Colonnes de données Audit de sécurité
La catégorie d'événement Audit de sécurité contient les classes d'événements suivantes :
| ID de l'événement | Nom de l’événement | Description de l'événement |
|---|---|---|
| 1 | Audit Login | Collecte tous les événements de connexion depuis le début de la trace, telle qu'une demande de connexion d'un client à un serveur qui exécute une instance de SQL Server. |
| 2 | Audit Logout | Collecte tous les nouveaux événements de déconnexion depuis le début de la trace, telle que l'émission par un client d'une commande de déconnexion. |
| 4 | Audit Server Starts And Stops | Enregistre l'arrêt du service, le début et la suspension des activités des services. |
| 18 | Audit Object Permission Event | Enregistre les modifications d'autorisations sur les objets. |
| 19 | Audit Admin Operations Event | Enregistre la sauvegarde/la restauration/la synchronisation/l'attachement/le détachement/le chargement d'image/l'enregistrement d'image. |
Les tableaux suivants répertorient les colonnes de données de chacune de ces classes d'événements.
Audit Login
| Nom de la colonne | ID de la colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventClass | 0 | 1 | La classe Événements sert à catégoriser les événements. |
| CurrentTime | 2 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| StartTime | 3 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (service Power BI) |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Logout
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventClass | 0 | 1 | La classe Événements sert à catégoriser les événements. |
| CurrentTime | 2 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| EndTime | 4 | 5 | Heure de fin de l'événement. Cette colonne n'est pas remplie pour les classes d'événements de démarrage, comme SQL:BatchStarting ou SP:Starting. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| Duration | 5 | 2 | Temps (en millisecondes) pris par l'événement. |
| CPUTime | 6 | 2 | Temps processeur (en millisecondes) utilisé par l'événement. |
| Succès | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) () -username@domain.com Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, comme le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Server Starts And Stops
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventClass | 0 | 1 | La classe Événements sert à catégoriser les événements. |
| EventSubclass | 1 | 1 | La sous-classe d’événements fournit des informations supplémentaires sur chaque classe d’événements : 1 : Arrêt de l’instance 2 : Instance démarrée 3 : Instance suspendue 4 : Poursuite de l’instance |
| CurrentTime | 2 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| TextData | 42 | 9 | Données texte associées à l'événement. |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Object Permission Event
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| ObjectID | 11 | 8 | ID d'objet (notez il s'agit d'une chaîne). |
| ObjectType | 12 | 1 | Type d'objet. |
| ObjectName | 13 | 8 | Nom d’objet |
| ObjectPath | 14 | 8 | Chemin d'accès de l'objet. Liste de parents séparés par une virgule, commençant par le parent de l'objet. |
| ObjectReference | 15 | 8 | Référence de l'objet. Encodée au format XML pour tous les parents, en utilisant des balises pour décrire l'objet. |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| nom_base_de_données | 28 | 8 | Nom de la base de données dans laquelle l'instruction de l'utilisateur s'exécute. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| SessionID | 39 | 8 | GUID de session. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (service Power BI) |
| SPID | 41 | 1 | ID de processus du serveur. Cela identifie de façon unique une session utilisateur. Cela correspond directement au GUID de session utilisé par XML/A. |
| TextData | 42 | 9 | Données texte associées à l'événement. |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Admin Operations Event
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventSubclass | 1 | 1 | La sous-classe d’événements fournit des informations supplémentaires sur chaque classe d’événements : 1 : Backup 2 : Restore 3 : Synchronize 4 : Detach 5 : Attach 6 : ImageLoad 7 : ImageSave |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| nom_base_de_données | 28 | 8 | Nom de la base de données dans laquelle l'instruction de l'utilisateur s'exécute. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| SessionID | 39 | 8 | GUID de session. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (service Power BI) |
| SPID | 41 | 1 | ID de processus du serveur. Cela identifie de façon unique une session utilisateur. Cela correspond directement au GUID de session utilisé par XML/A. |
| TextData | 42 | 9 | Données texte associées à l'événement. |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour