SQL Server 审计-记录所有的操作记录
说到审计这个话题,相信作为一个企业管理员都知道,比如一般作为一个AD管理员的话,一般都会通过Policy开启审计功能,记录一些自定义的事务日志。对于SQL Server来说,审计也是一样的,SQL Server审计对象收集单个实例的服务器或数据库级的动作和行为监控组。 审计是在SQL Server实例级。 可以有多个审计/ SQL服务器实例。当你定义一个审计,你指定位置的输出结果。 这是审计目标。 审计是在创建的禁用状态,不会自动审计任何行动。 启用审计后,从审计审计目标接收数据。审计SQL Server的一个实例数据库引擎或单个数据库包括跟踪和日志记录事件发生在数据库引擎。 SQL Server审计服务器允许您创建审计,可以包含服务器服务器级别事件的审计规范,和数据库审计规范数据库级的事件。 审计事件可以写入事件日志或审计文件。对于审计的介绍在此就不多介绍了,我们可以在官网上进行搜索官方文档进行查看。开始我们今天的主题:我们通过开启SQL Server的审计,记录用户对数据库的Insert、update、delete操作。
我们首先创建了一个测试数据库DB1,然后创建一个表Info
插入一些测试数据
接下来我们创建一个审计,来监控对数据库的所有操作
在数据库实例下--安全性--审计--新建审核
定义审核名称及审核文件的路劲及大小配置。
我们也可以使用脚本
TO FILE:指定输出到审核文件,也可以指定为Security Log和Application Log。
FILEPATH:审核文件的目录地址。
MaxSize:单个审核文件的最大容量。
MAXSIZE:类似于Trace,指定Rollover允许最多文件数。
RESERVE_DISK_SPACE:预先分配审核文件到MaxSize。个人推荐启用。
QUEUE_DELAY:指定事件发生到被强制审核的毫秒间隔。指定为0则为同步审核。
ON_FAILURE :当审核向上档写入数据失败时,接下来会采取的行为:CONTINUE | SHUTDOWN | FAIL_OPERATION。
AUDIT_GUID:用于数据库镜像。类似Login的SID作用,镜像会话的主库如果有审核,则在镜像库创建对应的审核需要指定同样GUID。
WHERE:相当于扩展事件中Predicate,用于指定过滤条件。
TO FILE:指定输出到审核文件,也可以指定为Security Log和Application Log。
FILEPATH:审核文件的目录地址。
MaxSize:单个审核文件的最大容量。
MAXSIZE:类似于Trace,指定Rollover允许最多文件数。
RESERVE_DISK_SPACE:预先分配审核文件到MaxSize。个人推荐启用。
QUEUE_DELAY:指定事件发生到被强制审核的毫秒间隔。指定为0则为同步审核。
ON_FAILURE :当审核向上档写入数据失败时,接下来会采取的行为:CONTINUE | SHUTDOWN | FAIL_OPERATION。
AUDIT_GUID:用于数据库镜像。类似Login的SID作用,镜像会话的主库如果有审核,则在镜像库创建对应的审核需要指定同样GUID。
WHERE:相当于扩展事件中Predicate,用于指定过滤条件。
审计创建完成之后是禁用的
我们右击--启用审核
启用成功
我们要定义对哪个数据库表进行审计操作,我们需要在哪个数据库下新建--服务器审核规范
定义服务器审核规范名称-及前面新建的审核服务
我们需要在当前的数据库下创建审核规范
我们通过定义审计操作类型---选择insert、delete、update等操作
我们可以使用脚本创建
USE [DB1] GO CREATE DATABASE AUDIT SPECIFICATION [ServerAuditSpecification-DB1] FOR SERVER AUDIT [Audit-DB1] ADD (DELETE ON DATABASE::[DB1] BY [public]), ADD (INSERT ON DATABASE::[DB1] BY [public]), ADD (UPDATE ON DATABASE::[DB1] BY [public]) WITH (STATE = ON) GO
这样就在数据库DB1下就多出一个数据库审计规范
我们接下来对数据库进行操作
我们插入一条数据,然后查看审计
右击--查看审计log
我们发现通过以下方式也是可以看见操作类型信息的,具体我们可以通过配置筛选进行显示自定义内容即可
我们再次需要需要通过访问生产的审计log进行查看,通过以下信息,我们也可以通过命令行进行查看
https://msdn.microsoft.com/en-us/library/cc280765(v=sql.110).aspx
SELECT * FROM sys.fn_get_audit_file (‘\\serverName\Audit\HIPPA_AUDIT.sqlaudit‘,default,default); GO SELECT * FROM sys.fn_get_audit_file (‘D:\Audit_Log\Audit-DB1_29F2408B-C8F5-4747-A3F9-CCFD66D0D8C1_0_131343921494640000.sqlaudit‘,default,default); GO
我们查询后,发现不是很友好,所以我们需要需要跳出关键的字段进行查找
我们需要将关键的字段单独列出来,只显示关键的名称就可以了
SELECT event_time , action_id , succeeded , session_id , session_server_principal_name , object_name , statement , file_name , audit_file_offset from sys.fn_get_audit_file(‘D:\Audit_LogFiles\Audit-DB_7CB2AD0B-C97D-4478-8360-E3C3D11B216C_0_131343949988730000.sqlaudit‘,default,default)