|---|---|
| ObjectID | 11 | 8 | 物件識別碼 (請注意這是一個字串)。 |
| ObjectType | 12 | 1 | 物件類型。 |
| ObjectName | 13 | 8 | 物件名稱。 |
| ObjectPath | 14 | 8 | 物件路徑。 以物件的父系開頭之父系清單 (以逗號分隔)。 |
| ObjectReference | 15 | 8 | 物件參考。 針對所有父系使用標記來描述物件,編碼成 XML。 |
| 嚴重性 | 22 | 1 | 例外狀況的嚴重性層級。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (例如,1 表示權限檢查成功,而 0 表示該檢查失敗)。 |
| 錯誤 | 24 | 1 | 給定事件的錯誤號碼。 |
| ConnectionID | 25 | 1 | 唯一的連線識別碼。 |
| DatabaseName | 28 | 8 | 正在執行使用者之陳述式的資料庫名稱。 |
| NTUserName | 32 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定, 使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN) (username@domain.com ) - 服務主體名稱 (SPN ) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務 ) - Power BI 服務代表 UPN 或 SPN (Power BI 服務 (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含與觸發命令事件之使用者帳戶相關聯的功能變數名稱。 - Windows 使用者帳戶 的 Windows 功能變數名稱 - 適用于Microsoft Entra帳戶 的 AzureAD - 沒有 Windows 功能變數名稱的 NT AUTHORITY 帳戶,例如Power BI 服務 |
| ClientHostName | 35 | 8 | 執行用戶端的電腦名稱。 這個資料行會在用戶端提供主機名稱時填入。 |
| ClientProcessID | 36 | 1 | 用戶端應用程式的處理序識別碼。 |
| ApplicationName | 37 | 8 | 建立對伺服器連線之用戶端應用程式的名稱。 這個資料行會填入應用程式所傳送的值,而非程式的顯示名稱。 |
| SessionID | 39 | 8 | 工作階段 GUID。 |
| NTCanonicalUserName | 40 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定,使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN) () - 服務主體名稱 (SPN username@domain.com ) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務) |
| SPID | 41 | 1 | 伺服器處理序識別碼。 這可唯一識別使用者工作階段。 這直接對應到 XML/A 所使用的工作階段 GUID。 |
| TextData | 42 | 9 | 與事件相關的文字資料。 |
| ServerName | 43 | 8 | 產生事件的伺服器名稱。 |
稽核管理作業事件
| 資料行名稱 | 資料行識別碼 | 資料行類型 | 資料行描述 |
|---|---|---|---|
| EventSubclass | 1 | 1 | 事件子類別提供有關每個事件類別的額外資訊: 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| 嚴重性 | 22 | 1 | 例外狀況的嚴重性層級。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (例如,1 表示權限檢查成功,而 0 表示該檢查失敗)。 |
| 錯誤 | 24 | 1 | 給定事件的錯誤號碼。 |
| ConnectionID | 25 | 1 | 唯一的連線識別碼。 |
| DatabaseName | 28 | 8 | 正在執行使用者之陳述式的資料庫名稱。 |
| NTUserName | 32 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定, 使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN) (username@domain.com ) - 服務主體名稱 (SPN ) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務 ) - Power BI 服務代表 UPN 或 SPN (Power BI 服務 (UPN/SPN) ) |
| NTDomainName | 33 | 8 | 包含與觸發命令事件之使用者帳戶相關聯的功能變數名稱。 - Windows 使用者帳戶 的 Windows 功能變數名稱 - 適用于Microsoft Entra帳戶 的 AzureAD - 沒有 Windows 功能變數名稱的 NT AUTHORITY 帳戶,例如Power BI 服務 |
| ClientHostName | 35 | 8 | 執行用戶端的電腦名稱。 這個資料行會在用戶端提供主機名稱時填入。 |
| ClientProcessID | 36 | 1 | 用戶端應用程式的處理序識別碼。 |
| ApplicationName | 37 | 8 | 建立對伺服器連線之用戶端應用程式的名稱。 這個資料行會填入應用程式所傳送的值,而非程式的顯示名稱。 |
| SessionID | 39 | 8 | 工作階段 GUID。 |
| NTCanonicalUserName | 40 | 8 | 包含與命令事件相關聯的使用者名稱。 視環境而定,使用者名稱的格式如下: - Windows 使用者帳戶 (DOMAIN\UserName) - 使用者主體名稱 (UPN) () - 服務主體名稱 (SPN username@domain.com ) (appid@tenantid) - Power BI 服務帳戶 (Power BI 服務) |
| SPID | 41 | 1 | 伺服器處理序識別碼。 這可唯一識別使用者工作階段。 這直接對應到 XML/A 所使用的工作階段 GUID。 |
| TextData | 42 | 9 | 與事件相關的文字資料。 |
| ServerName | 43 | 8 | 產生事件的伺服器名稱。 |