Actions et groupes d’actions SQL Server Audit
S’applique à :
SQL Server
La fonctionnalité d’audit SQL Server vous permet d’auditer les groupes d’événements au niveau du serveur et de base de données et les événements individuels. Pour plus d’informations, consultez Audit SQL Server (moteur de base de données).
Les audits SQL Server se composent de zéro ou plusieurs éléments d’action d’audit. Ces éléments d'action d'audit peuvent être un groupe d'actions, tel que Server_Object_Change_Group, ou des actions individuelles telles que des opérations SELECT sur une table.
Remarque
Server_Object_Change_Group inclut CREATE, ALTER et DROP pour tout objet de serveur (Base de données ou Point de terminaison).
Les audits peuvent inclure les catégories suivantes d'actions :
Niveau serveur. Ces actions incluent des opérations de serveur, telles que des modifications de gestion et des opérations d'ouverture de session et de fermeture de session.
Niveau base de données. Ces actions englobent les opérations DML (Data Manipulation Languages) et DDL (Data Definition Language).
Niveau audit. Ces actions incluent des actions appartenant au processus d'audit.
Certaines actions effectuées sur les composants d’audit SQL Server sont intrinsèquement auditées dans un audit spécifique et, dans ces cas, les événements d’audit se produisent automatiquement, car l’événement s’est produit sur l’objet parent.
Les actions suivantes sont auditées intrinsèquement :
- Modification de l'état d'audit du serveur (définition de l'État sur ON ou OFF)
Les événements suivants ne sont pas audités intrinsèquement :
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Tous les audits sont désactivés lors de leur création initiale.
Groupes d'actions d'audit de niveau serveur
Les groupes d’actions d’audit au niveau du serveur sont des actions similaires aux classes d’événements d’audit de sécurité SQL Server. Pour plus d'informations, consultez Référence de classe d'événements SQL Server.
Le tableau suivant décrit les groupes d'actions d'audit de niveau serveur et fournit la classe d'événements SQL Server équivalente, le cas échéant.
| Nom du groupe d’actions | Description |
|---|---|
| APPLICATION_ROLE_CHANGE_PASSWORD_GROUP | Cet événement est déclenché chaque fois qu'un mot de passe est modifié pour un rôle d'application. Équivaut à la classe d’événements Audit App Role Change Password. |
| AUDIT_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'un audit est créé, modifié ou supprimé. Cet événement est déclenché chaque fois qu'une spécification d'audit est créée, modifiée ou supprimée. Toute modification apportée à un audit est auditée dans cet audit. Équivaut à la classe d’événements Audit Change Audit. |
| BACKUP_RESTORE_GROUP | Cet événement est déclenché chaque fois qu'une commande de sauvegarde ou de restauration est émise. Équivaut à la Audit Backup and Restore Event Class. |
| BATCH_COMPLETED_GROUP | Cet événement se déclenche chaque fois que l’exécution d’une opération de gestion de transaction, de texte de lot ou de procédure stockée se termine. Il se déclenche à la fin du lot et audite l’ensemble du texte du lot ou de la procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Ajouté dans SQL Server 2022. Équivalent à la classe d’événements SQL Batch Completed. |
| BATCH_STARTED_GROUP | Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée commence à s’exécuter. Il se déclenche avant l’exécution et audite l’ensemble du texte de lot ou de procédure stockée, tel qu’il est envoyé par le client. Ajouté dans SQL Server 2022. Équivalent à la classe d’événements SQL Batch Started. |
| BROKER_LOGIN_GROUP | Cet événement est déclenché pour signaler des messages d'audit relatifs à la sécurité du transport Service Broker. Équivaut à la classe d’événements Audit Broker Login. |
| DATABASE_CHANGE_GROUP | Cet événement est déclenché lors de la création, de la modification ou de la suppression d'une base de données. Cet événement est déclenché chaque fois qu'une base de données est créée, modifiée ou supprimée. Équivaut à la classe d’événements Audit Database Management. |
| DATABASE_LOGOUT_GROUP | Cet événement est déclenché quand un utilisateur de base de données autonome se déconnecte d’une base de données. Équivaut à la classe d’événements Audit Logout. |
