發行項
04/02/2012

SQL Server Audit 記錄

SQL Server Audit 功能可讓您稽核伺服器層級和資料庫層級的事件群組和事件。如需詳細資訊，請參閱＜了解 SQL Server Audit＞。SQL Server.

稽核是由零或多個稽核動作項目所組成，這些項目會記錄到稽核「目標」(Target)。稽核目標可以是二進位檔案、Windows 應用程式事件記錄檔或 Windows 安全性事件記錄檔。傳送給目標的記錄包含下表所述的元素。

資料行名稱	描述	類型	永遠可使用
event_time	可稽核的動作引發時的日期/時間。	datetime2	是
sequence_no	追蹤單一稽核記錄中太長而無法納入稽核寫入緩衝區內的記錄順序。	int	是
action_id	動作的識別碼	char(4)	是
succeeded	指示觸發此事件的動作是否成功	bit – 1 = 成功，0 = 失敗	是
permission_bitmask	當適用時，顯示已授與、拒絕或撤銷的權限	bigint	否
is_column_permission	指出資料行層級權限的旗標	bit – 1 = True，0 = False	否
session_id	事件發生所在之工作階段的識別碼。	int	是
server_principal_id	動作執行所在之登入環境的識別碼。	int	是
database_principal_id	動作執行所在之資料庫使用者環境的識別碼。	int	否
object_ id	稽核發生所在之實體的主要識別碼。這包括：伺服器物件資料庫資料庫物件結構描述物件	int	否
target_server_principal_id	套用可稽核之動作的伺服器主體。	int	是
target_database_principal_id	套用可稽核之動作的資料庫主體。	int	否
class_type	稽核發生所在之可稽核的實體類型。	char(2)	是
session_server_principal_name	工作階段的伺服器主體。	sysname	是
server_principal_name	目前的登入。	sysname	是
server_principal_sid	目前的登入 SID。	varbinary	是
database_principal_name	目前的使用者。	sysname	否
target_server_principal_name	動作的目標登入。	sysname	否
target_server_principal_sid	目標登入的 SID。	varbinary	否
target_database_principal_name	動作的目標使用者。	sysname	否
server_instance_name	稽核發生所在的伺服器執行個體名稱。使用標準的 machine\instance 格式。	nvarchar(120)	是
database_name	動作發生所在的資料庫環境。	sysname	否
schema_name	動作發生所在的結構描述環境。	sysname	否
object_name	稽核發生所在之實體的名稱。這包括：伺服器物件資料庫資料庫物件結構描述物件 TSQL 陳述式 (如果有的話)	sysname	否
statement	TSQL 陳述式 (如果有的話)	nvarchar(4000)	否
additional_information	有關儲存為 XML 之事件的任何其他資訊。	nvarchar(4000)	否

備註

某些動作不會填入資料行的值，因為它可能不適用於此動作。

SQL Server Audit 會將字元欄位的 4000 個字元資料儲存在稽核記錄中。當從可稽核的動作傳回的 additional_information 和 statement 值傳回 4000 個以上的字元時，sequence_no 資料行會用來將多筆記錄寫入單一稽核動作的稽核報表中，以記錄這些資料。此程序如下：