SQLServer2008R2数据库审核操作——创建审计

SQL Server 2008 R2 数据库审核操作一、了解 SQL Server 审核 审核的概念“审核”是将若干元素组合到一个包中，用于执行一组特定服务器操作或数据库操作。SQL Server 审核的组件组合生成的输出就称为审核，就如同报表定义与图形和数据元素组合生成报 表一样。 SQL Server 审核“SQL Server 审核”对象收集单个服务器实例或数据库级操作和操作组以进行监视。这种 审核处于 SQL Server 实例级别。每个 SQL Server 实例可以具有多个审核。定义审核时，将指定结果的输出位置。这是审核的目标位置。审核是在禁用状态下创建的， 因此不会自动审核任何操作。启用审核后，审核目标将从审核接收数据。 服务器审核规范“服务器审核规范”对象属于审核。您可以为每个审核创建一个服务器审核规范，因为它 们都是在 SQL Server 实例范围内创建的。服务器审核规范可收集许多由扩展事件功能引发的服务器级操作组。您可以在服务器审核 规范中包括“审核操作组”。审核操作组是预定义的操作组，它们是数据库引擎中发生的原子事 件。这些操作将发送到审核，审核将它们记录到目标中。 数据库审核规范“数据库审核规范”对象也属于 SQL Server 审核。针对每个审核，您可以为每个 SQL Server 数据库创建一个数据库审核规范。数据库审核规范可收集由扩展事件功能引发的数据库级审核操作。您可以向数据库审核规 范添加审核操作组或审核事件。“审核事件”是可以由 SQLServer 引擎审核的原子操作。“审 核操作组”是预定义的操作组。它们都位于 SQL Server 数据库作用域。这些操作将发送到审核， 审核将它们记录到目标中。 目标审核结果将发送到目标，目标可以是文件、Windows安全事件日志或Windows应用程序事 件日志。如何创建服务器审核和服务器审核规范 说明必须先创建和配置可以用于审核的 SQL Server 审核对象，才可以创建服务器审核规范。若要完成此任务，需使用 SQL Server Management Studio 中的对象资源管理器来执行以 下过程。 示例下面的示例创建一个名为“ ServerAudi tl”的审核规范，该规范用于将审核输出发送到 Windows 应用程序事件日志。此规范随后用于为默认服务器实例上的 FAILED_LOGIN_GROUP 创建 服务器级别审核。1) 创建新的审核规范 在对象资源管理器中，以递归方式将 “安全性”节点向下展开至“审核”。 右键单击 “审核”，再单击“新建审核 ”。这会打开“新建审核 ”页。在“审核名称字段中键入ServerAuditl。对于审核目标”，请从列表中选择ApplicationLog。说明：在审核目标中，可以选择File,将审核日志文件保存至单独路径文件中，或者 是保存至系统的Security Log，亦可以选择保存至系统的Application Log中，可根据 实际需求，将审核的日志存放在对应的路径中，假如在项目环境中不存在RSA日志采 集设备或者其他的日志采集系统，推荐将审核日志保存至单独的File中，便于提取日 志对操作进行审核。 单击确定以接受默认设置，并保存新的审核规范。 展开“审核”可以看到刚创建的ServerAuditl审核。3 Ld (local (SQL Server 10.50.2500 - FSAdmir田口数摇库日口妄锂0口0口眼务欝角色0口0口加圈魏雄序日口Serve rAudiil口服务品审翊范 e 口服务器无頡 n复制田管理2) 创建服务器级别审核规范 在对象资源管理器中，右键单击“服务器审核规范”，然后单击“新建服务器审核规范”。 这将打开“创建服务器审核规范”页。在“名称”字段中，键入 AdventureworksServerAudit1。对于“服务器审核”，请从列表中选择ServerAuditlo使用表网格，单击前缀为星号(*)的行。对于“审核操作类型，请从列表中选取FAILED_LOGIN_GROUPo 单击“确定保存服务器审核规范。展开“审核节点，并右键单击ServerAuditl。单击启用审核以启动审核。三、 如何创建服务器审核规范和数据库审核规范 说明必须先创建和配置可以用于审核的 SQL Server 审核对象，才可以创建数据库审核规范。 若要完成此任务，需使用 SQL Server Management Studio 中的对象资源管理器来执行以 下过程。 示例下面的示例创建一个名为 “ServerAuditDB” 的审核规范，该规范将审核输出发送到 Windows 应用程序事件日志。此规范随后用于为 AdventureWorks2008R2 数据库创建数据库级别 的审核。只要指定表的数据库所有者 (dbo) 对该表执行 SELECT 或 INSERT 操作，此数据库审 核就会将事件写入审核日志。1) 创建新的审核规范 在对象资源管理器中，以递归方式将 “安全性”节点向下展开至“审核”。 右键单击 “审核”，再单击“ 新建审核”。这会打开“ 新建审核 ”页。在“审核名称”字段中键入ServerAuditDB。对于审核目标”，请从列表中选取ApplicationLog。 单击“确定以接受默认设置，并保存新的审核规范。展开“审核”可以看到刚创建的“ServerAuditDB”审核。二llocjJ.i I.SQL J* L0.5IJ25 -闪嗣mir iSLigS卜二.跖咗土也匚 SSHSt?B Q Teir |j AdvufeWar2HBR2 曰N餐处B 匚-d S&ftfi Di s-E吐工还匾惧担序 曰口前込 SerierAudhlEdihtaiijdiiDE-二Li毎虽辭说E.二 iWveniirsworksSernkditl 节 J FHr*回匚4 :昨1 LJ 好 u加对特国阳 U曲如不穗期花占由亡fiIL r亡I住Be I? E匕iid H1展开审核节点，右键单击ServerAuditDB。单击启用审核以启动审核。 逐步将各审核以及审核规范启动。口 NJaia田印二*可吨性 ；_J Sen, ce Brksr 3二曲LJ民兰伫ee 口冃I mU CJ SKJG _J王和5如 Li证书 n-二i对秤珂_ 4 dweniLriwarkjDBAuditl 曰 _j titt& Ci止ij逐着t生国 Ll JBff-竝理;耗&LjH 嬢4, SflrwutftL气 SeveAijrftDQ LjS5BK3A AdvarrlurrwDrk&Lvrvvrurfi：!王 j Zj .ig i ar9四、 如何查看审核日志 说明若要查看审核日志，请使用 SQL Server Management Studio 中的对象资源管理器来执行 以下过程。本示例使用名为“ ServerAudi tl的审核对象。查看审核日志 在对象资源管理器中，以递归方式向下展开 “安全性”节点直到“审核”。 右键单击ServerAuditl,然后单击“査看审核日志。此操作会打开“日志文件査看器,您可以使用该查看器来查看审核日志。有关使用该查看器的详细信息，请单击“帮助” 査看完日志后,单击“关闭”。 在表网格中，单击前缀为星号(*)的行。对于“审核操作类型”，请从列表中选取 SELECT。在表网格中，单击前缀为星号(*)的行，并添加第二个审核操作。对于“审核操作类型”,请从列表中选取INSERT。使用相同的参数和前面两个步骤来配置对象名称和“主体 名称”.