| DATABASE_MIRRORING_LOGIN_GROUP | Cet événement est déclenché pour signaler des messages d'audit relatifs à la sécurité du transport de la mise en miroir de bases de données. Équivaut à la classe d’événements Audit Database Mirroring Login. |
| DATABASE_OBJECT_ACCESS_GROUP | Cet événement est déclenché à chaque accès à des objets de base de données tels qu'un type de message, un assembly ou un contrat. Cet événement est déclenché pour tout accès à toute base de données. Remarque : cela peut générer des enregistrements d’audit volumineux. Équivaut à la classe d’événements Audit Database Object Access. |
| DATABASE_OBJECT_CHANGE_GROUP | Cet événement est déclenché lorsqu'une instruction CREATE, ALTER ou DROP est exécutée sur des objets de base de données, tels que des schémas. Cet événement est déclenché chaque fois qu'un objet de base de données est créé, modifié ou supprimé. Remarque : cela peut générer de très grandes quantités d’enregistrements d’audit. Équivaut à la classe d’événements Audit Database Object Management. |
| DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lorsqu'une modification de propriétaire pour des objets dans l'étendue de la base de données a lieu. Cet événement est déclenché pour toute modification de propriétaire d'objet dans une base de données sur le serveur. Équivaut à la classe d’événements Audit Database Object Take Ownership. |
| DATABASE_OBJECT_PERMISSION_CHANGE_GROUP | Cet événement est déclenché lorsqu'une instruction GRANT, REVOKE ou DENY a été émise pour des objets de base de données, tels que des assemblys et des schémas. Cet événement est déclenché pour toute modification d'autorisation d'objet pour une base de données sur le serveur. Équivaut à la classe d’événements Audit Database Object GDR. |
| DATABASE_OPERATION_GROUP | Cet événement est déclenché lorsque des opérations dans une base de données, telles qu'un point de contrôle ou une notification de requête d'abonnement, se produisent. Cet événement est déclenché sur toute opération de base de données sur toute base de données. Équivaut à la classe d’événements Audit Database Operation. |
| DATABASE_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lorsque vous utilisez l'instruction ALTER AUTHORIZATION pour changer le propriétaire d'une base de données et que les autorisations requises à cet effet sont activées. Cet événement est déclenché pour toute modification du propriétaire de la base de données sur une base de données sur le serveur. Équivaut à la classe d’événements Audit Change Database Owner. |
| DATABASE_PERMISSION_CHANGE_GROUP | Cet événement est déclenché chaque fois qu’un GRANT, REVOKE ou DENY est émis pour une autorisation d’instruction par n’importe quel principal dans SQL Server (cela s’applique aux événements de base de données uniquement, tels que l’octroi d’autorisations sur une base de données). Cet événement est déclenché pour toute modification d'autorisation de base de données pour une base de données dans le serveur. Équivaut à la classe d’événements Audit Database Scope GDR. |
| DATABASE_PRINCIPAL_CHANGE_GROUP | Cet événement est déclenché lorsque des principaux, tels que des utilisateurs, sont créés, modifiés ou supprimés d'une base de données. Équivaut à la classe d’événements Audit Database Principal Management. (Également équivalent à la Classe d'événements d'audit Add DB Principal, qui se produit sur les procédures stockées déconseillées sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal et sp_dropPrincipal.) Cet événement est déclenché chaque fois qu'un rôle de base de données est ajouté ou supprimé à l'aide des procédures stockées sp_addrole et sp_droprole. Cet événement est déclenché lorsque des principaux de base de données sont créés, modifiés ou supprimés d'une base de données. Équivaut à la classe d’événements Audit Add Role. |
| DATABASE_PRINCIPAL_IMPERSONATION_GROUP | Cet événement est déclenché lorsqu’il existe une opération d’emprunt d’identité dans l’étendue de la base de données, telle que EXECUTE AS <principal> ou SETPRINCIPAL. Cet événement est déclenché pour les emprunts d'identité effectués dans une base de données. Équivaut à la classe d’événements Audit Database Principal Impersonation. |
| DATABASE_ROLE_MEMBER_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'une connexion est ajoutée à un rôle de base de données ou en est supprimée. Cette classe d'événements est déclenchée pour les procédures stockées sp_addrolemember, sp_changegroup et sp_droprolemember. Cet événement est déclenché en cas de modification d'un membre de rôle Base de données dans toute base de données. Équivaut à la classe d’événements Audit Add Member to DB Role. |
| DBCC_GROUP | Cet événement est déclenché chaque fois qu'un principal émet une commande DBCC. Équivaut à la classe d’événements Audit DBCC. |
| EXTGOV_OPERATION_GROUP | Cet événement est déclenché sur l’activation des fonctionnalités de gouvernance externe, la désactivation des fonctionnalités de gouvernance externe, la synchronisation des stratégies de gouvernance externe et l’application des autorisations basées sur des stratégies de gouvernance externe. |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Indique qu'un principal a tenté de se connecter à une base de données autonome et a échoué. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Login Failed. |
| FAILED_LOGIN_GROUP | Indique qu’un principal a essayé de se connecter à SQL Server et a échoué. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Login Failed. Cet audit ne s’applique pas à Azure SQL Database. |
| FULLTEXT_GROUP | Indique qu'un événement de texte intégral s'est produit. Équivaut à la classe d’événements Audit Fulltext. |
| LOGIN_CHANGE_PASSWORD_GROUP | Cet événement est déclenché chaque fois qu'un mot de passe de connexion est modifié via une instruction ALTER LOGIN ou une procédure stockée sp_password. Équivaut à la classe d’événements Audit Login Change Password. |
| LOGOUT_GROUP | Indique qu’un principal s’est déconnecté de SQL Server. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Logout. |
| SCHEMA_OBJECT_ACCESS_GROUP | Cet événement est déclenché chaque fois qu'une autorisation d'objet a été utilisée dans le schéma. Équivaut à la classe d’événements Audit Schema Object Access. |
| SCHEMA_OBJECT_CHANGE_GROUP | Cet événement est déclenché lorsqu'une opération CREATE, ALTER ou DROP est effectuée sur un schéma. Équivaut à la classe d’événements Audit Schema Object Management. Cet événement est déclenché sur les objets de schéma. Équivaut à la classe d’événements Audit Object Derived Permission. Cet événement est déclenché chaque fois qu'un schéma d'une base de données est modifié. Équivaut à la classe d’événements Audit Statement Permission. |
| SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lorsque les autorisations nécessaires pour modifier le propriétaire d'un objet de schéma (tel qu'une table, procédure ou fonction) sont activées. Cela intervient lorsque l'instruction ALTER AUTHORIZATION est utilisée pour affecter un propriétaire à un objet. Cet événement est déclenché pour toute modification de propriétaire de schéma pour une base de données sur le serveur. Équivaut à la classe d’événements Audit Schema Object Take Ownership. |
| SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'une opération d'accord, de refus ou de révocation est effectuée contre un objet de schéma. Équivaut à la classe d’événements Audit Schema Object GDR. |
| SENSITIVE_BATCH_COMPLETED_GROUP | Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée se termine sur des données sensibles classifiées à l’aide de la Découverte et classification des données SQL. Il se déclenche à la fin du lot et audite l’ensemble du texte du lot ou de la procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Ajouté dans SQL Server 2019. |
| SENSITIVE_BATCH_STARTED_GROUP | Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée commence à s’exécuter sur des données sensibles classifiées à l’aide de la Découverte et classification des données SQL. Il se déclenche avant l’exécution et audite l’ensemble du texte de lot ou de procédure stockée, tel qu’il est envoyé par le client. Ajouté dans SQL Server 2019. |
| SENSITIVE_SERVER_OBJECT_CHANGE_GROUP | Cet événement est déclenché pour les opérations CREATE, ALTER ou DROP sur des objets de serveur. Équivaut à la classe d’événements Audit Server Object Management. |
| SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lors de la modification du propriétaire par des objets dans la portée du serveur. Équivaut à la classe d’événements Audit Server Object Take Ownership. |
| SERVER_OBJECT_PERMISSION_CHANGE_GROUP | Cet événement est déclenché chaque fois qu’un GRANT, REVOKE ou DENY est émis pour une autorisation d’objet serveur par n’importe quel principal dans SQL Server. Équivaut à la classe d’événements Audit Server Object GDR. |
| SERVER_OPERATION_GROUP | Cet événement est déclenché lorsque des opérations d'audit de sécurité, telles que la modification de paramètres, de ressources, d'accès externe ou d'autorisation sont utilisées. Équivaut à la classe d’événements Audit Server Operation. |
| SERVER_PERMISSION_CHANGE_GROUP | Cet événement est déclenché quand une instruction GRANT, REVOKE ou DENY est émise pour les autorisations dans la portée du serveur. Équivaut à la classe d’événements Audit Server Scope GDR. |
| SERVER_PRINCIPAL_CHANGE_GROUP | Cet événement est déclenché lorsque des principaux de serveur sont créés, modifiés ou supprimés. Équivaut à la classe d’événements Audit Server Principal Management. Cet événement est déclenché lorsqu'un principal émet les procédures stockées sp_defaultdb ou sp_defaultlanguage ou des instructions ALTER LOGIN. Équivaut à la classe d’événements Audit Addlogin. Cet événement est déclenché sur les procédures stockées sp_addlogin et sp_droplogin. Équivaut également à la classe d’événements Audit Login Change Property. Cet événement est déclenché pour les procédures stockées sp_grantlogin ou sp_revokelogin. Équivaut à la classe d’événements Audit Login GDR. |
| SERVER_PRINCIPAL_IMPERSONATION_GROUP | Cet événement est déclenché lorsqu’il existe un emprunt d’identité dans l’étendue du serveur, tel que la connexion> EXECUTE AS<. Équivaut à la classe d’événements Audit Server Principal Impersonation. |
| SERVER_ROLE_MEMBER_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'une connexion est ajoutée ou supprimée d'un rôle serveur fixe. Cet événement est déclenché pour les procédures stockées sp_addsrvrolemember et sp_dropsrvrolemember. Équivaut à la classe d’événements Audit Add Login to Server Role. |
| SERVER_STATE_CHANGE_GROUP | Cet événement est déclenché lorsque l’état du service SQL Server est modifié. Équivaut à la classe d’événements Audit Server Starts and Stops. |
| SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Indique qu'un principal s'est connecté à une base de données autonome. |
| SUCCESSFUL_LOGIN_GROUP | Indique qu’un principal s’est connecté avec succès à SQL Server. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Login. |
| TRACE_CHANGE_GROUP | Cet événement est déclenché pour toutes les instructions qui vérifient l'autorisation ALTER TRACE. Équivaut à la classe d’événements Audit Server Alter Trace. |
| TRANSACTION_GROUP | Cet événement est déclenché pour les opérations BEGIN TRANSACTION et COMMIT TRANSACTION ROLLBACK TRANSACTION, à la fois pour les appels explicites à ces instructions et pour les opérations de transaction implicite. Cet événement est également déclenché pour les opérations UNDO des instructions causées par la restauration d’une transaction. |
| USER_CHANGE_PASSWORD_GROUP | Cet événement est déclenché chaque fois que le mot de passe d'un utilisateur de base de données autonome est modifié à l'aide de l'instruction ALTER USER. |
| USER_DEFINED_AUDIT_GROUP | Ce groupe surveille les événements déclenchés à l’aide de sp_audit_write (Transact-SQL). En règle générale, les déclencheurs ou procédures stockées incluent des appels à sp_audit_write pour activer l’audit d’événements importants. |
| LEDGER_OPERATION_GROUP | Cet événement est déclenché pour les actions suivantes : GENERATE LEDGER DIGEST - Lorsque vous générez un digest de registre, VERIFY LEDGER - Lorsque vous vérifiez une synthèse de registre. S’applique à Azure SQL Database. |
À propos de l’installation
Les groupes d’actions au niveau du serveur couvrent les actions sur une instance SQL Server. Par exemple, toute vérification d'accès à un objet de schéma dans une base de données est enregistrée si le groupe d'actions approprié est ajouté à une spécification de l'audit du serveur. Dans une spécification d'audit de la base de données, seuls les accès aux objets de schéma dans cette base de données sont enregistrés.
Les actions de niveau serveur ne permettent pas un filtrage détaillé des actions au niveau de la base de données. Un audit de niveau base de données, tel que l'audit d'actions SELECT sur la table Customers pour les connexions dans le groupe Employee est requis pour implémenter le filtrage d'action détaillé. N'incluez pas d'objets dans l'étendue du serveur, tels que les vues système, dans une spécification d'audit de base de données utilisateur.
