Schreiben von SQL-Serverüberwachungsereignissen in das SicherheitsprotokollWrite SQL Server Audit Events to the Security Log

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions)

In einer Umgebung mit hoher Sicherheit ist das Windows-Sicherheitsprotokoll der geeignete Speicherort für Ereignisse, die Objektzugriffe aufzeichnen.In a high security environment, the Windows Security log is the appropriate location to write events that record object access. Andere Überwachungsspeicherorte werden unterstützt, können aber leichter manipuliert werden.Other audit locations are supported but are more subject to tampering.

Es gibt zwei Hauptanforderungen für das Schreiben von SQL ServerSQL Server -Serverüberwachungen in das Windows-Sicherheitsprotokoll:There are two key requirements for writing SQL ServerSQL Server server audits to the Windows Security log:

  • Die Einstellungen für die Überwachung von Objektzugriffsversuchen müssen so konfiguriert sein, dass die Ereignisse aufgezeichnet werden.The audit object access setting must be configured to capture the events. Das Tool für Überwachungsrichtlinien (auditpol.exe) macht eine Vielzahl von Einstellungen für Unterrichtlinien in der Kategorie Überwachung von Objektzugriffsversuchen verfügbar.The audit policy tool (auditpol.exe) exposes a variety of sub-policies settings in the audit object access category. Um SQL ServerSQL Server die Überwachung des Objektzugriffs zu ermöglichen, konfigurieren Sie die Einstellung automatisch generiert .To allow SQL ServerSQL Server to audit object access, configure the application generated setting.
  • Das Konto, unter dem der SQL ServerSQL Server -Dienst ausgeführt wird, muss über die Berechtigung zum Generieren von Sicherheitsüberwachungen verfügen, um in das Windows-Sicherheitsprotokoll schreiben zu können.The account that the SQL ServerSQL Server service is running under must have the generate security audits permission to write to the Windows Security log. Standardmäßig verfügen die Konten LOCAL SERVICE und NETWORK SERVICE über diese Berechtigung.By default, the LOCAL SERVICE and the NETWORK SERVICE accounts have this permission. Dieser Schritt ist nicht erforderlich, wenn SQL ServerSQL Server unter einem dieser Konten ausgeführt wird.This step is not required if SQL ServerSQL Server is running under one of those accounts.
  • Vergeben Sie an das SQL ServerSQL Server-Dienstkonto die Vollberechtigung zum Zugriff auf die Registrierungsstruktur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.Provide full permission for the SQL ServerSQL Server service account to the registry hive HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.

Wichtig

Ein fehlerhaftes Bearbeiten der Registrierung kann eine schwerwiegende Beschädigung des Systems zur Folge haben.Incorrectly editing the registry can severely damage your system. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie die wertvollen Daten auf dem Computer sichern.Before making changes to the registry, we recommend that you back up any valued data on the computer.

Die Windows-Überwachungsrichtlinie kann sich auf die SQL ServerSQL Server -Überwachung auswirken, wenn sie so konfiguriert wurde, dass sie in das Windows-Sicherheitsprotokoll schreibt. In diesem Fall besteht bei einer falschen Konfiguration der Überwachungsrichtlinie die Gefahr, dass Ereignisse verloren gehen.The Windows audit policy can affect SQL ServerSQL Server auditing if it is configured to write to the Windows Security log, with the potential of losing events if the audit policy is incorrectly configured. Das Windows-Sicherheitsprotokoll ist standardmäßig so konfiguriert, dass ältere Ereignisse überschrieben werden.Typically, the Windows Security log is set to overwrite the older events. Hierdurch werden immer die neuesten Ereignisse beibehalten.This preserves the most recent events. Wurde das Windows-Sicherheitsprotokoll jedoch so festgelegt, dass ältere Ereignisse nicht überschrieben werden, löst das System das Windows-Ereignis 1104 aus, sobald das Sicherheitsprotokoll voll ist.However, if the Windows Security log is not set to overwrite older events, then if the Security log is full, the system will issue Windows event 1104 (Log is full). In diesem Fall geschieht Folgendes:At that point:

  • Es werden keine weiteren Sicherheitsereignisse aufgezeichnet.No further security events will be recorded
  • SQL ServerSQL Server kann nicht erkennen, dass das System keine Ereignisse mehr im Sicherheitsprotokoll aufzeichnen kann, sodass Überwachungsereignisse möglicherweise verloren gehen.will not be able to detect that the system is not able to record the events in the Security log, resulting in the potential loss of audit events
  • Nachdem der Administrator das Sicherheitsprotokoll korrigiert hat, wird die Protokollierung wieder wie gewohnt ausgeführt.After the box administrator fixes the Security log, the logging behavior will return to normal.

VorbereitungenBefore You Begin

EinschränkungenLimitations and Restrictions

Administratoren des SQL ServerSQL Server -Computers sollten sich bewusst sein, dass lokale Einstellungen für das Sicherheitsprotokoll durch eine Domänenrichtlinie überschrieben werden können.Administrators of the SQL ServerSQL Server computer should understand that local settings for the Security log can be overwritten by a domain policy. In diesem Fall überschreibt die Domänenrichtlinie möglicherweise die Einstellung für die Unterkategorie (auditpol /get /subcategory:"application generated" ).In this case, the domain policy might overwrite the subcategory setting (auditpol /get /subcategory:"application generated"). Dies kann sich auf die Fähigkeit von SQL ServerSQL Server auswirken, Ereignisse zu protokollieren. Dabei kann nicht nachvollzogen werden, dass die Ereignisse, die SQL ServerSQL Server zu überwachen versucht, nicht aufgezeichnet werden.This can affect SQL ServerSQL Server ability to log events without having any way to detect that the events that SQL ServerSQL Server is trying to audit are not going to be recorded.

SicherheitSecurity

BerechtigungenPermissions

Sie müssen Windows-Administrator sein, um diese Einstellungen konfigurieren zu können.You must be a Windows administrator to configure these settings.

So konfigurieren Sie die Einstellung für die Überwachung von Objektzugriffsversuchen in Windows mit "auditpol"To configure the audit object access setting in Windows using auditpol

  1. Öffnen Sie eine Eingabeaufforderung mit Administratorberechtigungen.Open a command prompt with administrative permissions.

    1. Zeigen Sie im Menü Start auf Alle Programme, zeigen Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.On the Start menu, point to All Programs, point to Accessories, right-click Command Prompt, and then click Run as administrator.

    2. Wenn das Dialogfeld Benutzerkontensteuerung geöffnet wird, klicken Sie auf Weiter.If the User Account Control dialog box opens, click Continue.

  2. Führen Sie die folgende Anweisung aus, um die Überwachung von SQL ServerSQL Serverzu aktivieren.Execute the following statement to enable auditing from SQL ServerSQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
    
  3. Schließen Sie das Eingabeaufforderungsfenster.Close the command prompt window.

So erteilen Sie die Berechtigung zum Generieren von Sicherheitsüberwachungen für ein Konto mit "secpol"To grant the generate security audits permission to an account using secpol

  1. Klicken Sie in allen Windows-Betriebssystemen im Menü Start auf Ausführen.For any Windows operating system, on the Start menu, click Run.

  2. Geben Sie secpol.msc ein, und klicken Sie dann auf OK.Type secpol.msc and then click OK. Wenn das Dialogfeld Benutzerzugriffssteuerung angezeigt wird, klicken Sie auf Weiter.If the User Access Control dialog box appears, click Continue.

  3. Erweitern Sie im Tool "Lokale Sicherheitsrichtlinie" die Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.In the Local Security Policy tool, expand Security Settings, expand Local Policies, and then click User Rights Assignment.

  4. Doppelklicken Sie im Ergebnisbereich auf Generieren von Sicherheitsüberwachungen.In the results pane, double-click Generate security audits.

  5. Klicken Sie auf der Registerkarte Lokale Sicherheitseinstellung auf Benutzer oder Gruppe hinzufügen.On the Local Security Setting tab, click Add User or Group.

  6. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen entweder den Namen des Benutzerkontos, z. B. Domäne1\Benutzer1 ein, und klicken Sie dann auf OK, oder klicken Sie auf Erweitert , und suchen Sie nach dem Konto.In the Select Users, Computers, or Groups dialog box, either type the name of the user account, such as domain1\user1 and then click OK, or click Advanced and search for the account.

  7. Klicken Sie auf OK.Click OK.

  8. Schließen Sie das Tool "Sicherheitsrichtlinie".Close the Security Policy tool.

  9. Starten Sie SQL ServerSQL Server neu, um diese Einstellung zu aktivieren.Restart SQL ServerSQL Server to enable this setting.

So konfigurieren Sie die Einstellung für die Überwachung von Objektzugriffsversuchen in Windows mit "secpol"To configure the audit object access setting in Windows using secpol

  1. Wenn das Betriebssystem eine frühere Version als Windows VistaWindows Vista oder Windows Server 2008 ist, klicken Sie im Menü Start auf Ausführen.If the operating system is earlier than Windows VistaWindows Vista or Windows Server 2008, on the Start menu, click Run.

  2. Geben Sie secpol.msc ein, und klicken Sie dann auf OK.Type secpol.msc and then click OK. Wenn das Dialogfeld Benutzerzugriffssteuerung angezeigt wird, klicken Sie auf Weiter.If the User Access Control dialog box appears, click Continue.

  3. Erweitern Sie im Tool "Lokale Sicherheitsrichtlinie" die Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Überwachungsrichtlinie.In the Local Security Policy tool, expand Security Settings, expand Local Policies, and then click Audit Policy.

  4. Doppelklicken Sie im Ergebnisbereich auf Objektzugriffsversuche überwachen.In the results pane, double-click Audit object access.

  5. Wählen Sie im Bereich Diese Versuche überwachen auf der Registerkarte Lokale Sicherheitseinstellung sowohl Erfolg als auch Fehleraus.On the Local Security Setting tab, in the Audit these attempts area, select both Success and Failure.

  6. Klicken Sie auf OK.Click OK.

  7. Schließen Sie das Tool "Sicherheitsrichtlinie".Close the Security Policy tool.

Weitere InformationenSee Also

SQL Server Audit (Datenbank-Engine)SQL Server Audit (Database Engine)