sys.fn_get_audit_file (Transact-SQL)
S’applique à :SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Retourne des informations à partir d’un fichier d’audit créé par un audit serveur dans SQL Server. Pour plus d’informations, consultez Audit SQL Server (moteur de base de données).
Conventions de la syntaxe Transact-SQL
Syntaxe
fn_get_audit_file ( file_pattern ,
{ default | initial_file_name | NULL } ,
{ default | audit_record_offset | NULL } )
Arguments
file_pattern
Spécifie le répertoire ou chemin d'accès et nom de fichier du jeu de fichiers d'audit à lire. Type nvarchar(260).
Le passage d’un chemin sans modèle de nom de fichier génère une erreur.
Cet argument doit inclure à la fois un chemin d'accès (lettre de lecteur ou partage réseau) et un nom de fichier qui peut inclure un caractère générique. Un astérisque unique (*) peut être utilisé pour collecter plusieurs fichiers à partir d’un jeu de fichiers d’audit. Par exemple :
\<path>\*
- Collecter tous les fichiers d’audit à l’emplacement spécifié.<path>\LoginsAudit_{GUID}*
- Collectez tous les fichiers d’audit qui ont le nom et la paire GUID spécifiés.<path>\LoginsAudit_{GUID}_00_29384.sqlaudit
- Collecter un fichier d’audit spécifique.
initial_file_name
Spécifie le chemin d'accès et le nom d'un fichier spécifique dans le jeu de fichiers d'audit à partir duquel commencer à lire des enregistrements d'audit. Type nvarchar(260).
L’argument initial_file_name doit contenir des entrées valides ou contenir la ou NULL
la default
valeur.
audit_record_offset
Spécifie un emplacement connu avec le fichier spécifié pour la initial_file_name. Lorsque cet argument est utilisé, la fonction commence à lire au premier enregistrement de la mémoire tampon immédiatement après le décalage spécifié.
L’argument audit_record_offset doit contenir des entrées valides ou contenir la ou NULL
la default
valeur. Le type est bigint.
Tables retournées
Le tableau suivant décrit le contenu de fichier d'audit qui peut être retourné par cette fonction.
Nom de la colonne | Type | Description |
---|---|---|
action_id |
varchar(4) | ID de l'action. N'accepte pas la valeur NULL. |
additional_information |
nvarchar(4000) | Les informations uniques qui s'appliquent seulement à un événement unique sont retournées au format XML. Quelques actions auditables contiennent ce type d’informations. Un niveau de pile T-SQL s’affiche au format XML pour les actions associées à la pile T-SQL. Le format XML est le suivant : <tsql_stack><frame nest_level = '%u' database_name = '%.*s' schema_name = '%.*s' object_name = '%.*s' /></tsql_stack> frame nest_level indique le niveau d’imbrication actuel du frame. Le nom du module est représenté au format trois parties (database_name , schema_name et object_name ). Le nom du module est analysé pour échapper des caractères XML non valides tels que < , > , / , _x . Ils sont échappés comme _xHHHH\_ . Il HHHH s’appelle le code UCS-2 hexadécimal à quatre chiffres pour le caractère. Autorise la valeur Null. Retourne NULL lorsqu’aucune information supplémentaire n’est signalée par l’événement. |
affected_rows |
bigint | Nombre de lignes affectées par l’instruction exécutée. S’applique uniquement à : Azure SQL Database |
application_name |
nvarchar(128) | Nom de l’application cliente qui a exécuté l’instruction qui a provoqué l’événement d’audit. S’applique à : SQL Server 2017 (14.x) et versions ultérieures, et Azure SQL Database |
audit_file_offset |
bigint | Offset de la mémoire tampon dans le fichier qui contient l'enregistrement d'audit. N'accepte pas la valeur NULL. S’applique à : SQL Server uniquement |
audit_schema_version |
int | A toujours la valeur 1 . |
class_type |
varchar(2) | Type d'entité pouvant être auditée sur laquelle l'audit se produit. N'accepte pas la valeur NULL. |
client_ip |
nvarchar(128) | Adresse IP source de l’application cliente. S’applique à : SQL Server 2017 (14.x) et versions ultérieures, et Azure SQL Database |
connection_id |
uniqueidentifier | ID de la connexion dans le serveur. S’applique à : Azure SQL Database et SQL Managed Instance |
data_sensitivity_information |
nvarchar(4000) | Types des informations et étiquettes de sensibilité renvoyées par la requête auditée, en fonction des colonnes classifiées dans la base de données. En savoir plus sur la découverte et la classification des données Azure SQL Database. S’applique uniquement à : Azure SQL Database |
database_name |
sysname | Contexte de base de données dans lequel l'action s'est produite. Autorise la valeur Null. Retourne NULL les audits qui se produisent au niveau du serveur. |
database_principal_id |
int | ID du contexte de l'utilisateur de base de données dans lequel l'action est effectuée. N'accepte pas la valeur NULL. Retourne 0 si cela ne s’applique pas. Par exemple, une opération de serveur. |
database_principal_name |
sysname | Utilisateur actuel. Autorise la valeur Null. Retourne NULL s’il n’est pas disponible. |
duration_milliseconds |
bigint | Durée d’exécution des requêtes en millisecondes. S’applique à : Azure SQL Database et SQL Managed Instance |
event_time |
datetime2 | Date et heure auxquelles l'action pouvant être auditée est déclenchée. N'accepte pas la valeur NULL. |
file_name |
varchar(260) | Chemin d'accès et nom du fichier journal d'audit d'où provenait l'enregistrement. N'accepte pas la valeur NULL. |
is_column_permission |
bit | Indicateur précisant s’il s’agit d’une autorisation au niveau de la colonne. N'accepte pas la valeur NULL. Retourne 0 lorsque le permission_bitmask = 0 .1 = true0 = false |
object_id |
int | ID de l’entité sur laquelle l’audit s’est produit, qui inclut les objets suivants : - Objets serveur -Bases - Objets de base de données - Objets de schéma N'accepte pas la valeur NULL. Retourne 0 si l’entité est le serveur lui-même ou si l’audit n’est pas effectué au niveau d’un objet. Par exemple, Authentification. |
object_name |
sysname | Nom de l’entité sur laquelle l’audit s’est produit, qui inclut les objets suivants : - Objets serveur -Bases - Objets de base de données - Objets de schéma Autorise la valeur Null. Retourne NULL si l’entité est le serveur lui-même ou si l’audit n’est pas effectué au niveau d’un objet. Par exemple, Authentification. |
obo_middle_tier_app_id |
varchar(120) | ID d’application de l’application de niveau intermédiaire qui se connecte à Azure SQL Database à l’aide de l’accès OBO. Autorise la valeur Null. Retourne NULL si la requête n’est pas effectuée à l’aide de l’accès OBO.S’applique à : Azure SQL Database |
permission_bitmask |
varbinary(16) | Dans certaines actions, ce masque de bits est les autorisations qui ont été accordées, refusées ou révoquées. |
response_rows |
bigint | Nombre de lignes retournées dans le jeu de résultats. S’applique à : Azure SQL Database et SQL Managed Instance |
schema_name |
sysname | Contexte du schéma dans lequel l’action s’est produite. Autorise la valeur Null. Retourne NULL les audits qui se produisent en dehors d’un schéma. |
sequence_group_id |
varbinary | Identificateur unique. S’applique à : SQL Server 2016 (13.x) et versions ultérieures |
sequence_number |
int | Assure le suivi de la séquence d'enregistrements dans un enregistrement d'audit unique qui était trop grand pour la mémoire tampon d'écriture pour audits. N'accepte pas la valeur NULL. |
server_instance_name |
sysname | Nom de l'instance de serveur où l'audit s'est produit. Le format de server\instance standard est utilisé. |
server_principal_id |
int | ID du contexte de connexion dans lequel l'action est effectuée. N'accepte pas la valeur NULL. |
server_principal_name |
sysname | Connexion actuelle. Autorise la valeur Null. |
server_principal_sid |
varbinary | SID de la connexion actuelle. Autorise la valeur Null. |
session_id |
smallint | ID de la session au cours de laquelle l'événement s'est produit. N'accepte pas la valeur NULL. |
session_server_principal_name |
sysname | Principal du serveur pour la session. Autorise la valeur Null. Retourne l’identité de la connexion d’origine connectée à l’instance de SQL Server au cas où des commutateurs de contexte explicites ou implicites étaient présents. |
statement |
nvarchar(4000) | Instruction Transact-SQL s’il existe. Autorise la valeur Null. Retourne NULL le cas échéant. |