Remarque
En raison de la surcharge liée à l’activation de l’audit au niveau des transactions, à partir de SQL Server 2016 (13.x) SP2 CU3 et SQL Server 2017 (14.x) CU4, l’audit au niveau des transactions est désactivé par défaut, sauf si la conformité aux critères communs est activée. Si la conformité des critères communs est désactivée, vous pourrez toujours ajouter une action à partir de TRANSACTION_GROUP dans une spécification d’audit. Toutefois, aucune action de transaction ne sera collectée. Si vous envisagez de configurer des actions d’audit à partir de TRANSACTION_GROUP, assurez-vous que l’infrastructure d’audit au niveau des transactions est activée en activant la conformité aux critères communs à partir de SQL Server 2016 (13.x) SP2 CU3 et SQL Server 2017 (14.x) CU4 et versions ultérieures. Notez que dans SQL Server 2016 (13.x) l’audit au niveau des transactions peut également être désactivé avec l’indicateur de trace 3427 à partir de SP1 CU2.
Groupes d'actions d'audit de niveau base de données
Les groupes d’actions d’audit au niveau de la base de données sont des actions similaires aux classes d’événements d’audit de sécurité SQL Server. Pour plus d'informations sur les classes d'événements, consultez Référence de classe d'événements SQL Server.
Le tableau suivant décrit les groupes d'actions d'audit de niveau base de données et fournit leur Classe d'événements SQL Server équivalente le cas échéant.
| Nom du groupe d’actions | Description |
|---|---|
| APPLICATION_ROLE_CHANGE_PASSWORD_GROUP | Cet événement est déclenché chaque fois qu'un mot de passe est modifié pour un rôle d'application. Équivaut à la classe d’événements Audit App Role Change Password. |
| AUDIT_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'un audit est créé, modifié ou supprimé. Cet événement est déclenché chaque fois qu'une spécification d'audit est créée, modifiée ou supprimée. Toute modification apportée à un audit est auditée dans cet audit. Équivaut à la classe d’événements Audit Change Audit. |
| BACKUP_RESTORE_GROUP | Cet événement est déclenché chaque fois qu'une commande de sauvegarde ou de restauration est émise. Équivaut à la Audit Backup and Restore Event Class. |
| BATCH_COMPLETED_GROUP | Cet événement se déclenche chaque fois que l’exécution d’une opération de gestion de transaction, de texte de lot ou de procédure stockée se termine. Il se déclenche à la fin du lot et audite l’ensemble du texte du lot ou de la procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Ajouté dans SQL Server 2019. |
| BATCH_STARTED_GROUP | Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée commence à s’exécuter. Il se déclenche avant l’exécution et audite l’ensemble du texte de lot ou de procédure stockée, tel qu’il est envoyé par le client. Ajouté dans SQL Server 2019. |
| DATABASE_CHANGE_GROUP | Cet événement est déclenché lors de la création, de la modification ou de la suppression d'une base de données. Équivaut à la classe d’événements Audit Database Management. |
| DATABASE_LOGOUT_GROUP | Cet événement est déclenché lorsqu'un utilisateur de base de données autonome se déconnecte d'une base de données. |
| DATABASE_OBJECT_ACCESS_GROUP | Cet événement est déclenché en cas d'accès à des objets de base de données tels que des certificats et des clés asymétriques. Équivaut à la classe d’événements Audit Database Object Access. |
| DATABASE_OBJECT_CHANGE_GROUP | Cet événement est déclenché lorsqu'une instruction CREATE, ALTER ou DROP est exécutée sur des objets de base de données, tels que des schémas. Équivaut à la classe d’événements Audit Database Object Management. |
| DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lorsqu'une modification de propriétaire pour des objets dans la portée de la base de données a lieu. Équivaut à la classe d’événements Audit Database Object Take Ownership. |
| DATABASE_OBJECT_PERMISSION_CHANGE_GROUP | Cet événement est déclenché lorsqu'une instruction GRANT, REVOKE ou DENY a été émise pour des objets de base de données, tels que des assemblys et des schémas. Équivaut à la classe d’événements Audit Database Object GDR. |
| DATABASE_OPERATION_GROUP | Cet événement est déclenché lorsque des opérations dans une base de données, telles qu'un point de contrôle ou une notification de requête d'abonnement, se produisent. Équivaut à la classe d’événements Audit Database Operation. |
