Security Audit 데이터 열
Security Audit 이벤트 범주에는 다음과 같은 이벤트 클래스가 있습니다.
| 이벤트 ID | 이벤트 이름 | 이벤트 설명 |
|---|---|---|
| 1 | 로그인 감사 | 클라이언트가 SQL Server의 인스턴스를 실행하는 서버에 대한 연결을 요청하는 경우와 같이 추적이 시작된 이후의 새 연결 이벤트를 모두 수집합니다. |
| 2 | 로그아웃 감사 | 클라이언트가 연결 끊기 명령을 보내는 등 추적이 시작된 이후의 새 연결 끊기 이벤트를 모두 수집합니다. |
| 4 | 서버 시작 및 중지 감사 | 서비스 종료, 시작 및 일시 중지 동작을 기록합니다. |
| 18 | Audit Object Permission Event | 개체 사용 권한의 변경 내용을 기록합니다. |
| 19 | Audit Admin Operations Event | 서버 백업, 복원, 동기화, 연결, 분리, 이미지 로드 및 이미지 저장을 기록합니다. |
다음 표에서는 이러한 각 이벤트 클래스에 대한 데이터 열을 나열합니다.
로그인 감사
| 열 이름 | 열 ID | 열 유형 | 열 설명 |
|---|---|---|---|
| EventClass | 0 | 1 | 이벤트 분류에 사용되는 이벤트 클래스입니다. |
| CurrentTime | 2 | 5 | 사용 가능한 경우 이벤트가 시작된 시간입니다. 필터링 형식은 'YYYY-MM-DD' 및 'YYYY-MM-DD HH:MM:SS'입니다. |
| StartTime | 3 | 5 | 사용 가능한 경우 이벤트가 시작된 시간입니다. 필터링 형식은 'YYYY-MM-DD' 및 'YYYY-MM-DD HH:MM:SS'입니다. |
| 심각도 | 22 | 1 | 예외의 심각도입니다. |
| Success | 23 | 1 | 1 = 성공. 0 = 실패. (예를 들어 1은 사용 권한 확인이 성공했음을 의미하고, 0은 확인이 실패했음을 의미합니다.) |
| Error | 24 | 1 | 지정된 이벤트의 오류 번호입니다. |
| ConnectionID | 25 | 1 | 고유한 연결 ID입니다. |
| NTUserName | 32 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) - UPN 또는 SPN(Power BI 서비스)을 대신하여 Power BI 서비스(UPN/SPN)) |
| NTDomainName | 33 | 8 | 명령 이벤트를 트리거한 사용자 계정과 연결된 도메인 이름을 포함합니다. - Windows 사용자 계정 의 Windows 도메인 이름 - Microsoft Entra 계정 용 AzureAD - windows 도메인 이름이 없는 NT AUTHORITY 계정(예: Power BI 서비스 |
| ClientHostName | 35 | 8 | 클라이언트를 실행 중인 컴퓨터 이름입니다. 클라이언트가 호스트 이름을 제공하면 이 데이터 열이 채워집니다. |
| ClientProcessID | 36 | 1 | 클라이언트 애플리케이션의 프로세스 ID입니다. |
| ApplicationName | 37 | 8 | 서버에 대한 연결을 만든 클라이언트 애플리케이션의 이름입니다. 이 열은 프로그램의 표시 이름이 아니라 애플리케이션에서 전달한 값으로 채워집니다. |
| NTCanonicalUserName | 40 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) |
| ServerName | 43 | 8 | 이벤트를 생성하는 서버의 이름입니다. |
로그아웃 감사
| 열 이름 | 열 ID | 열 형식 | 열 설명 |
|---|---|---|---|
| EventClass | 0 | 1 | 이벤트 분류에 사용되는 이벤트 클래스입니다. |
| CurrentTime | 2 | 5 | 사용 가능한 경우 이벤트가 시작된 시간입니다. 필터링 형식은 'YYYY-MM-DD' 및 'YYYY-MM-DD HH:MM:SS'입니다. |
| EndTime | 4 | 5 | 이벤트가 종료된 시간입니다. 이 열은 SQL:BatchStarting 또는 SP:Starting과 같은 시작하는 이벤트 클래스의 경우 채워지지 않습니다. 필터링 형식은 'YYYY-MM-DD' 및 'YYYY-MM-DD HH:MM:SS'입니다. |
| Duration | 5 | 2 | 이벤트에서 사용한 시간(밀리초)입니다. |
| CPUTime | 6 | 2 | 이벤트에 의해 사용된 CPU 시간(밀리초)입니다. |
| Success | 23 | 1 | 1 = 성공. 0 = 실패. (예를 들어 1은 사용 권한 확인이 성공했음을 의미하고, 0은 확인이 실패했음을 의미합니다.) |
| ConnectionID | 25 | 1 | 고유한 연결 ID입니다. |
| NTUserName | 32 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) - UPN 또는 SPN(Power BI 서비스)을 대신하여 Power BI 서비스(UPN/SPN)) |
| NTDomainName | 33 | 8 | 명령 이벤트를 트리거한 사용자 계정과 연결된 도메인 이름을 포함합니다. - Windows 사용자 계정 의 Windows 도메인 이름 - Microsoft Entra 계정 용 AzureAD - windows 도메인 이름이 없는 NT AUTHORITY 계정(예: Power BI 서비스 |
| ClientHostName | 35 | 8 | 클라이언트를 실행 중인 컴퓨터 이름입니다. 클라이언트가 호스트 이름을 제공하면 이 데이터 열이 채워집니다. |
| ClientProcessID | 36 | 1 | 클라이언트 애플리케이션의 프로세스 ID입니다. |
| ApplicationName | 37 | 8 | 서버에 대한 연결을 만든 클라이언트 애플리케이션의 이름입니다. 이 열은 프로그램의 표시 이름이 아니라 애플리케이션에서 전달한 값으로 채워집니다. |
| NTCanonicalUserName | 40 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름)(username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) |
| ServerName | 43 | 8 | 이벤트를 생성하는 서버의 이름입니다. |
서버 시작 및 중지 감사
| 열 이름 | 열 ID | 열 형식 | 열 설명 |
|---|---|---|---|
| EventClass | 0 | 1 | 이벤트 분류에 사용되는 이벤트 클래스입니다. |
| EventSubclass | 1 | 1 | 이벤트 하위 클래스는 각 이벤트 클래스에 대한 추가 정보를 제공합니다. 1: 인스턴스 종료 2: 인스턴스 시작 3: 인스턴스 일시 중지 4: 인스턴스 계속 |
| CurrentTime | 2 | 5 | 사용 가능한 경우 이벤트가 시작된 시간입니다. 필터링 형식은 'YYYY-MM-DD' 및 'YYYY-MM-DD HH:MM:SS'입니다. |
| 심각도 | 22 | 1 | 예외의 심각도입니다. |
| Success | 23 | 1 | 1 = 성공. 0 = 실패. (예를 들어 1은 사용 권한 확인이 성공했음을 의미하고, 0은 확인이 실패했음을 의미합니다.) |
| Error | 24 | 1 | 지정된 이벤트의 오류 번호입니다. |
| TextData | 42 | 9 | 이벤트와 연결된 텍스트 데이터입니다. |
| ServerName | 43 | 8 | 이벤트를 생성하는 서버의 이름입니다. |
Audit Object Permission Event
| 열 이름 | 열 ID | 열 형식 | 열 설명 |
|---|---|---|---|
| ObjectID | 11 | 8 | 개체 ID(문자열)입니다. |
| ObjectType | 12 | 1 | 개체 유형입니다. |
| ObjectName | 13 | 8 | 개체 이름입니다. |
| ObjectPath | 14 | 8 | 개체 경로입니다. 개체의 부모로 시작하는 쉼표로 구분된 부모 목록입니다. |
| ObjectReference | 15 | 8 | 개체 참조로, 개체를 설명하는 태그를 사용하여 모든 부모에 대한 XML로 인코딩됩니다. |
| 심각도 | 22 | 1 | 예외의 심각도입니다. |
| Success | 23 | 1 | 1 = 성공. 0 = 실패. (예를 들어 1은 사용 권한 확인이 성공했음을 의미하고, 0은 확인이 실패했음을 의미합니다.) |
| Error | 24 | 1 | 지정된 이벤트의 오류 번호입니다. |
| ConnectionID | 25 | 1 | 고유한 연결 ID입니다. |
| DatabaseName | 28 | 8 | 사용자 문이 실행되는 데이터베이스의 이름입니다. |
| NTUserName | 32 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) - UPN 또는 SPN(Power BI 서비스)을 대신하여 Power BI 서비스(UPN/SPN)) |
