Colonne di dati degli eventi di controllo di sicurezza
La categoria di eventi Controllo di sicurezza include le classi di eventi seguenti:
| ID evento | Nome evento | Descrizione evento |
|---|---|---|
| 1 | Audit Login | Raccoglie tutti i nuovi eventi di connessione generati dopo l'avvio della traccia, ad esempio quando un client richiede una connessione a un server che esegue un'istanza di SQL Server. |
| 2 | Audit Logout | Raccoglie tutti i nuovi eventi di disconnessione generati dopo l'avvio della traccia, ad esempio quando un client esegue un comando di disconnessione. |
| 4 | Inizi e arresti server di controllo | Registra le attività di chiusura, avvio e sospensione. |
| 18 | Audit Object Permission Event | Registra le modifiche alle autorizzazioni per gli oggetti. |
| 19 | Audit Admin Operations Event | Registra operazioni del server per eseguire il backup, il ripristino, la sincronizzazione, il collegamento, lo scollegamento, il caricamento o il salvataggio di immagini. |
Nelle tabelle seguenti vengono elencate le colonne di dati per ognuna di queste classi di eventi.
Audit Login
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventClass | 0 | 1 | La classe di evento viene usata per suddividere gli eventi in categorie. |
| CurrentTime | 2 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| StartTime | 3 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Windows account utente (DOMAIN\UserName) - Nome dell'entità utente (UPN) ( username@domain.com ) - Nome dell'entità servizio (SPN) ( appid@tenantid ) - Power BI servizio di gestione (Power BI Service) - Power BI per conto di un UPN o SPN (Power BI Service (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento di comando. - Windows di dominio per gli Windows utente - AzureAD per Azure Active Directory account - Account NT AUTHORITY senza un Windows di dominio, ad esempio il servizio Power BI |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Windows account utente (DOMAIN\UserName) - Nome dell'entità utente (UPN) ( username@domain.com ) - Nome dell'entità servizio (SPN) ( appid@tenantid ) - Power BI servizio di archiviazione (Power BI service) |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Audit Logout
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventClass | 0 | 1 | La classe di evento viene usata per suddividere gli eventi in categorie. |
| CurrentTime | 2 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| EndTime | 4 | 5 | Ora di fine dell'evento. Questa colonna non viene popolata per le classi degli eventi di avvio, ad esempio SQL:BatchStarting o SP:Starting. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| Durata | 5 | 2 | Quantità di tempo (in millisecondi) richiesta dall'evento. |
| CPUTime | 6 | 2 | Tempo della CPU in millisecondi utilizzato dall'evento. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento del comando. A seconda dell'ambiente, il nome utente ha il formato seguente: - Windows account utente (DOMAIN\UserName) - Nome entità utente (UPN) ( username@domain.com ) - Nome entità servizio (SPN) ( appid@tenantid ) - Power BI account del servizio (Power BI Service) - Power BI service per conto di un UPN o SPN (Power BI Service (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento del comando. - Windows di dominio per gli account Windows utente - AzureAD per Azure Active Directory account - Account NT AUTHORITY senza un Windows di dominio, ad esempio il Power BI locale |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento del comando. A seconda dell'ambiente, il nome utente ha il formato seguente: - Windows account utente (DOMAIN\UserName) - Nome entità utente (UPN) ( username@domain.com ) - Nome entità servizio (SPN) ( appid@tenantid ) - Power BI account del servizio (Power BI Service) |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Inizi e arresti server di controllo
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventClass | 0 | 1 | La classe di evento viene usata per suddividere gli eventi in categorie. |
| EventSubclass | 1 | 1 | La sottoclasse di evento fornisce informazioni aggiuntive su ogni classe di evento: 1: Instance Shutdown 2: Instance Started 3: Instance Paused 4: Instance Continued |
| CurrentTime | 2 | 5 | Ora di inizio dell'evento, se disponibile. I formati previsti per l'applicazione di filtri sono "YYYY-MM-DD" e "YYYY-MM-DD HH:MM:SS". |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| TextData | 42 | 9 | Dati di testo associati all'evento. |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Audit Object Permission Event
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| ObjectID | 11 | 8 | ID oggetto (è una stringa). |
| ObjectType | 12 | 1 | Tipo di oggetto. |
| ObjectName | 13 | 8 | Nome dell'oggetto. |
| ObjectPath | 14 | 8 | Percorso dell'oggetto. Elenco delimitato da virgole di elementi padre, a partire dall'elemento padre dell'oggetto. |
| ObjectReference | 15 | 8 | Riferimento all'oggetto. Codificato in formato XML per tutti gli elementi padre. L'oggetto è descritto tramite tag. |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| DatabaseName | 28 | 8 | Nome del database in cui è in esecuzione l'istruzione dell'utente. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento del comando. A seconda dell'ambiente, il nome utente ha il formato seguente: - Windows account utente (DOMAIN\UserName) - Nome entità utente (UPN) ( username@domain.com ) - Nome entità servizio (SPN) ( appid@tenantid ) - Power BI account del servizio (Power BI Service) - Power BI service per conto di un UPN o SPN (Power BI Service (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento del comando. - Windows di dominio per gli Windows utente - AzureAD per Azure Active Directory account - Account NT AUTHORITY senza un Windows di dominio, ad esempio il Power BI locale |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| SessionID | 39 | 8 | GUID della sessione. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Windows account utente (DOMAIN\UserName) - Nome dell'entità utente (UPN) ( username@domain.com ) - Nome dell'entità servizio (SPN) ( appid@tenantid ) - Power BI servizio di archiviazione (Power BI service) |
| SPID | 41 | 1 | ID processo server. Identifica in modo univoco una sessione utente. Corrisponde direttamente al GUID di sessione usato da XML/A. |
| TextData | 42 | 9 | Dati di testo associati all'evento. |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |
Audit Admin Operations Event
| Nome colonna | ID colonna | Tipo di colonna | Descrizione colonna |
|---|---|---|---|
| EventSubclass | 1 | 1 | La sottoclasse di evento fornisce informazioni aggiuntive su ogni classe di evento: 1: Backup 2: Restore 3: Synchronize 4: Detach 5: Attach 6: ImageLoad 7: ImageSave |
| Gravità | 22 | 1 | Livello di gravità di un'eccezione. |
| Operazione riuscita | 23 | 1 | 1 = esito positivo. 0 = esito negativo (ad esempio, il valore 1 indica che il controllo delle autorizzazioni ha avuto esito positivo e il valore 0 che tale controllo ha avuto esito negativo). |
| Errore | 24 | 1 | Numero di errore di un evento specifico. |
| ConnectionID | 25 | 1 | ID connessione univoco. |
| DatabaseName | 28 | 8 | Nome del database in cui è in esecuzione l'istruzione dell'utente. |
| NTUserName | 32 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Windows account utente (DOMAIN\UserName) - Nome dell'entità utente (UPN) ( username@domain.com ) - Nome dell'entità servizio (SPN) ( appid@tenantid ) - Power BI servizio di gestione (Power BI Service) - Power BI per conto di un UPN o SPN (Power BI Service (UPN/SPN)) |
| NTDomainName | 33 | 8 | Contiene il nome di dominio associato all'account utente che ha attivato l'evento di comando. - Windows di dominio per gli Windows utente - AzureAD per Azure Active Directory account - Account NT AUTHORITY senza un Windows di dominio, ad esempio il servizio Power BI |
| ClientHostName | 35 | 8 | Nome del computer in cui viene eseguito il client. Questa colonna di dati viene popolata se il nome host viene fornito dal client. |
| ClientProcessID | 36 | 1 | ID processo dell'applicazione client. |
| ApplicationName | 37 | 8 | Nome dell'applicazione client che ha creato la connessione al server. Questa colonna viene popolata con i valori passati dall'applicazione e non con il nome visualizzato del programma. |
| SessionID | 39 | 8 | GUID della sessione. |
| NTCanonicalUserName | 40 | 8 | Contiene il nome utente associato all'evento di comando. A seconda dell'ambiente, il nome utente è nel formato seguente: - Windows account utente (DOMAIN\UserName) - Nome dell'entità utente (UPN) ( username@domain.com ) - Nome dell'entità servizio (SPN) ( appid@tenantid ) - Power BI servizio di gestione (Power BI service) |
| SPID | 41 | 1 | ID processo server. Identifica in modo univoco una sessione utente. Corrisponde direttamente al GUID di sessione usato da XML/A. |
| TextData | 42 | 9 | Dati di testo associati all'evento. |
| ServerName | 43 | 8 | Nome del server che produce l'evento. |