SQL Server 監査のアクション グループとアクション

適用対象: はいSQL Server (サポートされているすべてのバージョン)

SQL Server Audit 機能を使用すると、サーバー レベルおよびデータベース レベルのイベントのグループおよび個別のイベントを監査することができます。 詳しくは、「SQL Server Audit (データベース エンジン)」を参照してください。

SQL Server の監査は、0 個以上の監査アクション項目で構成されます。 これらの監査アクション項目には、アクションのグループ (Server_Object_Change_Group など) を使用することも、個別のアクション (テーブルに対する SELECT 操作など) を使用することもできます。

注意

Server_Object_Change_Group には、任意のサーバー オブジェクト (データベースまたはエンドポイント) に対する CREATE、ALTER、および DROP が含まれます。

監査には次のカテゴリのアクションが含まれます。

  • サーバー レベル。 これらのアクションには、管理の変更やログオンおよびログオフの操作などのサーバーの操作が含まれます。

  • データベース レベル。 これらのアクションには、データ操作言語 (DML) とデータ定義言語 (DDL) の操作が含まれます。

  • 監査レベル。 これらのアクションには、監査プロセス内のアクションが含まれます。

SQL Server の監査コンポーネントに対して実行されるアクションが、特定の監査でもともと監査されている場合もあります。そのような場合は、親オブジェクトで監査イベントが発生するため、監査イベントが自動的に発生します。

もともと監査されているアクションを以下に示します。

  • Server Audit の状態の変更 (状態を ON または OFF に設定)

もともと監査されていないイベントを以下に示します。

  • CREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATION

監査はすべて、最初の作成時には無効になります。

サーバー レベルの監査アクション グループ

サーバー レベルの監査アクション グループは、 SQL Server セキュリティ監査イベント クラスに似ています。 詳しくは、「 SQL Server イベント クラスの参照」をご覧ください。

サーバー レベルの監査アクション グループと、同等の SQL Server イベント クラス (存在する場合) を次の表に示します。

アクション グループ名 説明
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP このイベントは、アプリケーション ロールのパスワードが変更されるたびに発生します。 Audit App Role Change Password Event Classと同じです。
AUDIT_CHANGE_GROUP このイベントは、任意の監査が作成、変更、または削除されるたびに発生します。 このイベントは、任意の監査の仕様が作成、変更、または削除されるたびに発生します。 監査に対する変更はすべてその監査内で監査されます。 Audit Change Audit Event Classと同じです。
BACKUP_RESTORE_GROUP このイベントは、バックアップまたは復元のコマンドが実行されるたびに発生します。 Audit Backup/Restore イベント クラスと同じです。
BATCH_COMPLETED_GROUP このイベントは、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が完了するたびに発生します。 これは、バッチが完了した後に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体 (結果を含む) を監査します。 SQL Server 2019 で追加されました。
BATCH_STARTED_GROUP このイベントは、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が開始されるたびに発生します。 これは、実行前に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体を監査します。 SQL Server 2019 で追加されました。
BROKER_LOGIN_GROUP このイベントは、Service Broker トランスポート セキュリティに関する監査メッセージを報告するために発生します。 Audit Broker Login Event Classと同じです。
DATABASE_CHANGE_GROUP このイベントは、データベースが作成、変更、または削除されるときに発生します。 このイベントは、任意のデータベースが作成、変更、または削除されるたびに発生します。 Audit Database Management Event Classと同じです。
DATABASE_LOGOUT_GROUP このイベントは、包含データベースのユーザーが、Audit Logout イベント クラスと同等のデータベースをログアウトするときに発生します。
DATABASE_MIRRORING_LOGIN_GROUP このイベントは、データベース ミラーリングのトランスポート セキュリティに関する監査メッセージを報告するために発生します。 Audit Database Mirroring Login Event Classと同じです。
DATABASE_OBJECT_ACCESS_GROUP このイベントは、メッセージ型、アセンブリ、コントラクトなどのデータベース オブジェクトへのアクセスが行われるたびに発生します。 このイベントは、任意のデータベースへの任意のアクセスに対して発生します。 注:大量の監査レコードが生成される可能性があります。

