Colonnes de données Audit de sécurité
La catégorie d'événement Audit de sécurité contient les classes d'événements suivantes :
Audit Login
Audit Backup/Restore Event
Audit Logout
Audit Server Starts and Stops
Audit Object Permission Event
Les tableaux suivants répertorient les colonnes de données de chacune de ces classes d'événements.
Classe d'événements Audit Login—Colonnes de données
Colonne de données |
Description |
|---|---|
ConnectionID |
Contient l'ID de connexion unique associé à l'événement de connexion. |
ServerName |
Contient le nom de l'instance MicrosoftSQL ServerAnalysis Services sur laquelle l'événement de connexion s'est produit. |
CurrentTime |
Contient l'heure actuelle de l'événement de connexion. Pour filtrer, les formats sont YYYY-MM-DD et YYYY-MM-DD HH:MM:SS. |
NTCanonicalUserName |
Contient le nom d'utilisateur Windows associé à l'événement de connexion. Le nom d'utilisateur a la forme canonique. engineering.microsoft.com/software/user, par exemple. |
NTUserName |
Contient le nom d'utilisateur Windows associé à l'événement de connexion. |
StartTime |
Contient l'heure de début (si disponible) de l'événement de connexion. Pour filtrer, les formats sont YYYY-MM-DD et YYYY-MM-DD HH:MM:SS. |
Error |
Contient le nombre d'occurrences d'une erreur associée à l'événement de connexion. |
Severity |
Contient le niveau de gravité d'une exception associée à l'événement de connexion. Valeurs possibles : 0 = Réussite 1 = Informationnelle 2 = Avertissement 3 = Erreur |
Success |
Contient la réussite ou l'échec de l'événement de connexion. Valeurs possibles : 0 = Échec 1 = Réussite |
ApplicationName |
Contient le nom de l'application cliente associée à l'événement de connexion. |
ClientHostName |
Contient le nom de l'ordinateur sur lequel l'événement de connexion s'est produit. |
ClientProcessID |
Contient l'ID de processus client associé à l'événement de connexion. |
NTDomainName |
Contient le compte de domaine Windows associé à l'événement de connexion. |
Classe d'événements Audit Backup/Restore Event—Colonnes de données
Colonne de données |
Description |
|---|---|
ConnectionID |
Contient l'ID de connexion unique associé à l'événement de sauvegarde ou de restauration. |
TextData |
Contient les données texte associées à l'événement de sauvegarde ou de restauration. |
ServerName |
Contient le nom de l'instance Analysis Services sur laquelle l'événement de sauvegarde ou de restauration s'est produit. |
DatabaseName |
Contient le nom de la base de données dans laquelle l'instruction de sauvegarde ou de restauration s'exécute. |
EventSubclass |
Contient la classe d'événements dans les événements de sauvegarde ou de restauration Analysis Services. Valeurs possibles : 1 = Sauvegarde 2 = Restauration 3 = Sync |
NTCanonicalUserName |
Contient le nom d'utilisateur Windows associé à l'événement de sauvegarde ou de restauration. Le nom d'utilisateur a la forme canonique. engineering.microsoft.com/software/user, par exemple. |
NTUserName |
Contient le nom d'utilisateur Windows associé à l'événement de sauvegarde ou de restauration. |
SPID |
Contient l'ID de processus serveur (SPID) qui identifie de manière unique la session utilisateur associée à l'événement sauvegarde ou de restauration. Le SPID correspond directement au GUID de session utilisé par XMLA (XML for Analysis). |
Error |
Contient le nombre d'occurrences d'une erreur associée à l'événement de sauvegarde ou de restauration. |
Severity |
Contient le niveau de gravité d'une exception associée à l'événement de connexion. Valeurs possibles : 0 = Réussite 1 = Informationnelle 2 = Avertissement 3 = Erreur |
Success |
Contient la réussite ou l'échec de l'événement de sauvegarde ou de restauration. Valeurs possibles : 0 = Échec 1 = Réussite |
ApplicationName |
Contient le nom de l'application cliente associée à l'événement de sauvegarde ou de restauration. |
ClientHostName |
Contient le nom de l'ordinateur sur lequel l'événement de sauvegarde ou de restauration s'est produit. |
ClientProcessID |
Contient l'ID de processus client associé à l'événement de sauvegarde et de restauration. |
NTDomainName |
Contient le compte de domaine Windows associé à l'événement de sauvegarde ou de restauration. |
SessionID |
Contient l'ID de session associé à l'événement de sauvegarde ou de restauration. |
Classe d'événements Audit Logout—Colonnes de données
Colonne de données |
Description |
|---|---|
ConnectionID |
Contient l'ID de connexion unique associé à l'événement de déconnexion. |
ServerName |
Contient le nom de l'instance Analysis Services sur laquelle l'événement de déconnexion s'est produit. |
CurrentTime |
Contient l'heure actuelle de l'événement de déconnexion. Pour filtrer, les formats attendus sont YYYY-MM-DD et YYYY-MM-DD HH:MM:SS. |
Duration |
Contient le délai entre l'événement de connexion et l'événement de déconnexion. |
EndTime |
Contient l'heure d'occurrence de l'événement de déconnexion. Pour filtrer, les formats sont YYYY-MM-DD et YYYY-MM-DD HH:MM:SS. |
NTCanonicalUserName |
Contient le nom d'utilisateur Windows associé à l'événement de déconnexion. Le nom d'utilisateur a la forme canonique. engineering.microsoft.com/software/user, par exemple. |
NTUserName |
Contient le nom d'utilisateur Windows associé à l'événement de déconnexion. |
CPUTime |
Contient le temps processeur (en millisecondes) utilisé par le processus entre l'événement de connexion et l'événement de déconnexion. |
Success |
Contient la réussite ou l'échec de l'événement de déconnexion d'audit. Valeurs possibles : 0 = Échec 1 = Réussite |
ApplicationName |
Contient le nom de l'application cliente associée à l'événement de déconnexion. |
ClientHostName |
Contient le nom de l'ordinateur sur lequel l'événement de déconnexion s'est produit. |
ClientProcessID |
Contient l'ID de processus client associé à l'événement de déconnexion. |
NTDomainName |
Contient le compte de domaine Windows associé à l'événement de déconnexion. |
Classe d'événements Audit Server Starts and Stops—Colonnes de données
Colonne de données |
Description |
|---|---|
TextData |
Contient les données texte associées à l'événement de démarrage ou d'arrêt du serveur. |
ServerName |
Contient le nom de l'instance Analysis Services sur laquelle l'événement de démarrage ou d'arrêt du serveur s'est produit. |
CurrentTime |
Contient l'heure actuelle de l'événement de démarrage ou d'arrêt du serveur. Pour filtrer, les formats sont YYYY-MM-DD et YYYY-MM-DD HH:MM:SS. |
EventSubclass |
Contient la classe d'événements dans l'événement de démarrage ou d'arrêt du serveur. Valeurs possibles : 1 = Arrêt de l'instance 2 = Démarrage de l'instance 3 = Suspension de l'instance 4 = Poursuite de l'instance |
Error |
Contient le nombre d'occurrences d'une erreur associée à l'événement de démarrage ou d'arrêt du serveur. |
Severity |
Contient le niveau de gravité d'une exception associée à l'événement de démarrage ou d'arrêt du serveur. Valeurs possibles : 0 = Réussite 1 = Informationnelle 2 = Avertissement 3 = Erreur |
Success |
Contient le succès ou l'échec de l'événement de démarrage ou d'arrêt du serveur. Valeurs possibles : 0 = Échec 1 = Réussite |
Classe d'événements Audit Object Permission Event—Colonnes de données
Colonne de données |
Description |
|---|---|
ConnectionID |
Contient l'ID de connexion unique associé à l'événement d'autorisation de l'objet. |
TextData |
Contient les données texte associées à l'événement d'autorisation de l'objet. |
ServerName |
Contient le nom de l'instance Analysis Services sur laquelle l'événement d'autorisation de l'objet s'est produit. |
DatabaseName |
Contient le nom de la base de données dans laquelle l'événement d'autorisation de l'objet s'est produit. |
NTCanonicalUserName |
Contient le nom d'utilisateur Windows associé à l'événement d'autorisation de l'objet. Le nom d'utilisateur a la forme canonique. engineering.microsoft.com/software/user, par exemple. |
NTUserName |
Contient le nom d'utilisateur Windows associé à l'événement d'autorisation de l'objet. |
ObjectID |
Contient l'ID d'objet (chaîne) associé à l'événement d'autorisation de l'objet. |
ObjectName |
Contient le nom de l'objet associé à l'événement d'autorisation de l'objet. |
ObjectPath |
Contient le chemin d'accès à l'objet associé à l'événement d'autorisation de l'objet, sous la forme d'une liste de parents séparés par une virgule commençant par les parents de l'objet. |
ObjectReference |
Contient la référence d'objet de l'événement d'autorisation de l'objet, codée au format XML pour tous les parents et en utilisant des balises pour décrire l'objet. |
ObjectType |
Contient le type d'objet associé à l'événement d'autorisation de l'objet. |
SPID |
Contient l'ID de processus serveur (SPID, Server Process ID) qui identifie de manière unique la session utilisateur associée à l'événement d'autorisation de l'objet. Le SPID correspond directement au GUID de session utilisé par XMLA (XML for Analysis). |
Error |
Contient le nombre d'occurrences d'une erreur associée à l'événement d'autorisation de l'objet. |
Severity |
Contient le niveau de gravité d'une exception associée à l'événement d'autorisation de l'objet. Valeurs possibles : 0 = Réussite 1 = Informationnelle 2 = Avertissement 3 = Erreur |
Success |
Contient la réussite ou l'échec de l'événement d'autorisation de l'objet. Valeurs possibles : 0 = Échec 1 = Réussite |
ApplicationName |
Contient le nom de l'application cliente associée à l'événement d'autorisation de l'objet. |
ClientHostName |
Contient le nom de l'ordinateur sur lequel l'événement d'autorisation d'objet s'est produit. |
ClientProcessID |
Contient l'ID de processus client associé à l'événement d'autorisation de l'objet. |
NTDomainName |
Contient le compte de domaine Windows associé à l'événement d'autorisation de l'objet. |
SessionID |
Contient l'ID de session associé à l'événement d'autorisation de l'objet. |