Colonnes de données Audit de sécurité

La catégorie d'événement Audit de sécurité contient les classes d'événements suivantes :

ID de l'événement Nom de l’événement Description de l'événement
1 Audit Login Collecte tous les événements de connexion depuis le début de la trace, telle qu'une demande de connexion d'un client à un serveur qui exécute une instance de SQL Server.
2 Audit Logout Collecte tous les nouveaux événements de déconnexion depuis le début de la trace, telle que l'émission par un client d'une commande de déconnexion.
4 Audit Server Starts And Stops Enregistre l'arrêt du service, le début et la suspension des activités des services.
18 Audit Object Permission Event Enregistre les modifications d'autorisations sur les objets.
19 Audit Admin Operations Event Enregistre la sauvegarde/la restauration/la synchronisation/l'attachement/le détachement/le chargement d'image/l'enregistrement d'image.

Les tableaux suivants répertorient les colonnes de données de chacune de ces classes d'événements.

Audit Login

Nom de la colonne ID de la colonne Type de colonne Description de la colonne
EventClass 0 1 La classe Événements sert à catégoriser les événements.
CurrentTime 2 5 Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ».
StartTime 3 5 Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ».
Gravité 22 1 Niveau de gravité d'une exception.
Réussite 23 1 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification).
Erreur 24 1 Numéro d'erreur d'un événement donné.
ConnectionID 25 1 ID de connexion unique.
NTUserName 32 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (Service Power BI)
- Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN))
NTDomainName 33 8 Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande.
- Nom de domaine Windows pour les comptes
d’utilisateur Windows - AzureAD pour les comptes
Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI
ClientHostName 35 8 Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client.
ClientProcessID 36 1 ID de traitement de l'application cliente.
ApplicationName 37 8 Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme.
NTCanonicalUserName 40 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (service Power BI)
ServerName 43 8 Nom du serveur produisant l'événement.

Audit Logout

Nom de la colonne ID de colonne Type de colonne Description de la colonne
EventClass 0 1 La classe Événements sert à catégoriser les événements.
CurrentTime 2 5 Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ».
EndTime 4 5 Heure de fin de l'événement. Cette colonne n'est pas remplie pour les classes d'événements de démarrage, comme SQL:BatchStarting ou SP:Starting. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ».
Duration 5 2 Temps (en millisecondes) pris par l'événement.
CPUTime 6 2 Temps processeur (en millisecondes) utilisé par l'événement.
Succès 23 1 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification).
ConnectionID 25 1 ID de connexion unique.
NTUserName 32 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) ()
-username@domain.com Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (Service Power BI)
- Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN))
NTDomainName 33 8 Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande.
- Nom de domaine Windows pour les comptes
d’utilisateur Windows - AzureAD pour les comptes
Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, comme le service Power BI
ClientHostName 35 8 Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client.
ClientProcessID 36 1 ID de traitement de l'application cliente.
ApplicationName 37 8 Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme.
NTCanonicalUserName 40 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (Service Power BI)
ServerName 43 8 Nom du serveur produisant l'événement.

Audit Server Starts And Stops

Nom de la colonne ID de colonne Type de colonne Description de la colonne
EventClass 0 1 La classe Événements sert à catégoriser les événements.
EventSubclass 1 1 La sous-classe d’événements fournit des informations supplémentaires sur chaque classe d’événements :

1 : Arrêt de l’instance

2 : Instance démarrée

3 : Instance suspendue

4 : Poursuite de l’instance
CurrentTime 2 5 Heure à laquelle a débuté l'événement, si disponible. Pour le filtrage, les formats attendus sont « YYYY-MM-DD » et « YYYY-MM-DD HH:MM:SS ».
Gravité 22 1 Niveau de gravité d'une exception.
Réussite 23 1 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification).
Erreur 24 1 Numéro d'erreur d'un événement donné.
TextData 42 9 Données texte associées à l'événement.
ServerName 43 8 Nom du serveur produisant l'événement.

