Colunas de dados de auditoria de segurança
A categoria de evento Security Audit tem as seguintes classes de evento:
ID do evento |
Nome do evento |
Descrição do evento |
1 |
Audit Login |
Coleta todos os novos eventos de conexão desde o início do rastreamento; por exemplo, quando um cliente solicita uma conexão a um servidor executando uma instância do SQL Server. |
2 |
Audit Logout |
Coleta todos os novos eventos de desconexão desde o início do rastreamento; por exemplo, quando um cliente emite um comando de desconexão. |
4 |
Audit Server Starts And Stops |
Registra as atividades de desligar, iniciar e pausar serviço. |
18 |
Audit Object Permission Event |
Registra alterações na permissão do objeto. |
19 |
Evento de Operações de Administração de Auditoria |
Registra backup/restore/synchronize/attach/detach/imageload/imagesave do servidor. |
As tabelas a seguir listam as colunas de dados de cada uma dessas classes de evento.
Audit Login
Nome da coluna |
Id da coluna |
Tipo de coluna |
Descrição da coluna |
EventClass |
0 |
1 |
A classe de evento é usada para categorizar eventos. |
CurrentTime |
2 |
5 |
Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
StartTime |
3 |
5 |
Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
Severidade |
22 |
1 |
Nível de severidade de uma exceção. |
Êxito |
23 |
1 |
1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação). |
Erro |
24 |
1 |
Número de erro de um determinado evento. |
ConnectionID |
25 |
1 |
ID de conexão exclusiva. |
NTUserName |
32 |
8 |
Nome de usuário do Windows. |
NTDomainName |
33 |
8 |
Domínio do Windows ao qual o usuário pertence. |
ClientHostName |
35 |
8 |
Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
ClientProcessID |
36 |
1 |
A ID do processo do aplicativo do cliente. |
ApplicationName |
37 |
8 |
Nome do aplicativo cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa. |
NTCanonicalUserName |
40 |
8 |
Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone. |
ServerName |
43 |
8 |
Nome do servidor que gera o evento. |
Audit Logout
Nome da coluna |
Id da coluna |
Tipo de coluna |
Descrição da coluna |
|---|---|---|---|
EventClass |
0 |
1 |
A classe de evento é usada para categorizar eventos. |
CurrentTime |
2 |
5 |
Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
EndTime |
4 |
5 |
Horário em que o evento foi encerrado. Esta coluna não é populada para classes de evento iniciais, como SQL:BatchStarting ou SP:Starting. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
Duração |
5 |
2 |
Período de tempo (em milissegundos) utilizado pelo evento. |
CPUTime |
6 |
2 |
Tempo da CPU (em milissegundos) usado pelo evento. |
Êxito |
23 |
1 |
1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação). |
ConnectionID |
25 |
1 |
ID de conexão exclusiva. |
NTUserName |
32 |
8 |
Nome de usuário do Windows. |
NTDomainName |
33 |
8 |
Domínio do Windows ao qual o usuário pertence. |
ClientHostName |
35 |
8 |
Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
ClientProcessID |
36 |
1 |
A ID do processo do aplicativo cliente. |
ApplicationName |
37 |
8 |
Nome do aplicativo cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa. |
NTCanonicalUserName |
40 |
8 |
Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone. |
ServerName |
43 |
8 |
O nome do servidor que gera o evento. |
Audit Server Starts And Stops
Nome da coluna |
Id da coluna |
Tipo de coluna |
Descrição da coluna |
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
EventClass |
0 |
1 |
A classe de evento é usada para categorizar eventos. |
||||||||||
EventSubclass |
1 |
1 |
A subclasse de evento fornece informações adicionais sobre cada classe de evento.
|
||||||||||
CurrentTime |
2 |
5 |
Horário de início do evento, quando disponível. Para filtragem, os formatos esperados são 'AAAA-MM-DD' e 'AAAA-MM-DD HH:MM:SS'. |
||||||||||
Severity |
22 |
1 |
Nível de severidade de uma exceção. |
||||||||||
Êxito |
23 |
1 |
1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação). |
||||||||||
Erro |
24 |
1 |
Número de erro de um determinado evento. |
||||||||||
TextData |
42 |
9 |
Dados de texto associados ao evento. |
||||||||||
ServerName |
43 |
8 |
O nome do servidor que gera o evento. |
Audit Object Permission Event
Nome da coluna |
Id da coluna |
Tipo de coluna |
Descrição da coluna |
|---|---|---|---|
ObjectID |
11 |
8 |
ID do objeto (note que esta é uma cadeia de caracteres). |
ObjectType |
12 |
1 |
Tipo de objeto. |
ObjectName |
13 |
8 |
Nome do objeto. |
ObjectPath |
14 |
8 |
Caminho do objeto. Uma lista de pais separados por vírgulas, começando com o pai do objeto. |
ObjectReference |
15 |
8 |
Referência ao objeto. Codificado como XML para todos os pais, usando marcas para descrever o objeto. |
Severity |
22 |
1 |
Nível de severidade de uma exceção. |
Êxito |
23 |
1 |
1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação). |
Erro |
24 |
1 |
Número de erro de um determinado evento. |
ConnectionID |
25 |
1 |
ID de conexão exclusiva. |
DatabaseName |
28 |
8 |
Nome do banco de dados em que a instrução do usuário está em execução. |
NTUserName |
32 |
8 |
Nome de usuário do Windows. |
NTDomainName |
33 |
8 |
Domínio do Windows ao qual o usuário pertence. |
ClientHostName |
35 |
8 |
Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
ClientProcessID |
36 |
1 |
A ID do processo do aplicativo cliente. |
ApplicationName |
37 |
8 |
Nome do aplicativo cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa. |
SessionID |
39 |
8 |
GUID da sessão. |
NTCanonicalUserName |
40 |
8 |
Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone. |
SPID |
41 |
1 |
ID do processo de servidor. Identifica exclusivamente uma sessão de usuário. Corresponde diretamente à GUID de sessão usada por XML/A. |
TextData |
42 |
9 |
Dados de texto associados ao evento. |
ServerName |
43 |
8 |
Nome do servidor que gera o evento. |
Evento de Operações de Administração de Auditoria
Nome da coluna |
Id da coluna |
Tipo de coluna |
Descrição da coluna |
||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
EventSubclass |
1 |
1 |
A subclasse de evento oferece informações adicionais sobre cada classe de evento.
|
||||||||||||||||
Severity |
22 |
1 |
Nível de severidade de uma exceção. |
||||||||||||||||
Êxito |
23 |
1 |
1 = êxito. 0 = falha (por exemplo, 1 significa êxito de uma verificação de permissões e 0 significa uma falha dessa verificação). |
||||||||||||||||
Erro |
24 |
1 |
Número de erro de um determinado evento. |
||||||||||||||||
ConnectionID |
25 |
1 |
ID de conexão exclusiva. |
||||||||||||||||
DatabaseName |
28 |
8 |
Nome do banco de dados no qual a instrução do usuário está em execução. |
||||||||||||||||
NTUserName |
32 |
8 |
Nome de usuário do Windows. |
||||||||||||||||
NTDomainName |
33 |
8 |
Domínio do Windows ao qual o usuário pertence. |
||||||||||||||||
ClientHostName |
35 |
8 |
Nome do computador no qual o cliente está sendo executado. Essa coluna de dados será populada se o nome do host for fornecido pelo cliente. |
||||||||||||||||
ClientProcessID |
36 |
1 |
A ID do processo do aplicativo cliente. |
||||||||||||||||
ApplicationName |
37 |
8 |
Nome da aplicação cliente que criou a conexão ao servidor. Esta coluna é populada com os valores passados pelo aplicativo, e não com o nome exibido do programa. |
||||||||||||||||
SessionID |
39 |
8 |
GUID da sessão. |
||||||||||||||||
NTCanonicalUserName |
40 |
8 |
Nome de usuário em formato canônico. Por exemplo, engineering.microsoft.com/software/someone. |
||||||||||||||||
SPID |
41 |
1 |
ID de processo do servidor. Identifica exclusivamente uma sessão de usuário. Corresponde diretamente ao GUID de sessão usado pelo XML/A. |
||||||||||||||||
TextData |
42 |
9 |
Dados de texto associados ao evento. |
||||||||||||||||
ServerName |
43 |
8 |
Nome do servidor que gera o evento. |