SQL Server 审核（Audit）-- 创建服务器级别的审核

任务1：创建审核

步骤1：打开SSMS，登录到指定的实例，展开“Security”，“Audits”节点。

步骤2：在“Audits”节点上，右键选择“New Audit…”选项。

步骤3：在“Create Audit”窗口，输入以下的参数。

l 在“Audit name”输入Audit-Login-Create/Alter/Drop。

l 在“Audit destination”选择“File”

l 在“File path”输入D:\MSSQL\DATA\Audit_logs。

步骤4：单击“OK”完成设置。

步骤5：右键点击刚刚创建的审核“Audit-Login-Create/Alter/Drop”，选择“Enable Audit”选项。

注意：新创建完成的“Audits”、“Server Audit Specifications”等对象，默认是禁用的，所以不会消耗系统资源。需要启用后，才能让它们发挥功能。

任务2：创建服务器级别的审核规范 – 监控账户的创建、修改与删除。

步骤1：在“Object Explorer”窗口，展开“Security”，“Server Audit Specifications”节点。

步骤2：右键点击“Server Audit Specifications”，选择“Create Server Audit Specification”选项。

步骤3：在“Create Server Audit Specification”窗口，输入以下的参数。

l 在“Name”输入ServerAuditSpecification-Login-Create/Alter/Drop。

l 在“Audit”选择先前创建的审核对象“Audit-Login-Create/Alter/Drop”。

l 在“Actions”区域，在“Audit Action Type”下的第一行，选择“SERVER_PRINCIPAL_CHANGE_GROUP”。

“SERVER_PRINCIPAL_CHANGE_GROUP”是属于服务器级别的审核操作组，当创建、改变或是删除服务器主体时，就会引发这个事件。例如，执行以下的存储过程或是语句，就会引发此事件，包括sp_defaultdb、sp_defaultlanguage、sp_addlogin、sp_droplogin、sp_grantlogin、sp_revokelogin、sp_denylogin等存储过程，或是ALTER LOGIN语句。

步骤4：单击“OK”，完成设置。

步骤5：右键点击刚才创建的服务器级审核规范“ServerAuditSpecification-Login-Create/Alter/Drop”，选择“Enable Server Audit Specification”。

任务3：测试审核功能 – 创建、修改、删除登录账户。

步骤1：打开SSMS，展开“Security”，“Logins”节点，创建登录账户，例如：UltraSQL。

步骤2：更改此登录账户的“Default database”为AdventureWorks2012。

步骤3：再将此登录账户删除。

任务4：查看审核日志。

步骤1：展开“Security”，“Audits”节点。

步骤2：在刚才创建的“Audit-Login-Create/Alter/Drop”对象上，右键选择“View Audit Logs”。

步骤3：在“Log File Viewer”窗口左上角的“Select logs”区域中，确认有勾选“Audit Collection”，“Audit-Login-Create/Alter/Drop”。

步骤4：在右边窗格“Log file summary”区域内的“Action ID”框下，选择“CREATE”。

步骤5：在下方窗格“Statement”区域，可以看到创建账户的程序代码，密码特别以“*****”保护。

在“Action ID”列下，可以看到所记录的每个事件的类型，例如CREATE、CHANGE、DROP等，可逐笔查看这些审核信息。