Audit Object Permission Event

Nom de la colonne ID de colonne Type de colonne Description de la colonne
ObjectID 11 8 ID d'objet (notez il s'agit d'une chaîne).
ObjectType 12 1 Type d'objet.
ObjectName 13 8 Nom d’objet
ObjectPath 14 8 Chemin d'accès de l'objet. Liste de parents séparés par une virgule, commençant par le parent de l'objet.
ObjectReference 15 8 Référence de l'objet. Encodée au format XML pour tous les parents, en utilisant des balises pour décrire l'objet.
Gravité 22 1 Niveau de gravité d'une exception.
Réussite 23 1 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification).
Erreur 24 1 Numéro d'erreur d'un événement donné.
ConnectionID 25 1 ID de connexion unique.
nom_base_de_données 28 8 Nom de la base de données dans laquelle l'instruction de l'utilisateur s'exécute.
NTUserName 32 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (Service Power BI)
- Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN))
NTDomainName 33 8 Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande.
- Nom de domaine Windows pour les comptes
d’utilisateur Windows - AzureAD pour les comptes
Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI
ClientHostName 35 8 Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client.
ClientProcessID 36 1 ID de traitement de l'application cliente.
ApplicationName 37 8 Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme.
SessionID 39 8 GUID de session.
NTCanonicalUserName 40 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (service Power BI)
SPID 41 1 ID de processus du serveur. Cela identifie de façon unique une session utilisateur. Cela correspond directement au GUID de session utilisé par XML/A.
TextData 42 9 Données texte associées à l'événement.
ServerName 43 8 Nom du serveur produisant l'événement.

Audit Admin Operations Event

Nom de la colonne ID de colonne Type de colonne Description de la colonne
EventSubclass 1 1 La sous-classe d’événements fournit des informations supplémentaires sur chaque classe d’événements :

1 : Backup

2 : Restore

3 : Synchronize

4 : Detach

5 : Attach

6 : ImageLoad

7 : ImageSave
Gravité 22 1 Niveau de gravité d'une exception.
Réussite 23 1 1 = réussite. 1 = échec (par exemple, 0 signifie le succès d'une vérification des autorisations, et 0 signifie l'échec de cette vérification).
Erreur 24 1 Numéro d'erreur d'un événement donné.
ConnectionID 25 1 ID de connexion unique.
nom_base_de_données 28 8 Nom de la base de données dans laquelle l'instruction de l'utilisateur s'exécute.
NTUserName 32 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (Service Power BI)
- Service Power BI pour le compte d’un UPN ou d’un SPN (Service Power BI (UPN/SPN))
NTDomainName 33 8 Contient le nom de domaine associé au compte d’utilisateur qui a déclenché l’événement de commande.
- Nom de domaine Windows pour les comptes
d’utilisateur Windows - AzureAD pour les comptes
Microsoft Entra - Comptes NT AUTHORITY sans nom de domaine Windows, tels que le service Power BI
ClientHostName 35 8 Nom de l'ordinateur sur lequel le client est exécuté. Cette colonne de données est remplie si le nom de l'hôte est fourni par le client.
ClientProcessID 36 1 ID de traitement de l'application cliente.
ApplicationName 37 8 Nom de l’application cliente qui a créé la connexion au serveur. Cette colonne est remplie avec les valeurs passées par l'application plutôt que par le nom affiché du programme.
SessionID 39 8 GUID de session.
NTCanonicalUserName 40 8 Contient le nom d’utilisateur associé à l’événement de commande. Selon l’environnement, le nom d’utilisateur se présente sous la forme suivante :
- Compte d’utilisateur Windows (DOMAIN\UserName)
- Nom d’utilisateur principal (UPN) (username@domain.com)
- Nom du principal du service (SPN) (appid@tenantid)
- Compte de service Power BI (service Power BI)
SPID 41 1 ID de processus du serveur. Cela identifie de façon unique une session utilisateur. Cela correspond directement au GUID de session utilisé par XML/A.
TextData 42 9 Données texte associées à l'événement.
ServerName 43 8 Nom du serveur produisant l'événement.