Security Audit のデータ列
セキュリティ監査イベント カテゴリには、次のイベント クラスがあります。
| イベント ID | イベント名 | イベントの説明 |
|---|---|---|
| 1 | Audit Login | SQL Server のインスタンスを実行するサーバーへの接続をクライアントが要求したときなど、トレースが開始された後の接続イベントをすべて収集します。 |
| 2 | Audit Logout | クライアントが切断コマンドを発行したときなど、トレースが開始された後の切断イベントをすべて収集します。 |
| 4 | Audit Server Starts And Stops | サービスのシャットダウン、起動、一時停止のアクティビティを記録します。 |
| 18 | Audit Object Permission Event | オブジェクト権限の変更を記録します。 |
| 19 | Audit Admin Operations Even | サーバーのバックアップ/復元/同期/アタッチ/デタッチ/イメージ読み込み/イメージ保存を記録します。 |
次の表は、これらのイベント クラスのデータ列の一覧です。
Audit Login
| 列名 | 列 ID | 列の型 | 列の説明 |
|---|---|---|---|
| EventClass | 0 | 1 | イベント クラスを使用してイベントを分類します。 |
| CurrentTime | 2 | 5 | イベントの開始時刻 (取得できた場合)。 フィルター選択を行うには、'YYYY-MM-DD' および 'YYYY-MM-DD HH:MM:SS' の形式である必要があります。 |
| StartTime | 3 | 5 | イベントの開始時刻 (取得できた場合)。 フィルター選択を行うには、'YYYY-MM-DD' および 'YYYY-MM-DD HH:MM:SS' の形式である必要があります。 |
| 重大度 | 22 | 1 | 例外の重要度レベルです。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (たとえば、1 は権限チェックの成功を表し、0 は失敗を表します)。 |
| エラー | 24 | 1 | 指定されたイベントのエラー番号です。 |
| ConnectionID | 25 | 1 | 一意な接続 ID です。 |
| NTUserName | 32 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境に応じて、ユーザー名は次の形式 になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) - UPN または SPN の代わりに Power BI サービス (Power BI サービス (UPN/SPN)) |
| NTDomainName | 33 | 8 | コマンド イベントをトリガーしたユーザー アカウントに関連付けられているドメイン名が含まれます。 - Windows ユーザー アカウント の Windows ドメイン名 - Microsoft Entra アカウント の場合は AzureAD - Windows ドメイン名のない NT AUTHORITY アカウント (Power BI サービスなど) |
| ClientHostName | 35 | 8 | クライアントが実行されているコンピューターの名前。 このデータ列には、クライアントがホスト名を指定している場合にデータが格納されます。 |
| ClientProcessID | 36 | 1 | クライアント アプリケーションのプロセス ID。 |
| ApplicationName | 37 | 8 | サーバーへの接続を作成したクライアント アプリケーションの名前です。 この列には、プログラムの表示名ではなく、アプリケーションによって渡された値が格納されます。 |
| NTCanonicalUserName | 40 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境に応じて、ユーザー名は次の形式になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) |
| ServerName | 43 | 8 | イベントを生成したサーバーの名前。 |
Audit Logout
| 列名 | 列 ID | 列の型 | 列の説明 |
|---|---|---|---|
| EventClass | 0 | 1 | イベント クラスを使用してイベントを分類します。 |
| CurrentTime | 2 | 5 | イベントの開始時刻 (取得できた場合)。 フィルター選択を行うには、'YYYY-MM-DD' および 'YYYY-MM-DD HH:MM:SS' の形式である必要があります。 |
| EndTime | 4 | 5 | イベントの終了時刻。 SQL:BatchStarting や SP:Starting などの開始イベント クラスについては、この列に値が格納されません。 フィルター選択を行うには、'YYYY-MM-DD' および 'YYYY-MM-DD HH:MM:SS' の形式である必要があります。 |
| Duration | 5 | 2 | イベントの実行にかかった時間です (ミリ秒)。 |
| CPUTime | 6 | 2 | イベントに使用された CPU 時間 (ミリ秒単位)。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (たとえば、1 は権限チェックの成功を表し、0 は失敗を表します)。 |
| ConnectionID | 25 | 1 | 一意な接続 ID です。 |
| NTUserName | 32 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境によっては、ユーザー名は次の形式 になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) - UPN または SPN に代わって Power BI サービス (Power BI Service (UPN/SPN)) |
| NTDomainName | 33 | 8 | コマンド イベントをトリガーしたユーザー アカウントに関連付けられているドメイン名が含まれます。 - Windows ユーザー アカウント の Windows ドメイン名 - Microsoft Entra アカウント の場合は AzureAD - Windows ドメイン名のない NT AUTHORITY アカウント (Power BI サービスなど) |
| ClientHostName | 35 | 8 | クライアントが実行されているコンピューターの名前。 このデータ列には、クライアントがホスト名を指定している場合にデータが格納されます。 |
| ClientProcessID | 36 | 1 | クライアント アプリケーションのプロセス ID。 |
| ApplicationName | 37 | 8 | サーバーへの接続を作成したクライアント アプリケーションの名前です。 この列には、プログラムの表示名ではなく、アプリケーションによって渡された値が格納されます。 |
| NTCanonicalUserName | 40 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境によっては、ユーザー名は次の形式 になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) |
| ServerName | 43 | 8 | イベントを生成したサーバーの名前。 |
Audit Server Starts And Stops
| 列名 | 列 ID | 列の型 | 列の説明 |
|---|---|---|---|
| EventClass | 0 | 1 | イベント クラスを使用してイベントを分類します。 |
| EventSubclass | 1 | 1 | イベント サブクラスにより、各イベント クラスに関する追加情報が提供されます。 1: インスタンスのシャットダウン 2: インスタンスの起動 3: インスタンスの一時停止 4: インスタンスの続行 |
| CurrentTime | 2 | 5 | イベントの開始時刻 (取得できた場合)。 フィルター選択を行うには、'YYYY-MM-DD' および 'YYYY-MM-DD HH:MM:SS' の形式である必要があります。 |
| 重大度 | 22 | 1 | 例外の重要度レベルです。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (たとえば、1 は権限チェックの成功を表し、0 は失敗を表します)。 |
| エラー | 24 | 1 | 指定されたイベントのエラー番号です。 |
| TextData | 42 | 9 | イベントに関連付けられているテキスト データ。 |
| ServerName | 43 | 8 | イベントを生成したサーバーの名前。 |
Audit Object Permission Event
| 列名 | 列 ID | 列の型 | 列の説明 |
|---|---|---|---|
| ObjectID | 11 | 8 | オブジェクト ID (文字列です)。 |
| ObjectType | 12 | 1 | オブジェクトの種類です。 |
| ObjectName | 13 | 8 | オブジェクト名 |
| ObjectPath | 14 | 8 | オブジェクトのパス。 そのオブジェクトの親から始まり、各親がコンマで区切られた一覧です。 |
| ObjectReference | 15 | 8 | オブジェクト参照。 タグを使用してオブジェクトを記述することにより、すべての親の XML としてエンコードされます。 |
| 重大度 | 22 | 1 | 例外の重要度レベルです。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (たとえば、1 は権限チェックの成功を表し、0 は失敗を表します)。 |
| エラー | 24 | 1 | 指定されたイベントのエラー番号です。 |
| ConnectionID | 25 | 1 | 一意な接続 ID です。 |
| DatabaseName | 28 | 8 | ユーザーのステートメントが実行されているデータベースの名前。 |
| NTUserName | 32 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境によっては、ユーザー名は次の形式 になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) - UPN または SPN に代わって Power BI サービス (Power BI Service (UPN/SPN)) |
