Colonnes de données Audit de sécurité
La catégorie d'événement Audit de sécurité contient les classes d'événements suivantes :
| ID de l'événement | Nom de l’événement | Description de l'événement |
|---|---|---|
| 1 | Audit Login | Collecte tous les événements de connexion depuis le début de la trace, telle qu'une demande de connexion d'un client à un serveur qui exécute une instance de SQL Server. |
| 2 | Audit Logout | Collecte tous les nouveaux événements de déconnexion depuis le début de la trace, telle que l'émission par un client d'une commande de déconnexion. |
| 4 | Audit Server Starts And Stops | Enregistre l'arrêt du service, le début et la suspension des activités des services. |
| 18 | Audit Object Permission Event | Enregistre les modifications d'autorisations sur les objets. |
| 19 | Audit Admin Operations Event | Enregistre la sauvegarde/la restauration/la synchronisation/l'attachement/le détachement/le chargement d'image/l'enregistrement d'image. |
Les tableaux suivants répertorient les colonnes de données de chacune de ces classes d'événements.
Audit Login
| Nom de la colonne | ID de la colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventClass | 0 | 1 | La classe Événements sert à catégoriser les événements. |
| CurrentTime | 2 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| StartTime | 3 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (service Power BI) |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Logout
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventClass | 0 | 1 | La classe Événements sert à catégoriser les événements. |
| CurrentTime | 2 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| EndTime | 4 | 5 | Heure de fin de l'événement. Cette colonne n'est pas remplie pour les classes d'événements de démarrage, comme SQL:BatchStarting ou SP:Starting. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| Duration | 5 | 2 | Temps (en millisecondes) pris par l'événement. |
| CPUTime | 6 | 2 | Temps processeur (en millisecondes) utilisé par l'événement. |
| Succès | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) () -username@domain.com Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, comme le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Server Starts And Stops
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventClass | 0 | 1 | La classe Événements sert à catégoriser les événements. |
| EventSubclass | 1 | 1 | La sous-classe d’événements fournit des informations supplémentaires sur chaque classe d’événements : 1 : Arrêt de l’instance 2 : Instance démarrée 3 : Instance suspendue 4 : Poursuite de l’instance |
| CurrentTime | 2 | 5 | Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ». |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| TextData | 42 | 9 | Données texte associées à l'événement. |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Object Permission Event
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| ObjectID | 11 | 8 | ID d'objet (notez il s'agit d'une chaîne). |
| ObjectType | 12 | 1 | Type d'objet. |
| ObjectName | 13 | 8 | Nom d’objet |
| ObjectPath | 14 | 8 | Chemin d'accès de l'objet. Liste de parents séparés par une virgule, commençant par le parent de l'objet. |
| ObjectReference | 15 | 8 | Référence de l'objet. Encodée au format XML pour tous les parents, en utilisant des balises pour décrire l'objet. |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| nom_base_de_données | 28 | 8 | Nom de la base de données dans laquelle l'instruction de l'utilisateur s'exécute. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| SessionID | 39 | 8 | GUID de session. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (service Power BI) |
| SPID | 41 | 1 | ID de processus du serveur. Cela identifie de façon unique une session utilisateur. Cela correspond directement au GUID de session utilisé par XML/A. |
| TextData | 42 | 9 | Données texte associées à l'événement. |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |
Audit Admin Operations Event
| Nom de la colonne | ID de colonne | Type de colonne | Description de la colonne |
|---|---|---|---|
| EventSubclass | 1 | 1 | La sous-classe d’événements fournit des informations supplémentaires sur chaque classe d’événements : 1 : Backup 2 : Restore 3 : Synchronize 4 : Detach 5 : Attach 6 : ImageLoad 7 : ImageSave |
| Gravité | 22 | 1 | Niveau de gravité d'une exception. |
| Réussite | 23 | 1 | 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification). |
| Erreur | 24 | 1 | Numéro d'erreur d'un événement donné. |
| ConnectionID | 25 | 1 | ID de connexion unique. |
| nom_base_de_données | 28 | 8 | Nom de la base de données dans laquelle l'instruction de l'utilisateur s'exécute. |
| NTUserName | 32 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (Service Power BI) - Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande. - Nom de domaine Windows pour les comptes d’utilisateur Windows - AzureAD pour les comptes Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI |
| ClientHostName | 35 | 8 | Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client. |
| ClientProcessID | 36 | 1 | ID de traitement de l'application cliente. |
| ApplicationName | 37 | 8 | Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme. |
| SessionID | 39 | 8 | GUID de session. |
| NTCanonicalUserName | 40 | 8 | Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante : - Compte d’utilisateur Windows (DOMAIN\UserName) - Nom d’utilisateur principal (UPN) (username@domain.com) - Nom du principal du service (SPN) (appid@tenantid) - Compte de service Power BI (service Power BI) |
| SPID | 41 | 1 | ID de processus du serveur. Cela identifie de façon unique une session utilisateur. Cela correspond directement au GUID de session utilisé par XML/A. |
| TextData | 42 | 9 | Données texte associées à l'événement. |
| ServerName | 43 | 8 | Nom du serveur produisant l'événement. |