| DATABASE_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lorsque vous utilisez l'instruction ALTER AUTHORIZATION pour changer le propriétaire d'une base de données et que les autorisations requises à cet effet sont activées. Équivaut à la classe d’événements Audit Change Database Owner. |
| DATABASE_PERMISSION_CHANGE_GROUP | Cet événement est déclenché chaque fois qu’un GRANT, REVOKE ou DENY est émis pour une autorisation d’instruction par n’importe quel utilisateur dans SQL Server pour les événements de base de données uniquement, tels que l’octroi d’autorisations sur une base de données. Équivaut à la classe d’événements Audit Database Scope GDR. |
| DATABASE_PRINCIPAL_CHANGE_GROUP | Cet événement est déclenché lorsque des principaux, tels que des utilisateurs, sont créés, modifiés ou supprimés d'une base de données. Équivaut à la classe d’événements Audit Database Principal Management. Équivaut également à la classe d’événements Audit Add DB User, qui se produit sur les procédures stockées déconseillées sp_grantdbaccess, sp_revokedbaccess, sp_adduser et sp_dropuser. Cet événement est déclenché chaque fois qu'un rôle de base de données est ajouté ou supprimé à l'aide des procédures stockées sp_addrole et sp_droprole déconseillées. Équivaut à la classe d’événements Audit Add Role. |
| DATABASE_PRINCIPAL_IMPERSONATION_GROUP | Cet événement est déclenché lorsqu’il existe un emprunt d’identité dans l’étendue de la base de données, comme l’utilisateur> EXECUTE AS<. Équivaut à la classe d’événements Audit Database Principal Impersonation. |
| DATABASE_ROLE_MEMBER_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'une connexion est ajoutée à un rôle de base de données ou en est supprimée. Cette classe d’événements est utilisée avec les procédures stockées sp_addrolemember, sp_changegroup et sp_droprolemember. Équivaut à la classe d’événements Audit Add Member to DB Role |
| DBCC_GROUP | Cet événement est déclenché chaque fois qu'un principal émet une commande DBCC. Équivaut à la classe d’événements Audit DBCC. |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Indique qu'un principal a tenté de se connecter à une base de données autonome et a échoué. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Cet événement est déclenché. |
| SCHEMA_OBJECT_ACCESS_GROUP | Cet événement est déclenché chaque fois qu'une autorisation d'objet a été utilisée dans le schéma. Équivaut à la classe d’événements Audit Schema Object Access. |
| SCHEMA_OBJECT_CHANGE_GROUP | Cet événement est déclenché lorsqu'une opération CREATE, ALTER ou DROP est effectuée sur un schéma. Équivaut à la classe d’événements Audit Schema Object Management. Cet événement est déclenché sur les objets de schéma. Équivaut à la classe d’événements Audit Object Derived Permission. Équivaut également à la classe d’événements Audit Statement Permission. |
| SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP | Cet événement est déclenché lorsque les autorisations nécessaires pour modifier le propriétaire d'un objet de schéma, tel qu'une table, procédure ou fonction, sont activées. Cela intervient lorsque l'instruction ALTER AUTHORIZATION est utilisée pour affecter un propriétaire à un objet. Équivaut à la classe d’événements Audit Schema Object Take Ownership. |
| SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP | Cet événement est déclenché chaque fois qu'une opération d'accord, de refus ou de révocation est émise pour un objet de schéma. Équivaut à la classe d’événements Audit Schema Object GDR. |
| SENSITIVE_BATCH_COMPLETED_GROUP | Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée se termine sur des données sensibles classifiées à l’aide de la Découverte et classification des données SQL. Il se déclenche à la fin du lot et audite l’ensemble du texte du lot ou de la procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Ajouté dans SQL Server 2019. |
| SENSITIVE_BATCH_STARTED_GROUP | Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée commence à s’exécuter sur des données sensibles classifiées à l’aide de la Découverte et classification des données SQL. Il se déclenche avant l’exécution et audite l’ensemble du texte de lot ou de procédure stockée, tel qu’il est envoyé par le client. Ajouté dans SQL Server 2019. |
| SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Indique qu'un principal s'est connecté à une base de données autonome. |
| USER_CHANGE_PASSWORD_GROUP | Cet événement est déclenché chaque fois que le mot de passe d'un utilisateur de base de données autonome est modifié à l'aide de l'instruction ALTER USER. |
| USER_DEFINED_AUDIT_GROUP | Ce groupe surveille les événements déclenchés à l’aide de sp_audit_write (Transact-SQL). |
| LEDGER_OPERATION_GROUP | Cet événement est déclenché pour les actions suivantes ENABLE LEDGER - Lorsque vous créez une table de registre, ALTER LEDGER - Lorsque vous supprimez une table de registre et ALTER LEDGER CONFIGURATION s’applique à Azure SQL Database. |
Actions d'audit de niveau base de données
Les actions de niveau base de données prennent en charge l'audit d'actions spécifiques directement sur le schéma de base de données et sur les objets de schéma, tels que les tables, les vues, les procédures stockées, les fonctions, les procédures stockées étendues, les files d'attente, les synonymes. Les types, les collections de schémas XML, les bases de données et les schémas ne sont pas audités. L'audit d'objets de schéma peut être configuré sur le schéma et la base de données, ce qui signifie que les événements de tous les objets de schéma contenus dans le schéma ou la base de données spécifié seront audités. Le tableau suivant décrit les actions d'audit de niveau base de données.
| Action | Description |
|---|---|
| SELECT | Cet événement est déclenché chaque fois qu'une instruction SELECT est exécutée. |
| UPDATE | Cet événement est déclenché chaque fois qu'une instruction UPDATE est exécutée. |
| INSERT | Cet événement est déclenché chaque fois qu'une instruction INSERT est exécutée. |
| Suppression | Cet événement est déclenché chaque fois qu'une instruction DELETE est exécutée. |
| Exécutez | Cet événement est déclenché chaque fois qu'une instruction EXECUTE est exécutée. |
| RECEIVE | Cet événement est déclenché chaque fois qu'une instruction RECEIVE est exécutée. |
| REFERENCES | Cet événement est déclenché chaque fois qu'une autorisation REFERENCES est vérifiée. |
À propos de l’installation
Les actions d'audit de niveau base de données ne s'appliquent pas aux colonnes.
Lorsque le processeur de requêtes paramètre la requête, le paramètre peut apparaître dans le journal des événements d'audit au lieu des valeurs de colonnes de la requête.
Groupes d'actions d'audit de niveau audit
Vous pouvez également auditer les actions dans le processus d'audit. Ce peut être dans la portée du serveur ou dans la portée de la base de données. Dans la portée de la base de données, cela se produit seulement pour les spécifications d'audit de la base de données. Le tableau suivant décrit les groupes d'actions d'audit de niveau audit.
| Nom du groupe d’actions | Description |
|---|---|
| AUDIT_CHANGE_GROUP | Cet événement est déclenché chaque fois que l'une des commandes suivantes est exécutée : CREATE SERVER AUDIT ALTER SERVER AUDIT DROP SERVER AUDIT CREATE SERVER AUDIT SPECIFICATION ALTER SERVER AUDIT SPECIFICATION DROP SERVER AUDIT SPECIFICATION CREATE DATABASE AUDIT SPECIFICATION ALTER DATABASE AUDIT SPECIFICATION DROP DATABASE AUDIT SPECIFICATION |
Contenu associé
Créer un audit du serveur et une spécification d’audit du serveur
Créer une spécification de l’audit du serveur et de la base de données
CREATE SERVER AUDIT (Transact-SQL)
ALTER SERVER AUDIT (Transact-SQL)
DROP SERVER AUDIT (Transact-SQL)
CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)
ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)
DROP SERVER AUDIT SPECIFICATION (Transact-SQL)
CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)
ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)
DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)
ALTER AUTHORIZATION (Transact-SQL)
sys.fn_get_audit_file (Transact-SQL)
sys.server_audits (Transact-SQL)
sys.server_file_audits (Transact-SQL)
sys.server_audit_specifications (Transact-SQL)
sys.server_audit_specification_details (Transact-SQL)
sys.database_audit_specifications (Transact-SQL)
sys.database_audit_specification_details (Transact-SQL)
sys.dm_server_audit_status (Transact-SQL)
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour