Kolom Data Audit Keamanan
Kategori peristiwa Audit Keamanan memiliki kelas peristiwa berikut:
| ID Peristiwa | Nama Peristiwa | Deskripsi Peristiwa |
|---|---|---|
| 1 | Log-Masuk Audit | Mengumpulkan semua peristiwa koneksi baru sejak jejak dimulai, seperti ketika klien meminta koneksi ke server yang menjalankan instans SQL Server. |
| 2 | Log-Keluar Audit | Mengumpulkan semua peristiwa pemutusan sambungan baru sejak pelacakan dimulai, seperti ketika klien mengeluarkan perintah putuskan sambungan. |
| 4 | Server Audit Dimulai dan Dihentikan | Merekam layanan mematikan, memulai, dan menjeda aktivitas. |
| 18 | Peristiwa Izin Objek Audit | Merekam perubahan izin objek. |
| 19 | Peristiwa Operasi Admin Audit | Merekam pencadangan/pemulihan/sinkronisasi/lampirkan/lepaskan/imageload/imagesave. |
Tabel berikut mencantumkan kolom data untuk setiap kelas peristiwa ini.
Log-Masuk Audit
| Nama kolom | Id Kolom | Jenis Kolom | Deskripsi Kolom |
|---|---|---|---|
| EventClass | 0 | 1 | Kelas Peristiwa digunakan untuk mengategorikan peristiwa. |
| CurrentTime | 2 | 5 | Waktu di mana peristiwa dimulai, jika tersedia. Untuk pemfilteran, format yang diharapkan adalah 'YYYY-MM-DD' dan 'YYYY-MM-DD HH:MM:SS'. |
| StartTime | 3 | 5 | Waktu di mana peristiwa dimulai, jika tersedia. Untuk pemfilteran, format yang diharapkan adalah 'YYYY-MM-DD' dan 'YYYY-MM-DD HH:MM:SS'. |
| Tingkat keparahan | 22 | 1 | Tingkat keparahan pengecualian. |
| Berhasil | 23 | 1 | 1 = berhasil. 0 = gagal (misalnya, 1 berarti keberhasilan pemeriksaan izin dan 0 berarti kegagalan pemeriksaan izin). |
| Kesalahan | 24 | 1 | Nomor kesalahan peristiwa tertentu. |
| ConnectionID | 25 | 1 | ID koneksi unik. |
| NTUserName | 32 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) - Layanan Power BI atas nama UPN atau SPN (Layanan Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Berisi nama domain yang terkait dengan akun pengguna yang memicu peristiwa perintah. - Nama domain Windows untuk akun pengguna Windows - AzureAD untuk akun Microsoft Entra - akun NT AUTHORITY tanpa nama domain Windows, seperti layanan Power BI |
| ClientHostName | 35 | 8 | Nama komputer tempat klien berjalan. Kolom data ini diisi jika nama host disediakan oleh klien. |
| ClientProcessID | 36 | 1 | ID proses aplikasi klien. |
| ApplicationName | 37 | 8 | Nama aplikasi klien yang membuat koneksi ke server. Kolom ini diisi dengan nilai yang diteruskan oleh aplikasi daripada nama program yang ditampilkan. |
| NTCanonicalUserName | 40 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) |
| ServerName | 43 | 8 | Nama server yang menghasilkan peristiwa. |
Log-Keluar Audit
| Nama Kolom | Id Kolom | Jenis Kolom | Deskripsi Kolom |
|---|---|---|---|
| EventClass | 0 | 1 | Kelas Peristiwa digunakan untuk mengategorikan peristiwa. |
| CurrentTime | 2 | 5 | Waktu di mana peristiwa dimulai, jika tersedia. Untuk pemfilteran, format yang diharapkan adalah 'YYYY-MM-DD' dan 'YYYY-MM-DD HH:MM:SS'. |
| Akhir waktu | 4 | 5 | Waktu saat peristiwa berakhir. Kolom ini tidak diisi untuk memulai kelas peristiwa, seperti SQL:BatchStarting atau SP:Starting. Untuk pemfilteran, format yang diharapkan adalah 'YYYY-MM-DD' dan 'YYYY-MM-DD HH:MM:SS'. |
| Durasi | 5 | 2 | Jumlah waktu (dalam milidetik) yang dibutuhkan oleh peristiwa. |
| CPUTime | 6 | 2 | Jumlah waktu CPU (dalam milidetik) yang digunakan oleh peristiwa. |
| Berhasil | 23 | 1 | 1 = berhasil. 0 = gagal (misalnya, 1 berarti keberhasilan pemeriksaan izin dan 0 berarti kegagalan pemeriksaan izin). |
| ConnectionID | 25 | 1 | ID koneksi unik. |
| NTUserName | 32 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) - Layanan Power BI atas nama UPN atau SPN (Layanan Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Berisi nama domain yang terkait dengan akun pengguna yang memicu peristiwa perintah. - Nama domain Windows untuk akun pengguna Windows - AzureAD untuk akun Microsoft Entra - akun NT AUTHORITY tanpa nama domain Windows, seperti layanan Power BI |
| ClientHostName | 35 | 8 | Nama komputer tempat klien berjalan. Kolom data ini diisi jika nama host disediakan oleh klien. |
| ClientProcessID | 36 | 1 | ID proses aplikasi klien. |
| ApplicationName | 37 | 8 | Nama aplikasi klien yang membuat koneksi ke server. Kolom ini diisi dengan nilai yang diteruskan oleh aplikasi daripada nama program yang ditampilkan. |
| NTCanonicalUserName | 40 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) |
| ServerName | 43 | 8 | Nama server yang menghasilkan peristiwa. |
Server Audit Dimulai dan Dihentikan
| Nama Kolom | Id Kolom | Jenis Kolom | Deskripsi Kolom |
|---|---|---|---|
| EventClass | 0 | 1 | Kelas Peristiwa digunakan untuk mengategorikan peristiwa. |
| EventSubclass | 1 | 1 | Subkelas Peristiwa menyediakan informasi tambahan tentang setiap kelas peristiwa: 1: Pematian Instans 2: Instans Dimulai 3: Instans Dijeda 4: Instans Berlanjut |
| CurrentTime | 2 | 5 | Waktu di mana peristiwa dimulai, jika tersedia. Untuk pemfilteran, format yang diharapkan adalah 'YYYY-MM-DD' dan 'YYYY-MM-DD HH:MM:SS'. |
| Tingkat keparahan | 22 | 1 | Tingkat keparahan pengecualian. |
| Berhasil | 23 | 1 | 1 = berhasil. 0 = gagal (misalnya, 1 berarti keberhasilan pemeriksaan izin dan 0 berarti kegagalan pemeriksaan izin). |
| Kesalahan | 24 | 1 | Nomor kesalahan peristiwa tertentu. |
| TextData | 42 | 9 | Data teks yang terkait dengan peristiwa. |
| ServerName | 43 | 8 | Nama server yang menghasilkan peristiwa. |
Peristiwa Izin Objek Audit
| Nama Kolom | Id Kolom | Jenis Kolom | Deskripsi Kolom |
|---|---|---|---|
| ObjectID | 11 | 8 | ID objek (perhatikan ini adalah string). |
| Jenis Objek | 12 | 1 | Jenis objek. |
| ObjectName | 13 | 8 | Nama objek. |
| ObjectPath | 14 | 8 | Jalur objek. Daftar induk yang dipisahkan koma, dimulai dengan induk objek. |
| ObjectReference | 15 | 8 | Referensi objek. Dikodekan sebagai XML untuk semua induk, menggunakan tag untuk menjelaskan objek. |
| Tingkat keparahan | 22 | 1 | Tingkat keparahan pengecualian. |
| Berhasil | 23 | 1 | 1 = berhasil. 0 = gagal (misalnya, 1 berarti keberhasilan pemeriksaan izin dan 0 berarti kegagalan pemeriksaan izin). |
| Kesalahan | 24 | 1 | Nomor kesalahan peristiwa tertentu. |
| ConnectionID | 25 | 1 | ID koneksi unik. |
| DatabaseName | 28 | 8 | Nama database tempat pernyataan pengguna berjalan. |
| NTUserName | 32 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) - Layanan Power BI atas nama UPN atau SPN (Layanan Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Berisi nama domain yang terkait dengan akun pengguna yang memicu peristiwa perintah. - Nama domain Windows untuk akun pengguna Windows - AzureAD untuk akun Microsoft Entra - akun NT AUTHORITY tanpa nama domain Windows, seperti layanan Power BI |
| ClientHostName | 35 | 8 | Nama komputer tempat klien berjalan. Kolom data ini diisi jika nama host disediakan oleh klien. |
| ClientProcessID | 36 | 1 | ID proses aplikasi klien. |
| ApplicationName | 37 | 8 | Nama aplikasi klien yang membuat koneksi ke server. Kolom ini diisi dengan nilai yang diteruskan oleh aplikasi daripada nama program yang ditampilkan. |
| SessionID | 39 | 8 | GUID sesi. |
| NTCanonicalUserName | 40 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) |
| SPID | 41 | 1 | ID proses server. ID unik untuk mengidentifikasi sesi pengguna. ID ini bersesuaian langsung dengan GUID sesi yang digunakan oleh XML/A. |
| TextData | 42 | 9 | Data teks yang terkait dengan peristiwa. |
| ServerName | 43 | 8 | Nama server yang menghasilkan peristiwa. |
Peristiwa Operasi Admin Audit
| Nama Kolom | Id Kolom | Jenis Kolom | Deskripsi Kolom |
|---|---|---|---|
| EventSubclass | 1 | 1 | Subkelas Peristiwa menyediakan informasi tambahan tentang setiap kelas peristiwa: 1: Pencadangan 2: Pulihkan 3: Menyinkronkan 4: Lepaskan 5: Lampirkan 6: ImageLoad 7: ImageSave |
| Tingkat keparahan | 22 | 1 | Tingkat keparahan pengecualian. |
| Berhasil | 23 | 1 | 1 = berhasil. 0 = gagal (misalnya, 1 berarti keberhasilan pemeriksaan izin dan 0 berarti kegagalan pemeriksaan izin). |
| Kesalahan | 24 | 1 | Nomor kesalahan peristiwa tertentu. |
| ConnectionID | 25 | 1 | ID koneksi unik. |
| DatabaseName | 28 | 8 | Nama database tempat pernyataan pengguna berjalan. |
| NTUserName | 32 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) - Layanan Power BI atas nama UPN atau SPN (Layanan Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Berisi nama domain yang terkait dengan akun pengguna yang memicu peristiwa perintah. - Nama domain Windows untuk akun pengguna Windows - AzureAD untuk akun Microsoft Entra - akun NT AUTHORITY tanpa nama domain Windows, seperti layanan Power BI |
| ClientHostName | 35 | 8 | Nama komputer tempat klien berjalan. Kolom data ini diisi jika nama host disediakan oleh klien. |
| ClientProcessID | 36 | 1 | ID proses aplikasi klien. |
| ApplicationName | 37 | 8 | Nama aplikasi klien yang membuat koneksi ke server. Kolom ini diisi dengan nilai yang diteruskan oleh aplikasi daripada nama program yang ditampilkan. |
| SessionID | 39 | 8 | GUID sesi. |
| NTCanonicalUserName | 40 | 8 | Berisi nama pengguna yang terkait dengan peristiwa perintah. Bergantung pada lingkungan, nama pengguna dalam bentuk berikut: - Akun pengguna Windows (DOMAIN\UserName) - Nama Prinsipal Pengguna (UPN) (username@domain.com) - Nama Prinsipal Layanan (SPN) (appid@tenantid) - Akun Layanan Power BI (Layanan Power BI) |
| SPID | 41 | 1 | ID proses server. ID unik untuk mengidentifikasi sesi pengguna. ID ini bersesuaian langsung dengan GUID sesi yang digunakan oleh XML/A. |
| TextData | 42 | 9 | Data teks yang terkait dengan peristiwa. |
| ServerName | 43 | 8 | Nama server yang menghasilkan peristiwa. |