SQL Server 审核（Audit）-- 审核组件

关于审核的架构如下图。

SQL Server 审核

审核是由“服务器操作组”、“数据库操作组”等操作组合而成，可用于收集与监视服务器级别或数据库级别的操作。审核内部是使用“扩展事件（Extended Events）”所创建。审核组件位于SQL Server实例级别。每个 SQL Server 实例可以具有多个审核。定义审核时，将指定结果的输出位置。这是审核的目标位置。审核是在禁用状态下创建的，因此不会自动审核任何操作。启用审核后，审核目标将从审核接收数据。

服务器审核规范

“服务器审核规范”对象属于审核。您可以为每个审核创建一个服务器审核规范，因为它们都是在 SQL Server 实例范围内创建的。

服务器审核规范可收集许多由扩展事件功能引发的服务器级操作组。您可以在服务器审核规范中包括“审核操作组”。审核操作组是预定义的操作组，它们是数据库引擎中发生的原子事件。这些操作将发送到审核，审核将它们记录到目标中。

-- Creates a server audit called "HIPPA_Audit" with a binary file as the target and no options.

CREATE SERVER AUDIT HIPAA_Audit

TO FILE ( FILEPATH ='\\SQLPROD_1\Audit\' );

/*Creates a server audit specification called "HIPPA_Audit_Specification" that audits failed logins for the SQL Server audit "HIPPA_Audit" created above.

*/

CREATE SERVER AUDIT SPECIFICATION HIPPA_Audit_Specification

FOR SERVER AUDIT HIPPA_Audit

ADD (FAILED_LOGIN_GROUP);

GO

-- Enables the audit.

ALTER SERVER AUDIT HIPAA_Audit

WITH (STATE = ON);

GO

数据库审核规范

“数据库审核规范”对象也属于 SQL Server 审核。针对每个审核，您可以为每个 SQL Server 数据库创建一个数据库审核规范。

数据库审核规范可收集由扩展事件功能引发的数据库级审核操作。您可以向数据库审核规范添加审核操作组或审核事件。“审核事件”是可以由 SQL Server 引擎审核的原子操作。 “审核操作组”是预定义的操作组。它们都位于 SQL Server 数据库作用域。这些操作将发送到审核，审核将它们记录到目标中。请勿在用户数据库审核规范中包括服务器范围的对象（如系统视图）。

USE master ;

GO

-- Create the server audit.

CREATE SERVER AUDIT Payrole_Security_Audit

TO FILE ( FILEPATH =

'C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\DATA' ) ;

GO

-- Enable the server audit.

ALTER SERVER AUDIT Payrole_Security_Audit

WITH (STATE = ON) ;

USE AdventureWorks2012 ;

GO

-- Create the database audit specification.

CREATE DATABASE AUDIT SPECIFICATION Audit_Pay_Tables

FOR SERVER AUDIT Payrole_Security_Audit

ADD (SELECT , INSERT

ON HumanResources.EmployeePayHistory BY dbo )

WITH (STATE = ON) ;

GO

目标

审核结果将发送到目标，目标可以是文件、Windows 安全事件日志或 Windows 应用程序事件日志。必须定期查看和归档这些日志，以确保目标具有足够的空间来写入更多记录。

从安全角度来看，任何经过身份验证的用户可以读取和写入到 Windows 应用程序事件日志。应用程序事件日志要求的权限比 Windows 安全事件日志低，安全性低于 Windows 安全事件日志。

必须将 SQL Server 服务帐户应添加到生成安全审核策略中才能写入 Windows 安全日志。默认情况下，本地系统、本地服务和网络服务是此策略的一部分。此设置可通过使用安全策略管理单元 (secpol.msc) 来进行配置。此外，对于“成功”和“失败”均必须启用“审核对象访问”安全策略。此设置可通过使用安全策略管理单元 (secpol.msc) 配置。在Windows Server 2008 中，可通过使用审核策略程序 (AuditPol.exe) 从命令行设置更详细的“应用程序生成的”策略。 Windows 事件日志对于 Windows 操作系统具有全局性。如果您需要关于审核的更精准权限，请使用二进制文件目标。

操作组和操作

使用 SQL Server Audit 功能，您可以对服务器级别和数据库级别事件组以及单个事件进行审核。

SQL Server 审核包括零个或多个审核操作项目。这些审核操作项目可以是一组操作，例如 Server_Object_Change_Group，也可以是单个操作，例如对表的 SELECT 操作。

审核可以有以下类别的操作：

l 服务器级别。这些操作包括服务器操作，例如管理更改以及登录和注销操作。

l 数据库级别。这些操作包括数据操作语言 (DML) 和数据定义语言 (DDL) 操作。

l 审核级别。这些操作包括审核过程中的操作。

本文转自UltraSQL51CTO博客，原文链接：http://blog.51cto.com/ultrasql/1595726 ，如需转载请自行联系原作者