Audit Database Object Access Event Classと同じです。
DATABASE_OBJECT_CHANGE_GROUP このイベントは、スキーマなどのデータベース オブジェクトで、CREATE、ALTER、または DROP ステートメントが実行されたときに発生します。 このイベントは、任意のデータベース オブジェクトが作成、変更、または削除されるたびに発生します。 注:非常に大量の監査レコードが生成される可能性があります。

Audit Database Object Management Event Classと同じです。
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP このイベントは、データベース スコープ内のオブジェクトの所有者が変更されたときに発生します。 このイベントは、サーバー上の任意のデータベースの任意のオブジェクト所有権の変更に対して発生します。 Audit Database Object Take Ownership Event Classと同じです。
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP このイベントは、アセンブリやスキーマなどのデータベース オブジェクトに対して GRANT、REVOKE、または DENY が実行された場合に発生します。 このイベントは、サーバー上の任意のデータベースの任意のオブジェクト権限の変更に対して発生します。 Audit Database Object GDR Event Classと同じです。
DATABASE_OPERATION_GROUP このイベントは、チェックポイントやクエリ通知のサブスクライブなど、データベースの操作が行われたときに発生します。 このイベントは、任意のデータベースの任意のデータベース操作に対して発生します。 Audit Database Operation Event Classと同じです。
DATABASE_OWNERSHIP_CHANGE_GROUP このイベントは、ALTER AUTHORIZATION ステートメントを使用してデータベースの所有者を変更した場合に、この動作に必要な権限の確認が行われる際に発生します。 このイベントは、サーバー上の任意のデータベースの、任意のデータベース所有権の変更に対して発生します。 Audit Change Database Owner Event Classと同じです。
DATABASE_PERMISSION_CHANGE_GROUP このイベントは、 SQL Server の任意のプリンシパルによって、ステートメント権限に対して GRANT、REVOKE、または DENY が実行されるたびに発生します (データベースに対する権限の許可などのデータベース限定のイベントに適用されます)。

このイベントは、サーバー上の任意のデータベースの、任意のデータベース権限の変更 (GDR) に対して発生します。 Audit Database Scope GDR Event Classと同じです。
DATABASE_PRINCIPAL_CHANGE_GROUP このイベントは、ユーザーなどのプリンシパルがデータベースで作成、変更、または削除されるときに発生します。 Audit Database Principal Management Event Classと同じです。 (Audit Add DB Principal イベント クラスとも同じです。このイベント クラスは、非推奨の sp_grantdbaccess、sp_revokedbaccess、sp_addPrincipal、および sp_dropPrincipal の各ストアド プロシージャに対して発生します)。

このイベントは、sp_addrole ストアド プロシージャまたは sp_droprole ストアド プロシージャを使用してデータベース ロールが追加または削除されるたびに発生します。 このイベントは、任意のデータベースで任意のデータベース プリンシパルが作成、変更、または削除されるたびに発生します。 Audit Add Role イベント クラスと同じです。
DATABASE_PRINCIPAL_IMPERSONATION_GROUP このイベントは、データベースのスコープ内に、EXECUTE AS <principal> や SETPRINCIPAL などの権限借用の操作が存在するときに発生します。 このイベントは、任意のデータベースで行われた権限の借用に対して発生します。 Audit Database Principal Impersonation Event Classと同じです。
DATABASE_ROLE_MEMBER_CHANGE_GROUP このイベントは、データベース ロールにログインが追加または削除されるたびに発生します。 このイベント クラスは、sp_addrolemember、sp_changegroup、および sp_droprolemember の各ストアド プロシージャに対して発生します。 このイベントは、任意のデータベースの任意のデータベース ロール メンバーの変更に対して発生します。 Audit Add Member to DB Role イベント クラスと同じです。
DBCC_GROUP このイベントは、プリンシパルが任意の DBCC コマンドを実行するたびに発生します。 Audit DBCC Event Classと同じです。
FAILED_DATABASE_AUTHENTICATION_GROUP プリンシパルが包含データベースにログオンしようとして失敗したことを示します。 このクラスのイベントは、新しい接続によって生じることも、接続プールから再利用された接続によって生じることもあります。 Audit Login Failed Event Classと同じです。
FAILED_LOGIN_GROUP プリンシパルが SQL Server へのログインを試みて失敗したことを示します。 このクラスのイベントは、新しい接続によって生じることも、接続プールから再利用された接続によって生じることもあります。 Audit Login Failed Event Classと同じです。 この監査は、Azure SQL Database には適用されません。
FULLTEXT_GROUP フルテキスト イベントが発生したことを示します。 Audit Fulltext Event Classと同じです。
LOGIN_CHANGE_PASSWORD_GROUP このイベントは、ALTER LOGIN ステートメントまたは sp_password ストアド プロシージャを使用してログインのパスワードが変更されるたびに発生します。 Audit Login Change Password Event Classと同じです。
LOGOUT_GROUP プリンシパルが SQL Serverからログアウトしたことを示します。 このクラスのイベントは、新しい接続によって生じることも、接続プールから再利用された接続によって生じることもあります。 Audit Logout Event Classと同じです。
SCHEMA_OBJECT_ACCESS_GROUP このイベントは、スキーマでオブジェクト権限が使用されるたびに発生します。 Audit Schema Object Access Event Classと同じです。
SCHEMA_OBJECT_CHANGE_GROUP このイベントは、スキーマに対して CREATE、ALTER、または DROP の各操作が実行されたときに発生します。 Audit Schema Object Management Event Classと同じです。

このイベントはスキーマ オブジェクトで発生します。 Audit Object Derived Permission Event Classと同じです。

このイベントは、任意のデータベースの任意のスキーマが変更されるたびに発生します。 Audit Statement Permission Event Classと同じです。
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP このイベントは、スキーマ オブジェクト (テーブル、プロシージャ、関数など) の所有者を変更する権限について確認が行われる際に発生します。 この確認動作は、ALTER AUTHORIZATION ステートメントを使用してオブジェクトに所有者を割り当てたときに行われます。 このイベントは、サーバー上の任意のデータベースの任意のスキーマ所有権の変更に対して発生します。 Audit Schema Object Take Ownership Event Classと同じです。
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP このイベントは、スキーマ オブジェクトに対して GRANT、DENY、または REVOKE が実行されるたびに発生します。 Audit Schema Object GDR Event Classと同じです。
SENSITIVE_BATCH_COMPLETED_GROUP このイベントは、SQL データの検出と分類を使用して分類された機密データに対する、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が完了するたびに発生します。 これは、バッチが完了した後に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体 (結果を含む) を監査します。 SQL Server 2019 で追加されました。
SENSITIVE_BATCH_STARTED_GROUP このイベントは、SQL データの検出と分類を使用して分類された機密データに対する、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が開始されるたびに発生します。 これは、実行前に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体を監査します。 SQL Server 2019 で追加されました。
SENSITIVE_SERVER_OBJECT_CHANGE_GROUP このイベントは、サーバー オブジェクトに対して CREATE、ALTER、または DROP の各操作が実行されたときに発生します。 Audit Server Object Management Event Classと同じです。
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP このイベントは、サーバー スコープ内のオブジェクトの所有者が変更されたときに発生します。 Audit Server Object Take Ownership Event Classと同じです。
SERVER_OBJECT_PERMISSION_CHANGE_GROUP このイベントは、 SQL Serverの任意のプリンシパルによって、サーバー オブジェクトの権限に対して GRANT、REVOKE、または DENY が実行されるたびに発生します。 Audit Server Object GDR Event Classと同じです。
SERVER_OPERATION_GROUP このイベントは、設定、リソース、外部アクセス、承認の変更などのセキュリティ監査操作が使用されるときに発生します。 Audit Server Operation Event Classと同じです。
SERVER_PERMISSION_CHANGE_GROUP このイベントは、サーバー スコープでの権限に対して GRANT、REVOKE、または DENY が実行されているときに発生します。 Audit Server Scope GDR Event Classと同じです。
SERVER_PRINCIPAL_CHANGE_GROUP このイベントは、サーバー プリンシパルが作成、変更、または削除されるときに発生します。 Audit Server Principal Management Event Classと同じです。

このイベントは、プリンシパルが sp_defaultdb ストアド プロシージャ、sp_defaultlanguage ストアド プロシージャ、または ALTER LOGIN ステートメントを実行したときに発生します。 Audit Addlogin Event Classと同じです。

このイベントは、sp_addlogin ストアド プロシージャおよび sp_droplogin ストアド プロシージャに対して発生します。 Audit Login Change Property Event Classとも同じです。

このイベントは、sp_grantlogin または sp_revokelogin の各ストアド プロシージャに対して発生します。 Audit Login GDR Event Classと同じです。
SERVER_PRINCIPAL_IMPERSONATION_GROUP このイベントは、サーバーのスコープ内に、EXECUTE AS <login> などの権限の借用が存在するときに発生します。 Audit Server Principal Impersonation Event Classと同じです。
SERVER_ROLE_MEMBER_CHANGE_GROUP このイベントは、固定サーバー ロールにログインが追加または削除されるたびに発生します。 このイベントは sp_addsrvrolemember ストアド プロシージャと sp_dropsrvrolemember ストアド プロシージャに対して発生します。 Audit Add Login to Server Role イベント クラスと同じです。
SERVER_STATE_CHANGE_GROUP このイベントは、 SQL Server サービスの状態が変更されたときに発生します。 Audit Server Starts and Stops Event Classと同じです。
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP プリンシパルが包含データベースに正常にログインしたことを示します。
SUCCESSFUL_LOGIN_GROUP プリンシパルが SQL Serverに正常にログインしたことを示します。 このクラスのイベントは、新しい接続によって生じることも、接続プールから再利用された接続によって生じることもあります。 Audit Login Event Classと同じです。
TRACE_CHANGE_GROUP このイベントは、ALTER TRACE 権限をチェックするすべてのステートメントで発生します。 Audit Server Alter Trace Event Classと同じです。
TRANSACTION_GROUP このイベントは、BEGIN TRANSACTION、ROLLBACK TRANSACTION、COMMIT TRANSACTION の操作で発生し、これらのステートメントの明示的な呼び出しと暗黙のトランザクション操作の両方で発生します。 このイベントは、トランザクションのロールバックによって起こる、個別のステートメントの UNDO 操作によっても発生します。
USER_CHANGE_PASSWORD_GROUP このイベントは、包含データベースのユーザーのパスワードが USER ALTER ステートメントを使用して変更されるたびに発生します。
USER_DEFINED_AUDIT_GROUP このグループは、sp_audit_write (Transact-SQL) の使用によって発生するイベントを監視します。 通常、トリガーまたはストアド プロシージャには、重要なイベントを監査できるようにするために、 sp_audit_write への呼び出しが含まれています。

考慮事項

サーバー レベルのアクション グループは、 SQL Server インスタンス全体のアクションを対象とします。 たとえば、該当するアクション グループをサーバー監査の仕様に追加すると、任意のデータベースの任意のスキーマ オブジェクトのアクセス確認が記録されます。 データベース監査の仕様では、そのデータベースのスキーマ オブジェクト アクセスのみが記録されます。

サーバー レベルのアクションでは、データベース レベルのアクションに対する詳細なフィルタリングは使用できません。 Employee グループのログインの Customers テーブルに対する SELECT アクションの監査などのデータベース レベルの監査では、アクションの詳細なフィルタリングを実装する必要があります。 ユーザーのデータベース監査の仕様に、システム ビューなどのサーバー スコープ オブジェクトは含めないでください。

注意

トランザクション レベルの監査を有効にするとオーバーヘッドが発生するため、SQL Server 2016 (13.x) SP2 CU3 および SQL Server 2017 (14.x) CU4 以降では、[情報セキュリティ国際評価基準 (Common Criteria) への準拠] を有効にしていない場合、トランザクション レベルの監査は既定で無効になります。 [情報セキュリティ国際評価基準 (Common Criteria) への準拠] が無効になっている場合でも、TRANSACTION_GROUP から監査の仕様にアクションを追加することはできますが、トランザクション アクションが実際に収集されることはありません。 SQL Server 2016 (13.x) SP2 CU3 および SQL Server 2017 (14.x) CU4 以降で、TRANSACTION_GROUP からの監査アクションを構成する場合は、[情報セキュリティ国際評価基準 (Common Criteria) への準拠] を有効にすることによって、トランザクション レベルの監査インフラストラクチャを有効にしてください。 なお、SQL Server 2016 (13.x) SP1 CU2 以降では、トレース フラグ 3427 でトランザクション レベルの監査を無効にすることもできます。

データベース レベルの監査アクション グループ

データベース レベルの監査アクション グループは、 SQL Server セキュリティ監査イベント クラスに似ています。 イベント クラスの詳細については、「 SQL Server イベント クラスの参照」を参照してください。

データベース レベルの監査アクション グループと、同等の SQL Server イベント クラス (存在する場合) を次の表に示します。

アクション グループ名 説明
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP このイベントは、アプリケーション ロールのパスワードが変更されるたびに発生します。 Audit App Role Change Password Event Classと同じです。
AUDIT_CHANGE_GROUP このイベントは、任意の監査が作成、変更、または削除されるたびに発生します。 このイベントは、任意の監査の仕様が作成、変更、または削除されるたびに発生します。 監査に対する変更はすべてその監査内で監査されます。 Audit Change Audit Event Classと同じです。
BACKUP_RESTORE_GROUP このイベントは、バックアップまたは復元のコマンドが実行されるたびに発生します。 Audit Backup/Restore イベント クラスと同じです。
BATCH_COMPLETED_GROUP このイベントは、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が完了するたびに発生します。 これは、バッチが完了した後に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体 (結果を含む) を監査します。 SQL Server 2019 で追加されました。
BATCH_STARTED_GROUP このイベントは、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が開始されるたびに発生します。 これは、実行前に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体を監査します。 SQL Server 2019 で追加されました。
DATABASE_CHANGE_GROUP このイベントは、データベースが作成、変更、または削除されるときに発生します。 Audit Database Management Event Classと同じです。
DATABASE_LOGOUT_GROUP このイベントは、包含データベースのユーザーがデータベースをログアウトするときに発生します。
DATABASE_OBJECT_ACCESS_GROUP このイベントは、証明書や非対称キーなどのデータベース オブジェクトへのアクセスが行われるたびに発生します。 Audit Database Object Access Event Classと同じです。
DATABASE_OBJECT_CHANGE_GROUP このイベントは、スキーマなどのデータベース オブジェクトで、CREATE、ALTER、または DROP ステートメントが実行されたときに発生します。 Audit Database Object Management Event Classと同じです。
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP このイベントは、データベース スコープ内のオブジェクトの所有者が変更されたときに発生します。 Audit Database Object Take Ownership Event Classと同じです。
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP このイベントは、アセンブリやスキーマなどのデータベース オブジェクトに対して GRANT、REVOKE、または DENY が実行された場合に発生します。 Audit Database Object GDR Event Classと同じです。
DATABASE_OPERATION_GROUP このイベントは、チェックポイントやクエリ通知のサブスクライブなど、データベースの操作が行われたときに発生します。 Audit Database Operation Event Classと同じです。
DATABASE_OWNERSHIP_CHANGE_GROUP このイベントは、ALTER AUTHORIZATION ステートメントを使用してデータベースの所有者を変更した場合に、この動作に必要な権限の確認が行われる際に発生します。 Audit Change Database Owner Event Classと同じです。
DATABASE_PERMISSION_CHANGE_GROUP このイベントは、 SQL Server の任意のユーザーによって、ステートメント権限に対して GRANT、REVOKE、または DENY が実行されるたびに、データベースに対する権限の許可などのデータベース限定のイベントに対して発生します。 Audit Database Scope GDR Event Classと同じです。
DATABASE_PRINCIPAL_CHANGE_GROUP このイベントは、ユーザーなどのプリンシパルがデータベースで作成、変更、または削除されるときに発生します。 Audit Database Principal Management Event Classと同じです。 Audit Add DB User Event Classとも同じです。このイベント クラスは、非推奨の sp_grantdbaccess、sp_revokedbaccess、sp_adduser、および sp_dropuser の各ストアド プロシージャに対して発生します。

このイベントは、非推奨の sp_addrole ストアド プロシージャまたは sp_droprole ストアド プロシージャを使用してデータベース ロールが追加または削除されるたびに発生します。 Audit Add Role イベント クラスと同じです。
DATABASE_PRINCIPAL_IMPERSONATION_GROUP このイベントは、データベースのスコープ内に、EXECUTE AS <user> などの権限の借用が存在するときに発生します。 Audit Database Principal Impersonation Event Classと同じです。
DATABASE_ROLE_MEMBER_CHANGE_GROUP このイベントは、データベース ロールにログインが追加または削除されるたびに発生します。 このイベント クラスは、sp_addrolemember、sp_changegroup、および sp_droprolemember の各ストアド プロシージャと共に使用されます。 Audit Add Member to DB Role イベント クラスsと同じです。
DBCC_GROUP このイベントは、プリンシパルが任意の DBCC コマンドを実行するたびに発生します。 Audit DBCC Event Classと同じです。
FAILED_DATABASE_AUTHENTICATION_GROUP プリンシパルが包含データベースにログオンしようとして失敗したことを示します。 このクラスのイベントは、新しい接続によって生じることも、接続プールから再利用された接続によって生じることもあります。 このイベントが発生します。
SCHEMA_OBJECT_ACCESS_GROUP このイベントは、スキーマでオブジェクト権限が使用されるたびに発生します。 Audit Schema Object Access Event Classと同じです。
SCHEMA_OBJECT_CHANGE_GROUP このイベントは、スキーマに対して CREATE、ALTER、または DROP の各操作が実行されたときに発生します。 Audit Schema Object Management Event Classと同じです。

このイベントはスキーマ オブジェクトで発生します。 Audit Object Derived Permission Event Classと同じです。 Audit Statement Permission Event Classとも同じです。
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP このイベントは、スキーマ オブジェクト (テーブル、プロシージャ、関数など) の所有者を変更する権限について確認が行われる際に発生します。 この確認動作は、ALTER AUTHORIZATION ステートメントを使用してオブジェクトに所有者を割り当てたときに行われます。 Audit Schema Object Take Ownership Event Classと同じです。
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP このイベントは、スキーマ オブジェクトに対して GRANT、DENY、または REVOKE が実行されるたびに発生します。 Audit Schema Object GDR Event Classと同じです。
SENSITIVE_BATCH_COMPLETED_GROUP このイベントは、SQL データの検出と分類を使用して分類された機密データに対する、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が完了するたびに発生します。 これは、バッチが完了した後に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体 (結果を含む) を監査します。 SQL Server 2019 で追加されました。
SENSITIVE_BATCH_STARTED_GROUP このイベントは、SQL データの検出と分類を使用して分類された機密データに対する、バッチ テキスト、ストアド プロシージャ、またはトランザクション管理操作の実行が開始されるたびに発生します。 これは、実行前に発生し、クライアントから送信されたバッチまたはストアド プロシージャのテキスト全体を監査します。 SQL Server 2019 で追加されました。
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP プリンシパルが包含データベースに正常にログインしたことを示します。
USER_CHANGE_PASSWORD_GROUP このイベントは、包含データベースのユーザーのパスワードが USER ALTER ステートメントを使用して変更されるたびに発生します。
USER_DEFINED_AUDIT_GROUP このグループは、sp_audit_write (Transact-SQL) の使用によって発生するイベントを監視します。

データベース レベルの監査アクション

データベース レベルのアクションを使用すると、データベース、スキーマ、およびスキーマ オブジェクト (テーブル、ビュー、ストアド プロシージャ、関数、拡張ストアド プロシージャ、キュー、シノニムなど) で特定のアクションを直接監査することができます。 型、XML スキーマ コレクション、データベース、およびスキーマは監査されません。 スキーマ オブジェクトの監査をスキーマおよびデータベースに構成できます。これは、指定したスキーマまたはデータベースに含まれるすべてのスキーマ オブジェクトのイベントが監査されることを意味します。 データベース レベルの監査アクションを次の表に示します。

アクション 説明
SELECT このイベントは、SELECT が実行されるたびに発生します。
UPDATE このイベントは、UPDATE が実行されるたびに発生します。
INSERT このイベントは、INSERT が実行されるたびに発生します。
DELETE このイベントは、DELETE が実行されるたびに発生します。
EXECUTE このイベントは、EXECUTE が実行されるたびに発生します。
RECEIVE このイベントは、RECEIVE が実行されるたびに発生します。
REFERENCES このイベントは、REFERENCES 権限の確認が行われるたびに発生します。

考慮事項

  • データベース レベルの監査アクションは列には適用されません。

  • クエリ プロセッサによってクエリをパラメーター化すると、パラメーターがクエリの列値の代わりに監査イベント ログに表示されます。

監査レベルの監査アクション グループ

監査プロセス内のアクションを監査することもできます。 この監査は、サーバー スコープで行うことも、データベース スコープで行うこともできます。 データベース スコープでは、データベース監査の仕様についてのみ監査が行われます。 監査レベルの監査アクション グループを次の表に示します。

アクション グループ名 説明
AUDIT_CHANGE_GROUP このイベントは、次のいずれかのコマンドが実行されるたびに発生します。

CREATE SERVER AUDIT

ALTER SERVER AUDIT

DROP SERVER AUDIT

CREATE SERVER AUDIT SPECIFICATION

ALTER SERVER AUDIT SPECIFICATION

DROP SERVER AUDIT SPECIFICATION

CREATE DATABASE AUDIT SPECIFICATION

ALTER DATABASE AUDIT SPECIFICATION

DROP DATABASE AUDIT SPECIFICATION

サーバー監査およびサーバー監査の仕様を作成する

サーバー監査およびデータベース監査の仕様を作成する

CREATE SERVER AUDIT (Transact-SQL)

ALTER SERVER AUDIT (Transact-SQL)

DROP SERVER AUDIT (Transact-SQL)

CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)

ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)

DROP SERVER AUDIT SPECIFICATION (Transact-SQL)

CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)

ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)

DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)

ALTER AUTHORIZATION (Transact-SQL)

sys.fn_get_audit_file (Transact-SQL)

sys.server_audits (Transact-SQL)

sys.server_file_audits (Transact-SQL)

sys.server_audit_specifications (Transact-SQL)

sys.server_audit_specification_details (Transact-SQL)

sys.database_audit_specifications (Transact-SQL)

sys.database_audit_specification_details (Transact-SQL)

sys.dm_server_audit_status (Transact-SQL)

sys.dm_audit_actions (Transact-SQL)

sys.dm_audit_class_type_map (Transact-SQL)