| NTDomainName | 33 | 8 | 명령 이벤트를 트리거한 사용자 계정과 연결된 도메인 이름을 포함합니다. - Windows 사용자 계정 의 Windows 도메인 이름 - Microsoft Entra 계정 용 AzureAD - windows 도메인 이름이 없는 NT AUTHORITY 계정(예: Power BI 서비스 |
| ClientHostName | 35 | 8 | 클라이언트를 실행 중인 컴퓨터 이름입니다. 클라이언트가 호스트 이름을 제공하면 이 데이터 열이 채워집니다. |
| ClientProcessID | 36 | 1 | 클라이언트 애플리케이션의 프로세스 ID입니다. |
| ApplicationName | 37 | 8 | 서버에 대한 연결을 만든 클라이언트 애플리케이션의 이름입니다. 이 열은 프로그램의 표시 이름이 아니라 애플리케이션에서 전달한 값으로 채워집니다. |
| SessionID | 39 | 8 | 세션 GUID입니다. |
| NTCanonicalUserName | 40 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) |
| SPID | 41 | 1 | 서버 프로세스 ID입니다. 사용자 세션을 고유하게 식별합니다. 이는 XML/A에서 사용하는 세션 GUID에 해당합니다. |
| TextData | 42 | 9 | 이벤트와 연결된 텍스트 데이터입니다. |
| ServerName | 43 | 8 | 이벤트를 생성하는 서버의 이름입니다. |
Audit Admin Operations Event
| 열 이름 | 열 ID | 열 형식 | 열 설명 |
|---|---|---|---|
| EventSubclass | 1 | 1 | 이벤트 하위 클래스는 각 이벤트 클래스에 대한 추가 정보를 제공합니다. 1: 백업 2: 복원 3: 동기화 4: 분리 5: 연결 6: ImageLoad 7: ImageSave |
| 심각도 | 22 | 1 | 예외의 심각도입니다. |
| Success | 23 | 1 | 1 = 성공. 0 = 실패. (예를 들어 1은 사용 권한 확인이 성공했음을 의미하고, 0은 확인이 실패했음을 의미합니다.) |
| Error | 24 | 1 | 지정된 이벤트의 오류 번호입니다. |
| ConnectionID | 25 | 1 | 고유한 연결 ID입니다. |
| DatabaseName | 28 | 8 | 사용자 문이 실행되는 데이터베이스의 이름입니다. |
| NTUserName | 32 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) - UPN 또는 SPN(Power BI 서비스)을 대신하여 Power BI 서비스(UPN/SPN)) |
| NTDomainName | 33 | 8 | 명령 이벤트를 트리거한 사용자 계정과 연결된 도메인 이름을 포함합니다. - Windows 사용자 계정 의 Windows 도메인 이름 - Microsoft Entra 계정 용 AzureAD - windows 도메인 이름이 없는 NT AUTHORITY 계정(예: Power BI 서비스 |
| ClientHostName | 35 | 8 | 클라이언트를 실행 중인 컴퓨터 이름입니다. 클라이언트가 호스트 이름을 제공하면 이 데이터 열이 채워집니다. |
| ClientProcessID | 36 | 1 | 클라이언트 애플리케이션의 프로세스 ID입니다. |
| ApplicationName | 37 | 8 | 서버에 대한 연결을 만든 클라이언트 애플리케이션의 이름입니다. 이 열은 프로그램의 표시 이름이 아니라 애플리케이션에서 전달한 값으로 채워집니다. |
| SessionID | 39 | 8 | 세션 GUID입니다. |
| NTCanonicalUserName | 40 | 8 | 명령 이벤트와 연결된 사용자 이름을 포함합니다. 환경에 따라 사용자 이름은 다음과 같은 형식 입니다. - Windows 사용자 계정(DOMAIN\UserName) - UPN(사용자 계정 이름) (username@domain.com) - SPN(서비스 사용자 이름)(appid@tenantid) - Power BI 서비스 계정(Power BI 서비스) |
| SPID | 41 | 1 | 서버 프로세스 ID입니다. 사용자 세션을 고유하게 식별합니다. 이는 XML/A에서 사용하는 세션 GUID에 해당합니다. |
| TextData | 42 | 9 | 이벤트와 연결된 텍스트 데이터입니다. |
| ServerName | 43 | 8 | 이벤트를 생성하는 서버의 이름입니다. |