succeeded |
bit | Indique si l’action qui a déclenché l’événement a réussi. N'accepte pas la valeur NULL. Pour tous les événements autres que les événements de connexion, cet argument signale uniquement le succès ou l'échec de la vérification des autorisations, mais n'indique rien sur l'opération.1 = réussite0 = échec |
target_database_principal_id |
int | Le principal de base de données sur lequel l’opération GRANT //DENY REVOKE est effectuée. N'accepte pas la valeur NULL. Retourne 0 le cas échéant. |
target_database_principal_name |
sysname | Utilisateur cible de l’action. Autorise la valeur Null. Retourne NULL le cas échéant. |
target_server_principal_id |
int | Principal du serveur sur lequel l’opération GRANT //DENY REVOKE est effectuée. N'accepte pas la valeur NULL. Retourne 0 le cas échéant. |
target_server_principal_name |
sysname | Connexion cible de l’action. Autorise la valeur Null. Retourne NULL le cas échéant. |
target_server_principal_sid |
varbinary | SID de la connexion cible. Autorise la valeur Null. Retourne NULL le cas échéant. |
transaction_id |
bigint | Identificateur unique pour identifier plusieurs événements d’audit dans une transaction. S’applique à : SQL Server 2016 (13.x) et versions ultérieures |
user_defined_event_id |
smallint | ID d’événement défini par l’utilisateur passé en tant qu’argument à sp_audit_write . NULL pour les événements système (par défaut) et non zéro pour l’événement défini par l’utilisateur. Pour plus d’informations, consultez sp_audit_write (Transact-SQL).S’applique à : SQL Server 2012 (11.x) et versions ultérieures, Azure SQL Database et SQL Managed Instance |
user_defined_information |
nvarchar(4000) | Utilisé pour enregistrer toutes les informations supplémentaires que l’utilisateur souhaite enregistrer dans le journal d’audit à l’aide de la sp_audit_write procédure stockée.S’applique à : SQL Server 2012 (11.x) et versions ultérieures, Azure SQL Database et SQL Managed Instance |
Notes
Si l’argument file_pattern passé à référencer
fn_get_audit_file
un chemin d’accès ou un fichier qui n’existe pas ou si le fichier n’est pas un fichier d’audit, leMSG_INVALID_AUDIT_FILE
message d’erreur est retourné.fn_get_audit_file
ne peut pas être utilisé lorsque l’audit est créé avec les options ouEXTERNAL_MONITOR
SECURITY_LOG
lesAPPLICATION_LOG
options.
Autorisations
Nécessite l’autorisation CONTROL SERVER
.
Exemples
Cet exemple lit à partir d'un fichier nommé \\serverName\Audit\HIPAA_AUDIT.sqlaudit
.
SELECT *
FROM sys.fn_get_audit_file(
'\\serverName\Audit\HIPAA_AUDIT.sqlaudit',
DEFAULT,
DEFAULT
);
GO
Pour obtenir un exemple complet de création d’audit, consultez SQL Server Audit (moteur de base de données).
Limites
La sélection de lignes à partir d’une table Create Table As Select (CTAS) ou INSERT INTO
est une limitation lors de sys.fn_get_audit_file
l’exécution sur Azure Synapse Analytics. Bien que la requête se termine correctement et qu’aucun message d’erreur n’apparaît, aucune ligne n’est présente dans la table créée à l’aide de CTAS ou INSERT INTO
.
Contenu connexe
- CREATE SERVER AUDIT (Transact-SQL)
- ALTER SERVER AUDIT (Transact-SQL)
- DROP SERVER AUDIT (Transact-SQL)
- CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)
- ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)
- DROP SERVER AUDIT SPECIFICATION (Transact-SQL)
- CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)
- ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)
- DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)
- ALTER AUTHORIZATION (Transact-SQL)
- sys.server_audit_specification_details (Transact-SQL)
- sys.database_audit_specifications (Transact-SQL)
- sys.database_audit_specification_details (Transact-SQL)
- sys.dm_server_audit_status (Transact-SQL)
- sys.dm_audit_actions (Transact-SQL)
- sys.dm_audit_class_type_map (Transact-SQL)
- Créer un audit du serveur et une spécification d’audit du serveur
- sys.server_audits (Transact-SQL)
- sys.server_file_audits (Transact-SQL)
- sys.server_audit_specifications (Transact-SQL)
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez :Soumettre et afficher des commentaires pour