Столбцы данных аудита безопасности
Категория событий «Аудит безопасности» содержит следующие классы событий:
Класс «Аудит входа»
Класс событий «Аудит резервной копии/восстановления»
Класс «Аудит выхода»
Класс «Аудит запуска и остановки сервера»
Класс событий «Аудит разрешения на объект»
В следующих таблицах перечисляются столбцы данных для каждого из этих классов событий.
Класс событий аудита входа — Столбцы данных
Столбец данных |
Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием входа. |
ServerName |
Содержит имя экземпляра служб Microsoft SQL Server Службы Analysis Services, на котором произошло событие входа. |
CurrentTime |
Содержит текущее время события входа. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
NTCanonicalUserName |
Содержит имя пользователя Windows, связанное с событием входа. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, связанное с событием входа. |
StartTime |
Содержит время (при наличии) начала события входа в систему. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
Error |
Содержит номер ошибки, связанной с событием входа. |
Severity |
Содержит уровень серьезности исключения, связанного с событием входа. Допустимы следующие значения: 0 = успешное завершение; 1 = информационное сообщение; 2 = предупреждение; 3 = ошибка. |
Success |
Указывает на успешность или ошибку события входа. Допустимы следующие значения: 0 = неуспешное завершение; 1 = успешное завершение. |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием входа. |
ClientHostName |
Содержит имя компьютера, где произошло событие входа. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием входа. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием входа. |
Столбцы данных — класс событий аудита резервной копии/восстановления
Столбец данных |
Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием резервного копирования или восстановления. |
TextData |
Содержит текстовые данные, связанные с событием резервного копирования или восстановления. |
ServerName |
Содержит имя экземпляра служб Службы Analysis Services, где произошло событие резервного копирования или восстановления. |
DatabaseName |
Содержит имя базы данных, в которой запущена инструкция резервного копирования или восстановления. |
EventSubclass |
Содержит класс событий в рамках событий резервного копирования или восстановления служб Службы Analysis Services. Допустимы следующие значения: 1 = Резервная копия 2 = Восстановление 3 = Синхронизация |
NTCanonicalUserName |
Содержит имя пользователя Windows, связанного с событием резервного копирования или восстановления. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, связанного с событием резервного копирования или восстановления. |
SPID |
Содержит идентификатор серверного процесса (SPID), уникально идентифицирующий пользовательский сеанс, связанный с событием резервного копирования или восстановления. Идентификатор SPID напрямую соответствует идентификатору GUID сеанса, используемому XML для аналитики (XMLA). |
Error |
Содержит номер любой ошибки, связанной с событием резервного копирования или восстановления. |
Severity |
Содержит уровень серьезности исключения, связанного с событием входа. Допустимы следующие значения: 0 = успешное завершение; 1 = информационное сообщение; 2 = предупреждение; 3 = ошибка. |
Success |
Указывает на успешность или ошибку события резервного копирования или восстановления. Допустимы следующие значения: 0 = неуспешное завершение; 1 = успешное завершение. |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием резервного копирования или восстановления. |
ClientHostName |
Содержит имя компьютера, где произошло событие резервного копирования или восстановления. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием резервного копирования или восстановления. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием резервного копирования или восстановления. |
SessionID |
Содержит идентификатор сеанса, связанный с событием резервного копирования или восстановления. |
Столбцы данных — класс событий аудита выхода
Столбец данных |
Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием выхода. |
ServerName |
Содержит имя экземпляра служб Службы Analysis Services, где произошло событие выхода. |
CurrentTime |
Содержит текущее время события выхода. Ожидаемые форматы фильтрации: ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
Duration |
Содержит интервал между событием входа и событием выхода. |
EndTime |
Содержит время, когда событие выхода произошло. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
NTCanonicalUserName |
Содержит имя пользователя Windows, связанное с событием выхода. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, связанное с событием выхода. |
CPUTime |
Указывает количество времени ЦП (в миллисекундах), использованное процессом в интервале между событием входа и событием выхода. |
Success |
Указывает на успешность или ошибку события аудита выхода. Допустимы следующие значения: 0 = неуспешное завершение; 1 = успешное завершение. |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием выхода. |
ClientHostName |
Содержит имя компьютера, где произошло событие выхода. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием выхода. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием выхода. |
Столбцы данных — класс событий аудита запуска и остановки сервера
Столбец данных |
Описание |
|---|---|
TextData |
Содержит текстовые данные, связанные с событием запуска или остановки сервера. |
ServerName |
Содержит имя экземпляра служб Службы Analysis Services, где произошло событие запуска или остановки сервера. |
CurrentTime |
Содержит текущее время события запуска или остановки сервера. Для фильтрации используются форматы ГГГГ-ММ-ДД и ГГГГ-ММ-ДД ЧЧ:ММ:СС. |
EventSubclass |
Содержит класс событий в рамках события запуска или остановки сервера. Допустимы следующие значения: 1 = Экземпляр выключен 2 = Экземпляр запущен 3 = Экземпляр приостановлен 4 = Экземпляр продолжен |
Error |
Содержит номер любой ошибки, связанной с событием запуска или остановки сервера. |
Severity |
Содержит уровень серьезности исключения, связанного с событием запуска или остановки сервера. Допустимы следующие значения: 0 = успешное завершение; 1 = информационное сообщение; 2 = предупреждение; 3 = ошибка. |
Success |
Указывает на успешность или ошибку запуска или остановки сервера. Допустимы следующие значения: 0 = неуспешное завершение; 1 = успешное завершение. |
Столбцы данных — класс событий аудита разрешения на объект
Столбец данных |
Описание |
|---|---|
ConnectionID |
Содержит уникальный идентификатор соединения, связанный с событием разрешения объекта. |
TextData |
Содержит текстовые данные, связанные с событием разрешения объекта. |
ServerName |
Содержит имя экземпляра служб Службы Analysis Services, где произошло событие разрешения объекта. |
DatabaseName |
Содержит имя базы данных, в которой произошло событие разрешения объекта. |
NTCanonicalUserName |
Содержит имя пользователя Windows, сопоставленное с событием разрешения объекта. Имя пользователя указано в канонической форме. Например, engineering.microsoft.com/software/user. |
NTUserName |
Содержит имя пользователя Windows, сопоставленное с событием разрешения объекта. |
ObjectID |
Содержит идентификатор объекта (строку), связанного с событием разрешения объекта. |
ObjectName |
Содержит имя объекта, связанного с событием разрешения объекта. |
ObjectPath |
Содержит путь к объекту, связанному с событием разрешения объекта, в виде списка родительских элементов, разделенных запятой, начинающегося с родительских элементов объекта. |
ObjectReference |
Содержит ссылку на объект для события разрешения объекта, закодированную как XML по всем родительским элементам и использующую теги для описания объекта. |
ObjectType |
Содержит тип объекта, связанного с событием разрешения объекта |
SPID |
Содержит идентификатор серверного процесса (SPID), уникально идентифицирующий пользовательский сеанс, связанный с событием разрешения объекта. Идентификатор SPID напрямую соответствует идентификатору GUID сеанса, используемому XML для аналитики (XMLA). |
Error |
Содержит номер любой ошибки, связанной с событием разрешения объекта. |
Severity |
Содержит уровень серьезности исключения, связанного с событием разрешения объекта. Допустимы следующие значения: 0 = успешное завершение; 1 = информационное сообщение; 2 = предупреждение; 3 = ошибка. |
Success |
Указывает на успешность или ошибку события разрешения объекта. Допустимы следующие значения: 0 = неуспешное завершение; 1 = успешное завершение. |
ApplicationName |
Содержит имя клиентского приложения, связанного с событием разрешения объекта. |
ClientHostName |
Содержит имя компьютера, где произошло событие разрешения объекта. |
ClientProcessID |
Содержит идентификатор клиентского процесса, связанный с событием разрешения объекта. |
NTDomainName |
Содержит учетную запись домена Windows, связанную с событием разрешения объекта. |
SessionID |
Содержит идентификатор сеанса, связанный с событием разрешения объекта. |