Catatan Audit SQL Server
Berlaku untuk:
SQL Server (semua versi yang didukung)
Fitur Audit SQL Server memungkinkan Anda mengaudit grup peristiwa dan peristiwa tingkat server dan tingkat database. Untuk informasi selengkapnya, lihat Audit SQL Server (Mesin Database). SQL Server.
Audit terdiri dari nol atau lebih item tindakan audit, yang dicatat ke target audit. Target audit dapat berupa file biner, log peristiwa Aplikasi Windows, atau log peristiwa Keamanan Windows. Rekaman yang dikirim ke target bisa berisi elemen yang dijelaskan dalam tabel berikut ini:
| Nama kolom | Deskripsi | Jenis | Selalu tersedia |
|---|---|---|---|
| event_time | Tanggal/waktu ketika tindakan yang dapat diaudit diaktifkan. | datetime2 | Ya |
| sequence_no | Melacak urutan rekaman dalam satu rekaman audit yang terlalu besar agar pas di buffer tulis untuk audit. | int | Ya |
| id_tindakan | ID tindakan Tips: Untuk menggunakan action_id sebagai predikat, itu harus dikonversi dari string karakter menjadi nilai numerik. Untuk informasi selengkapnya, lihat Memfilter Audit SQL Server pada predikat action_id/class_type. |
varchar(4) | Ya |
| berhasil | Menunjukkan apakah pemeriksaan izin tindakan yang memicu peristiwa audit berhasil atau gagal. | bit - 1 = Berhasil, 0 = Gagal |
Ya |
| bitmask_izin | Jika bisa diberlakukan, memperlihatkan izin yang diberikan, ditolak, atau dicabut | bigint | Tidak |
| adalah_izin_kolom | Bendera yang menunjukkan izin tingkat kolom | bit - 1 = Benar, 0 = False |
Tidak |
| session_id | ID sesi tempat peristiwa terjadi. | int | Ya |
| id_prinsipal_server | ID konteks masuk tempat tindakan dilakukan. | int | Ya |
| database_principal_id | ID konteks pengguna database tempat tindakan dilakukan. | int | Tidak |
| object_id | ID utama entitas tempat audit terjadi. ID ini dapat berupa: objek server database objek database objek skema |
int | Tidak |
| id_prinsipal_server_target | Prinsipal server tempat tindakan yang dapat diaudit berlaku. | int | Ya |
| id_prinsipal_database_target | Prinsipal database tempat tindakan yang dapat diaudit berlaku. | int | Tidak |
| jenis_kelas | Jenis entitas yang dapat diaudit tempat audit terjadi. | varchar(2) | Ya |
| nama_prinsipal_server_sesi | Prinsipal server untuk sesi tersebut. | nama sysname | Ya |
| nama_prinsipal_server | Login saat ini. | nama sysname | Ya |
| sid_prinsipal_server | SID masuk saat ini. | varbinary | Ya |
| nama_prinsipal_database | Pengguna saat ini. | nama sysname | Tidak |
| nama_prinsipal_server_target | Menargetkan login tindakan. | nama sysname | Tidak |
| sid_prinsipal_server_target | SID login target. | varbinary | Tidak |
| nama_prinsipal_database_target | Targetkan pengguna tindakan. | nama sysname | Tidak |
| nama_instans_server | Nama instans server tempat audit terjadi. Menggunakan format komputer\instans standar. | nvarchar(120) | Ya |
| database_name | Konteks database tempat tindakan terjadi. | nama sysname | Tidak |
| nama_skema | Konteks skema di mana tindakan terjadi. | nama sysname | Tidak |
| object_name | Nama entitas tempat audit terjadi. Nama ini dapat berupa: objek server database objek database objek skema Pernyataan TSQL (jika ada) |
nama sysname | Tidak |
| Pernyataan | Pernyataan TSQL (jika ada) | nvarchar(4000) | Tidak |
| additional_information | Informasi tambahan apa pun tentang peristiwa tersebut, disimpan sebagai XML. | nvarchar(4000) | Tidak |
Keterangan
Beberapa tindakan tidak mengisi nilai kolom karena mungkin tidak berlaku untuk tindakan.
Audit SQL Server menyimpan 4000 karakter data untuk bidang karakter dalam rekaman audit. Ketika nilai additional_information dan pernyataan yang dikembalikan dari tindakan yang dapat diaudit mengembalikan lebih dari 4000 karakter, kolom sequence_no digunakan untuk menulis beberapa rekaman ke dalam laporan audit untuk satu tindakan audit untuk merekam data ini. Prosesnya adalah sebagai berikut:
Kolom pernyataan dibagi menjadi 4000 karakter.
Audit SQL Server menulis sebagai baris pertama untuk catatan audit dengan data parsial. Semua bidang lainnya diduplikasi di setiap baris.
Nilai sequence_no dinaikkan.
Proses ini diulang hingga semua data direkam.
Anda dapat menyambungkan data dengan membaca baris secara berurutan menggunakan nilai sequence_no , dan kolom event_Time, action_id , dan session_id untuk mengidentifikasi tindakan.
Isi Terkait
CREATE SERVER AUDIT (Transact-SQL)
ALTER SERVER AUDIT (Transact-SQL)
DROP SERVER AUDIT (Transact-SQL)
MEMBUAT SPESIFIKASI AUDIT SERVER (Transact-SQL)
UBAH SPESIFIKASI AUDIT SERVER (Transact-SQL)
HILANGKAN SPESIFIKASI AUDIT SERVER (Transact-SQL)
MEMBUAT SPESIFIKASI AUDIT DATABASE (Transact-SQL)
MENGUBAH SPESIFIKASI AUDIT DATABASE (Transact-SQL)
HILANGKAN SPESIFIKASI AUDIT DATABASE (Transact-SQL)
ALTER AUTHORIZATION (Transact-SQL)
sys.server_audits (Transact-SQL)
sys.server_file_audits (T-SQL)
sys.server_audit_specifications (T-SQL)
sys.server_audit_specification_details (T-SQL)
sys.database_audit_specifications (T-SQL)
sys.database_audit_specification_details (T-SQL)