| NTDomainName | 33 | 8 | コマンド イベントをトリガーしたユーザー アカウントに関連付けられているドメイン名が含まれます。 - Windows ユーザー アカウント の Windows ドメイン名 - Microsoft Entra アカウント の場合は AzureAD - Windows ドメイン名のない NT AUTHORITY アカウント (Power BI サービスなど) |
| ClientHostName | 35 | 8 | クライアントが実行されているコンピューターの名前。 このデータ列には、クライアントがホスト名を指定している場合にデータが格納されます。 |
| ClientProcessID | 36 | 1 | クライアント アプリケーションのプロセス ID。 |
| ApplicationName | 37 | 8 | サーバーへの接続を作成したクライアント アプリケーションの名前です。 この列には、プログラムの表示名ではなく、アプリケーションによって渡された値が格納されます。 |
| SessionID | 39 | 8 | セッション GUID。 |
| NTCanonicalUserName | 40 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境によっては、ユーザー名は次の形式 になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) |
| SPID | 41 | 1 | サーバー プロセス ID です。 これにより、ユーザー セッションを一意に識別します。 これは、XML/A によって使用されるセッション GUID と直接対応します。 |
| TextData | 42 | 9 | イベントに関連付けられているテキスト データ。 |
| ServerName | 43 | 8 | イベントを生成したサーバーの名前。 |
Audit Admin Operations Even
| 列名 | 列 ID | 列の型 | 列の説明 |
|---|---|---|---|
| EventSubclass | 1 | 1 | イベント サブクラスにより、各イベント クラスに関する追加情報が提供されます。 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| 重大度 | 22 | 1 | 例外の重要度レベルです。 |
| Success | 23 | 1 | 1 = 成功。 0 = 失敗 (たとえば、1 は権限チェックの成功を表し、0 は失敗を表します)。 |
| エラー | 24 | 1 | 指定されたイベントのエラー番号です。 |
| ConnectionID | 25 | 1 | 一意な接続 ID です。 |
| DatabaseName | 28 | 8 | ユーザーのステートメントが実行されているデータベースの名前。 |
| NTUserName | 32 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境に応じて、ユーザー名は次の形式 になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) - UPN または SPN の代わりに Power BI サービス (Power BI サービス (UPN/SPN)) |
| NTDomainName | 33 | 8 | コマンド イベントをトリガーしたユーザー アカウントに関連付けられているドメイン名が含まれます。 - Windows ユーザー アカウント の Windows ドメイン名 - Microsoft Entra アカウント の場合は AzureAD - Windows ドメイン名のない NT AUTHORITY アカウント (Power BI サービスなど) |
| ClientHostName | 35 | 8 | クライアントが実行されているコンピューターの名前。 このデータ列には、クライアントがホスト名を指定している場合にデータが格納されます。 |
| ClientProcessID | 36 | 1 | クライアント アプリケーションのプロセス ID。 |
| ApplicationName | 37 | 8 | サーバーへの接続を作成したクライアント アプリケーションの名前です。 この列には、プログラムの表示名ではなく、アプリケーションによって渡された値が格納されます。 |
| SessionID | 39 | 8 | セッション GUID。 |
| NTCanonicalUserName | 40 | 8 | コマンド イベントに関連付けられているユーザー名を格納します。 環境に応じて、ユーザー名は次の形式になります。 - Windows ユーザー アカウント (DOMAIN\UserName) - ユーザー プリンシパル名 (UPN) (username@domain.com) - サービス プリンシパル名 (SPN) (appid@tenantid) - Power BI サービス アカウント (Power BI サービス) |
| SPID | 41 | 1 | サーバー プロセス ID です。 これにより、ユーザー セッションを一意に識別します。 これは、XML/A によって使用されるセッション GUID と直接対応します。 |
| TextData | 42 | 9 | イベントに関連付けられているテキスト データ。 |
| ServerName | 43 | 8 | イベントを生成したサーバーの名前。 |