SQL Server 创建服务器级别审计
问题描述:SQL Server 创建服务器级别审计
问题分析:先创建存放审计文件的文件夹;再创建审核;最后创建审核规范。
解决方案:
一、D盘创建路径‘D:\Audit\AuditServer_All’
二、创建审核
1)创建审核
USE [master]
GO
----创建审核,命名规范AuditServer_描述
CREATE SERVER AUDIT [AuditServer_All]
TO FILE
( FILEPATH = N'D:\Audit\AuditServer_All' ----文件路径
,MAXSIZE = 2 GB ----文件最大大小,单位可以是MB、GB、TB
,MAX_FILES = 2147483647 ----最大文件数,最大2147483647也就是无限制
-----,MAX_ROLLOVER_FILES = 2147483647 ----最大滚动更新文件数,最大2147483647也就是无限制,不能和MAX_FILES一起配置
,RESERVE_DISK_SPACE = ON ----保留磁盘空间
)
WITH
( QUEUE_DELAY = 1000 ----队列延时,默认1S
,ON_FAILURE = CONTINUE ----审核失败继续,还可以指定SHUTDOWN关闭数据库服务器,但是必须有相关权限
)
GO
2)启用和禁用审核 (启用即可,禁用留待有需要的时候再使用,比如修改审核之前)
---启用
USE [master]
GO
ALTER SERVER AUDIT AuditServer_All WITH(STATE=ON);
---禁用
USE [master]
GO
ALTER SERVER AUDIT AuditServer_All WITH(STATE=OFF);
三、创建审核规范
1)创建审核规范
---创建服务器审核规范,命名规范:AuditSpecification_描述(和审核描述保持一致)
USE [master]
GO
CREATE SERVER AUDIT SPECIFICATION AuditSpecification_All
FOR SERVER AUDIT AuditServer_All
ADD (FAILED_LOGIN_GROUP),
ADD (SERVER_OBJECT_CHANGE_GROUP),
ADD (SERVER_PRINCIPAL_CHANGE_GROUP),
ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP),
ADD (AUDIT_CHANGE_GROUP)
GO
2)启用和禁用审核规范
--启用
GO
ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=ON);
GO
---禁用,注意作业会影响禁用
ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=OFF);
、SERVER_OBJECT_CHANGE_GROUP 针对服务器对象执行 CREATE、ALTER 或 DROP 操作时将引发此事件。等效于 Audit Server Object Management 事件类。
注释:
1、比如:删除链接服务器对象等凌驾于数据库级别以上的对象(权限除外)。
2、AUDIT_CHANGE_GROUP 审核自身审核对象
3、FAILED_LOGIN_GROUP 指示主体尝试登录到 SQL Server,等效于 Audit Login Failed Event Class,
比如:登入失败的操
4、SERVER_OBJECT_CHANGE_GROUP 针对服务器对象执行 CREATE、ALTER 或 DROP 操作时将引发此事件。等效于 Audit Server Object Management 事件类。
比如:删除链接服务器对象等凌驾于数据库级别以上的对象(权限除外)。
5、SERVER_PRINCIPAL_CHANGE_GROUP创建、更改或删除服务器主体时将引发此事件
比如:创建删除登入名等