Auditoria do SQL Server (Mecanismo de Banco de Dados)SQL Server Audit (Database Engine)

ESTE TÓPICO APLICA-SE AO: simSQL ServersimBanco de Dados SQL do Azure (somente Instância Gerenciada)nãoSQL Data Warehouse do Azure nãoParallel Data Warehouse THIS TOPIC APPLIES TO: yesSQL ServeryesAzure SQL Database (Managed Instance only)noAzure SQL Data Warehouse noParallel Data Warehouse

Aauditoria de uma instância do Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine ou de um banco de dados individual envolve o controle e o registro em log dos eventos que ocorrem no Mecanismo de Banco de DadosDatabase Engine.Auditing an instance of the Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine or an individual database involves tracking and logging events that occur on the Mecanismo de Banco de DadosDatabase Engine. A auditoria do SQL ServerSQL Server permite criar auditorias de servidor, que podem conter especificações de auditoria de servidor para eventos no nível de servidor, além de especificações de auditoria de banco de dados para eventos no nível de banco de dados. SQL ServerSQL Server audit lets you create server audits, which can contain server audit specifications for server level events, and database audit specifications for database level events. Os eventos auditados podem ser gravados nos logs de eventos ou nos arquivos de auditoria.Audited events can be written to the event logs or to audit files.

Importante

Na Instância Gerenciada do Banco de Dados SQL do Azure, esse recurso de T-SQL tem determinadas alterações de comportamento.On Azure SQL Database Managed Instance, this T-SQL feature has certain behavior changes. Consulte Diferenças de T-SQL da Instância Gerenciada do Banco de Dados SQL do Azure em relação ao SQL Server para obter detalhes para todas as alterações de comportamento do T-SQL.See Azure SQL Database Managed Instance T-SQL differences from SQL Server for details for all T-SQL behavior changes.

Dependendo dos requisitos ou padrões governamentais de sua instalação, ha vários níveis de auditoria no SQL ServerSQL Server.There are several levels of auditing for SQL ServerSQL Server, depending on government or standards requirements for your installation. A auditoria do SQL ServerSQL Server fornece as ferramentas e os processos necessários para habilitar, armazenar e exibir auditorias em vários objetos de servidor e de banco de dados. SQL ServerSQL Server Audit provides the tools and processes you must have to enable, store, and view audits on various server and database objects.

É possível gravar grupos de ação de auditoria de servidor por instância, e grupos de ação de auditoria de banco de dados ou ações de auditoria de banco de dados por banco de dados.You can record server audit action groups per-instance, and either database audit action groups or database audit actions per database. O evento de auditoria ocorrerá sempre que a ação auditável for encontrada.The audit event will occur every time that the auditable action is encountered.

Todas as edições do SQL ServerSQL Server oferecem suporte a auditorias no nível do servidor.All editions of SQL ServerSQL Server support server level audits. Todas as edições oferecem suporte a auditorias no nível do banco de dados a partir do SQL Server 2016 (13.x)SQL Server 2016 (13.x) SP1.All editions support database level audits beginning with SQL Server 2016 (13.x)SQL Server 2016 (13.x) SP1. Antes disso, a auditoria no nível de banco de dados se limitava às edições Enterprise, Developer e Evaluation.Prior to that, database level auditing was limited to Enterprise, Developer, and Evaluation editions. Para obter mais informações, consulte Recursos com suporte nas edições do SQL Server 2016.For more information, see Features Supported by the Editions of SQL Server 2016.

Observação

Este tópico aplica-se ao SQL ServerSQL Server.This topic applies to SQL ServerSQL Server. Para Banco de Dados SQLSQL Database, confira Introdução à auditoria de banco de dados SQL.For Banco de Dados SQLSQL Database, see Get started with SQL database auditing.

Componentes de auditoria do SQL ServerSQL Server Audit Components

Auditoria é a combinação de vários elementos em um único pacote de um grupo específico de ações de servidor ou de banco de dados.An audit is the combination of several elements into a single package for a specific group of server actions or database actions. Os componentes de auditoria do SQL ServerSQL Server são combinados para produzir uma saída conhecida como auditoria, da mesma forma como uma definição de relatório combinada com elementos gráficos e de dados produz um relatório.The components of SQL ServerSQL Server audit combine to produce an output that is called an audit, just as a report definition combined with graphics and data elements produces a report.

A auditoria do SQL ServerSQL Server usa Eventos Estendidos para ajudar a criar uma auditoria. SQL ServerSQL Server audit uses Extended Events to help create an audit. Para obter mais informações sobre Eventos Estendidos, consulte Eventos Estendidos.For more information about Extended Events, see Extended Events.

Auditoria do SQL ServerSQL Server Audit

O objeto Auditoria do SQL Server coleta uma instância única de ações no nível do servidor e/ou do banco de dados e grupos de ações a serem monitoradas.The SQL Server Audit object collects a single instance of server or database-level actions and groups of actions to monitor. A auditoria está no nível de instância do SQL ServerSQL Server .The audit is at the SQL ServerSQL Server instance level. Você pode ter várias auditorias por instância do SQL ServerSQL Server .You can have multiple audits per SQL ServerSQL Server instance.

Ao definir uma auditoria, especifique o local de saída dos resultados.When you define an audit, you specify the location for the output of the results. Esse é o destino da auditoria.This is the audit destination. A auditoria é criada em um estado desabilitado e não audita automaticamente nenhuma ação.The audit is created in a disabled state, and does not automatically audit any actions. Após a habilitação da auditoria, o destino da auditoria recebe dados da auditoria.After the audit is enabled, the audit destination receives data from the audit.

Especificação da Auditoria do ServidorServer Audit Specification

O objeto Especificação da Auditoria do Servidor pertence a uma auditoria.The Server Audit Specification object belongs to an audit. É possível criar uma especificação de auditoria de servidor por auditoria, já que ambas são criadas no escopo da instância do SQL ServerSQL Server .You can create one server audit specification per audit, because both are created at the SQL ServerSQL Server instance scope.

A especificação da auditoria do servidor coleta muitos grupos de ação no nível do servidor gerados pelo recurso Eventos Estendidos.The server audit specification collects many server-level action groups raised by the Extended Events feature. É possível incluir grupos de ação de auditoria em uma especificação da auditoria do servidor.You can include audit action groups in a server audit specification. Os grupos de ação de auditoria são grupos de ações predefinidos, que são eventos atômicos que ocorrem no Mecanismo de Banco de DadosDatabase Engine.Audit action groups are predefined groups of actions, which are atomic events occurring in the Mecanismo de Banco de DadosDatabase Engine. Essas ações são enviadas à auditoria, que por sua vez os registra no destino.These actions are sent to the audit, which records them in the target.

Grupos de ação de auditoria no nível do servidor são descritos no tópico Ações e grupos de ações de auditoria do SQL Server.Server-level audit action groups are described in the topic SQL Server Audit Action Groups and Actions.

Especificação da Auditoria do Banco de DadosDatabase Audit Specification

O objeto Especificação da Auditoria do Banco de Dados também pertence à auditoria do SQL ServerSQL Server .The Database Audit Specification object also belongs to a SQL ServerSQL Server audit. É possível criar uma especificação da auditoria do banco de Dados por banco de dados do SQL ServerSQL Server por auditoria.You can create one database audit specification per SQL ServerSQL Server database per audit.

Uma especificação da auditoria do banco de dados coleciona ações de auditoria no nível do banco de dados geradas pelo recurso Eventos Estendidos.The database audit specification collects database-level audit actions raised by the Extended Events feature. É possível adicionar grupos de ações de auditoria ou de eventos de auditoria a uma especificação da auditoria do banco de dados.You can add either audit action groups or audit events to a database audit specification. Eventos de auditoria são ações atômicas que podem ser examinadas pelo mecanismo do SQL ServerSQL Server .Audit events are the atomic actions that can be audited by the SQL ServerSQL Server engine. Grupos de ação de auditoria são grupos de ações predefinidos.Audit action groups are predefined groups of actions. Ambos estão no escopo do banco de dados do SQL ServerSQL Server .Both are at the SQL ServerSQL Server database scope. Essas ações são enviadas à auditoria, que por sua vez os registra no destino.These actions are sent to the audit, which records them in the target. Não inclua objetos do escopo de servidor, como as exibições do sistema, em uma especificação de auditoria de banco de dados do usuário.Do not include server-scoped objects, such as the system views, in a user database audit specification.

Grupos de ação de auditoria no nível do banco de dados e ações de auditoria são descritos no tópico Ações e grupos de ações de auditoria do SQL Server.Database-level audit action groups and audit actions are described in the topic SQL Server Audit Action Groups and Actions.

DestinoTarget

Os resultados de uma auditoria são enviados a um destino que pode ser um arquivo, o log de eventos de Segurança do Windows ou o log de eventos de Aplicativo do Windows.The results of an audit are sent to a target, which can be a file, the Windows Security event log, or the Windows Application event log. É necessário verificar e arquivar os logs periodicamente para certificar-se de que o destino tenha espaço suficiente para gravar mais registros.Logs must be reviewed and archived periodically to make sure that the target has sufficient space to write additional records.

Importante

Qualquer usuário autenticado pode fazer a leitura ou gravação no log de eventos de Aplicativo do Windows.Any authenticated user can read and write to the Windows Application event log. O log de eventos de Aplicativo requer menos permissões que o log de eventos de Segurança do Windows e é menos seguro.The Application event log requires lower permissions than the Windows Security event log and is less secure than the Windows Security event log.

Gravar no log de Segurança do Windows exige que a conta de serviço do SQL ServerSQL Server seja adicionada à política Gerar auditorias de segurança .Writing to the Windows Security log requires the SQL ServerSQL Server service account to be added to the Generate security audits policy. Por padrão, Sistema Local, Serviço Local e Serviço de Rede fazem parte dessa política.By default, the Local System, Local Service, and Network Service are part of this policy. Esta configuração pode ser definida com o uso do snap-in de política de segurança (secpol.msc).This setting can be configured by using the security policy snap-in (secpol.msc). Além disso, é necessário habilitar a política de segurança Auditar acesso ao objeto para Êxito e Falha.Additionally, the Audit object access security policy must be enabled for both Success and Failure. Esta configuração pode ser definida com o uso do snap-in de política de segurança (secpol.msc).This setting can be configured by using the security policy snap-in (secpol.msc). No Windows VistaWindows Vista ou no Windows Server 2008, é possível definir a política mais detalhada de aplicativo gerado na linha de comando usando o programa de política de auditoria (AuditPol.exe).In Windows VistaWindows Vista or Windows Server 2008, you can set the more granular application generated policy from the command line by using the audit policy program (AuditPol.exe). Para obter mais informações sobre as etapas para habilitar a gravação no log de Segurança do Windows, consulte Gravar eventos de auditoria do SQL Server no log de segurança.For more information about the steps to enable writing to the Windows Security log, see Write SQL Server Audit Events to the Security Log. Para obter mais informações sobre o programa Auditpol.exe, consulte o artigo 921469 How to use Group Policy to configure detailed security auditingda Base de Dados de Conhecimento.For more information about the Auditpol.exe program, see Knowledge Base article 921469, How to use Group Policy to configure detailed security auditing. Os logs de eventos do Windows são globais ao sistema operacional Windows.The Windows event logs are global to the Windows operating system. Para obter mais informações sobre os logs de eventos do Windows, consulte Event Viewer Overview.For more information about the Windows event logs, see Event Viewer Overview. Se você precisar de permissões mais exatas na auditoria, use o destino de arquivo binário.If you need more precise permissions on the audit, use the binary file target.

Quando você está salvando informações de auditoria em um arquivo, para ajudar a impedir falsificação, você pode restringir o acesso ao local do arquivo das seguintes maneiras:When you are saving audit information to a file, to help prevent tampering, you can restrict access to the file location in the following ways:

  • A Conta de Serviço SQL ServerSQL Server deve ter permissão de Leitura e Gravação.The SQL ServerSQL Server Service Account must have both Read and Write permission.

  • Os Administradores de Auditoria geralmente requerem permissão de Leitura e Gravação.Audit Administrators typically require Read and Write permission. Isso pressupõe que os Administradores de Auditoria sejam contas do Windows para a administração de arquivos de auditoria, por exemplo, copiando-os em compartilhamentos diferentes, armazenando-os em backup e assim por diante.This assumes that the Audit Administrators are Windows accounts for administration of audit files, such as: copying them to different shares, backing them up, and so on.

  • Os Leitores de Auditoria que são autorizados a ler os arquivos de auditoria precisam ter permissão de Leitura.Audit Readers that are authorized to read audit files must have Read permission.

    Mesmo quando o Mecanismo de Banco de DadosDatabase Engine estiver gravando em um arquivo, outros usuários do Windows poderão ler o arquivo de auditoria se tiverem permissão.Even when the Mecanismo de Banco de DadosDatabase Engine is writing to a file, other Windows users can read the audit file if they have permission. O Mecanismo de Banco de DadosDatabase Engine não possui um bloqueio exclusivo que impeça operações de leitura.The Mecanismo de Banco de DadosDatabase Engine does not take an exclusive lock that prevents read operations.

    Como o Mecanismo de Banco de DadosDatabase Engine pode acessar o arquivo, os logons do SQL ServerSQL Server que tiverem a permissão do CONTROL SERVER poderão usar o Mecanismo de Banco de DadosDatabase Engine para acessar os arquivos de auditoria.Because the Mecanismo de Banco de DadosDatabase Engine can access the file, SQL ServerSQL Server logins that have CONTROL SERVER permission can use the Mecanismo de Banco de DadosDatabase Engine to access the audit files. Para registrar qualquer usuário que esteja lendo o arquivo de auditoria, defina uma auditoria em master.sys.fn_get_audit_file.To record any user that is reading the audit file, define an audit on master.sys.fn_get_audit_file. Isso registra os logons com permissão CONTROL SERVER que acessaram o arquivo de auditoria por meio do SQL ServerSQL Server.This records the logins with CONTROL SERVER permission that have accessed the audit file through SQL ServerSQL Server.

    Se um Administrador de Auditoria copiar o arquivo em um local diferente (para fins de arquivamento, entre outros), as ACLs no novo local deverão ter apenas as seguintes permissões:If an Audit Administrator copies the file to a different location (for archive purposes, and so on), the ACLs on the new location should be reduced to the following permissions:

  • Administrador de Auditoria – Leitura/GravaçãoAudit Administrator – Read / Write

  • Leitor de Auditoria - LeituraAudit Reader – Read

    É recomendável gerar relatórios de auditoria de uma instância separada do SQL ServerSQL Server, como uma instância do SQL Server ExpressSQL Server Express, a qual apenas Administradores de Auditoria ou Leitores de Auditoria tenham acesso.We recommend that you generate audit reports from a separate instance of SQL ServerSQL Server, such as an instance of SQL Server ExpressSQL Server Express, to which only Audit Administrators or Audit Readers have access. Ao usar uma instância separada do Mecanismo de Banco de DadosDatabase Engine para relatório, você pode ajudar a impedir que usuários não autorizados obtenham acesso ao registro de auditoria.By using a separate instance of the Mecanismo de Banco de DadosDatabase Engine for reporting, you can help prevent unauthorized users from obtaining access to the audit record.

    Você pode oferecer proteção adicional contra acesso não autorizado criptografando a pasta na qual o arquivo de auditoria é armazenado usando Criptografia de Unidade de Windows BitLocker ou Sistema de Arquivo do Windows Encrypting.You can offer additional protection against unauthorized access by encrypting the folder in which the audit file is stored by using Windows BitLocker Drive Encryption or Windows Encrypting File System.

    Para obter mais informações sobre os registros de auditoria gravados no destino, consulte SQL Server Audit Records.For more information about the audit records that are written to the target, see SQL Server Audit Records.

Visão geral do uso de auditoria do SQL ServerOverview of Using SQL Server Audit

É possível usar o SQL Server Management StudioSQL Server Management Studio ou o Transact-SQLTransact-SQL para definir uma auditoria.You can use SQL Server Management StudioSQL Server Management Studio or Transact-SQLTransact-SQL to define an audit. Após a criação e habilitação da auditoria, o destino receberá entradas.After the audit is created and enabled, the target will receive entries.

É possível ler os logs de eventos do Windows usando o utilitário Visualizador de Eventos do Windows.You can read the Windows event logs by using the Event Viewer utility in Windows. Para destinos de arquivo, é possível usar o Visualizador do Arquivo de Log no SQL Server Management StudioSQL Server Management Studio ou a função fn_get_audit_file para ler o arquivo de destino.For file targets, you can use either the Log File Viewer in SQL Server Management StudioSQL Server Management Studio or the fn_get_audit_file function to read the target file.

O processo geral para criar e usar uma auditoria do é o seguinte.The general process for creating and using an audit is as follows.

  1. Crie uma auditoria e defina o destino.Create an audit and define the target.

  2. Crie uma especificação da auditoria do servidor ou especificação da auditoria do banco de dados que mapeie para a auditoria.Create either a server audit specification or database audit specification that maps to the audit. Habilite a especificação de auditoria.Enable the audit specification.

  3. Habilite a auditoria.Enable the audit.

  4. Leia os eventos de auditoria usando o recurso Visualizador de Eventosdo Windows, o Visualizador do Arquivo de Logou a função fn_get_audit_file.Read the audit events by using the Windows Event Viewer, Log File Viewer, or the fn_get_audit_file function.

    Para obter mais informações, consulte Create a Server Audit and Server Audit Specification e Create a Server Audit and Database Audit Specification.For more information, see Create a Server Audit and Server Audit Specification and Create a Server Audit and Database Audit Specification.

ConsideraçõesConsiderations

No caso de falha durante o início da auditoria, o servidor não será iniciado.In the case of a failure during audit initiation, the server will not start. Nesse caso, é possível iniciar o servidor usando a opção –f na linha de comando.In this case, the server can be started by using the –f option at the command line.

Quando uma falha na auditoria faz com que o servidor seja desligado ou não seja iniciado devido à especificação de ON_FAILURE=SHUTDOWN para a auditoria, o evento MSG_AUDIT_FORCED_SHUTDOWN é gravado no log.When an audit failure causes the server to shut down or not to start because ON_FAILURE=SHUTDOWN is specified for the audit, the MSG_AUDIT_FORCED_SHUTDOWN event will be written to the log. Como o desligamento ocorrerá quando configuração for encontrada pela primeira vez, o evento será gravado uma vez.Because the shutdown will occur on the first encounter of this setting, the event will be written one time. Esse evento será gravado após a mensagem de falha da auditoria provocar o desligamento.This event is written after the failure message for the audit causing the shutdown. Um administrador pode ignorar os desligamentos induzidos por auditoria iniciando o SQL ServerSQL Server no modo de usuário único usando o sinalizador –m .An administrator can bypass audit-induced shutdowns by starting SQL ServerSQL Server in Single User mode using the –m flag. Se você iniciar no modo de Usuário Único, desatualizará qualquer auditoria em que ON_FAILURE=SHUTDOWN estiver especificado para execução naquela sessão como ON_FAILURE=CONTINUE.If you start in Single User mode, you will downgrade any audit where ON_FAILURE=SHUTDOWN is specified to run in that session as ON_FAILURE=CONTINUE. Quando o SQL ServerSQL Server for iniciado pelo sinalizador –m , a mensagem MSG_AUDIT_SHUTDOWN_BYPASSED será gravada no log de erros.When SQL ServerSQL Server is started by using the –m flag, the MSG_AUDIT_SHUTDOWN_BYPASSED message will be written to the error log.

Para obter mais informações sobre as opções de inicialização do serviço, consulte Opções de inicialização do serviço Mecanismo de Banco de Dados.For more information about service startup options, see Database Engine Service Startup Options.

Anexando um banco de dados a uma auditoria definidaAttaching a Database with an Audit Defined

Anexar um banco de dados que tenha uma especificação de auditoria e especifica um GUID inexistente ao servidor gerará uma especificação de auditoria órfã .Attaching a database that has an audit specification and specifies a GUID that does not exist on the server will cause an orphaned audit specification. Como não existe uma auditoria com um GUID correspondente na instância do servidor, nenhum evento de auditoria será gravado.Because an audit with a matching GUID does not exist on the server instance, no audit events will be recorded. Para corrigir isso, use o comando ALTER DATABASE AUDIT SPECIFICATION para conectar a especificação de auditoria órfã a uma auditoria de servidor existente.To correct this situation, use the ALTER DATABASE AUDIT SPECIFICATION command to connect the orphaned audit specification to an existing server audit. Ou use o comando CREATE SERVER AUDIT para criar uma nova auditoria de servidor com o GUID especificado.Or, use the CREATE SERVER AUDIT command to create a new server audit with the specified GUID.

É possível anexar um banco de dados que tenha uma especificação de auditoria definida a outra edição do SQL ServerSQL Server que não dê suporte à auditoria do SQL ServerSQL Server , como o SQL Server ExpressSQL Server Express , mas os eventos de auditoria não serão gravados.You can attach a database that has an audit specification defined on it to another edition of SQL ServerSQL Server that does not support SQL ServerSQL Server audit, such as SQL Server ExpressSQL Server Express but it will not record audit events.

Espelhamento de Banco de Dados e o SQL Server AuditDatabase Mirroring and SQL Server Audit

Um banco de dados com uma especificação de auditoria de banco de dados definida e que usa espelhamento de banco de dados incluirá a especificação de auditoria de banco de dados.A database that has a database audit specification defined and that uses database mirroring will include the database audit specification. Para funcionar corretamente na instância de SQL espelhada, é necessário configurar os seguintes itens:To work correctly on the mirrored SQL instance, the following items must be configured:

  • É necessário que o servidor espelho tenha uma auditoria com o mesmo GUID para habilitar a especificação de auditoria de banco de dados para gravar registros de auditoria.The mirror server must have an audit with the same GUID to enable the database audit specification to write audit records. Isso pode ser configurado usando o comando CREATE AUDIT WITH GUID=<<GUID da Auditoria de Servidor de origem>.This can be configured by using the command CREATE AUDIT WITH GUID=<GUID from source Server Audit>.

  • Para destinos de arquivos binários, é necessário que a conta do serviço de servidor espelho tenha as permissões apropriadas onde a trilha de auditoria começou a ser gravada.For binary file targets, the mirror server service account must have appropriate permissions to the location where the audit trail is being written.

  • Para destinos de log de eventos do Windows, a política de segurança no computador em que se encontra o servidor espelho deve permitir o acesso de conta de serviço ao log de eventos de aplicativo ou de segurança.For Windows event log targets, the security policy on the computer where the mirror server is located must allow for service account access to the security or application event log.

Administradores de auditoriaAuditing Administrators

Os membros da função de servidor fixa sysadmin são identificados como o usuário dbo em cada banco de dados.Members of the sysadmin fixed server role are identified as the dbo user in each database. Para auditar as ações dos administradores, audite as ações do usuário dbo .To audit actions of the administrators, audit the actions of the dbo user.

Criando e gerenciando auditorias com o Transact-SQLCreating and Managing Audits with Transact-SQL

É possível usar instruções DDL, funções e exibições de gerenciamento dinâmico e exibições do catálogo para implementar todos os aspectos da Auditoria do SQL ServerSQL Server .You can use DDL statements, dynamic management views and functions, and catalog views to implement all aspects of SQL ServerSQL Server Audit.

Instruções de linguagem de definição de dadosData Definition Language Statements

É possível usar as seguintes instruções DDL para criar, alterar e remover especificações de auditoria:You can use the following DDL statements to create, alter, and drop audit specifications:

ALTER AUTHORIZATIONALTER AUTHORIZATION CREATE SERVER AUDITCREATE SERVER AUDIT
ALTER DATABASE AUDIT SPECIFICATIONALTER DATABASE AUDIT SPECIFICATION CREATE SERVER AUDIT SPECIFICATIONCREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDITALTER SERVER AUDIT DROP DATABASE AUDIT SPECIFICATIONDROP DATABASE AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATIONALTER SERVER AUDIT SPECIFICATION DROP SERVER AUDITDROP SERVER AUDIT
CREATE DATABASE AUDIT SPECIFICATIONCREATE DATABASE AUDIT SPECIFICATION DROP SERVER AUDIT SPECIFICATIONDROP SERVER AUDIT SPECIFICATION

Exibições e funções dinâmicasDynamic Views and Functions

A tabela a seguir lista as exibições e funções dinâmicas que podem ser usadas na auditoria do SQL ServerSQL Server .The following table lists the dynamic views and function that you can use for SQL ServerSQL Server Auditing.

Exibições e funções dinâmicasDynamic views and functions DescriçãoDescription
sys.dm_audit_actionssys.dm_audit_actions Retorna uma linha para cada ação de auditoria que pode ser reportada no log de auditoria e para cada grupo de ação de auditoria que pode ser configurado como parte do SQL ServerSQL Server Audit.Returns a row for every audit action that can be reported in the audit log and every audit action group that can be configured as part of SQL ServerSQL Server Audit.
sys.dm_server_audit_statussys.dm_server_audit_status Fornece informações sobre o estado atual da auditoria.Provides information about the current state of the audit.
sys.dm_audit_class_type_mapsys.dm_audit_class_type_map Retorna uma tabela que mapeia o campo class_type do log de auditoria para o campo class_desc em sys.dm_audit_actions.Returns a table that maps the class_type field in the audit log to the class_desc field in sys.dm_audit_actions.
fn_get_audit_filefn_get_audit_file Retorna informações de um arquivo de auditoria criado por uma auditoria de servidor.Returns information from an audit file created by a server audit.

Exibições do catálogoCatalog Views

A tabela a seguir lista as exibições do catálogo que podem ser usadas para auditoria do SQL ServerSQL Server .The following table lists the catalog views that you can use for SQL ServerSQL Server auditing.

Exibições do catálogoCatalog views DescriçãoDescription
sys.database_ audit_specificationssys.database_ audit_specifications Contém informações sobre as especificações de auditoria do banco de dados de uma auditoria do SQL ServerSQL Server em uma instância de servidor.Contains information about the database audit specifications in a SQL ServerSQL Server audit on a server instance.
sys.database_audit_specification_detailssys.database_audit_specification_details Contém informações sobre as especificações de auditoria de banco de dados em uma auditoria do SQL ServerSQL Server em uma instância de servidor para todos os bancos de dados.Contains information about the database audit specifications in a SQL ServerSQL Server audit on a server instance for all databases.
sys.server_auditssys.server_audits Contém uma linha para cada auditoria do SQL ServerSQL Server em uma instância de servidor.Contains one row for each SQL ServerSQL Server audit in a server instance.
sys.server_audit_specificationssys.server_audit_specifications Contém informações sobre as especificações de auditoria do servidor em uma auditoria do SQL ServerSQL Server em uma instância do servidor.Contains information about the server audit specifications in a SQL ServerSQL Server audit on a server instance.
sys.server_audit_specifications_detailssys.server_audit_specifications_details Contém informações sobre os detalhes (ações) de especificação de auditoria de servidor em uma auditoria do SQL ServerSQL Server em uma instância de servidor.Contains information about the server audit specification details (actions) in a SQL ServerSQL Server audit on a server instance.
sys.server_file_auditssys.server_file_audits Contém informações estendidas de repositórios sobre o tipo de auditoria de arquivo em uma auditoria do SQL ServerSQL Server , em uma instância do servidor.Contains stores extended information about the file audit type in a SQL ServerSQL Server audit on a server instance.

PermissõesPermissions

Cada recurso e comando de Auditoria do SQL ServerSQL Server tem requisitos de permissão individuais.Each feature and command for SQL ServerSQL Server Audit has individual permission requirements.

Para criar, alterar ou descartar uma Auditoria de Servidor ou uma Especificação de Auditoria de Servidor, as entidades de segurança exigem a permissão ALTER ANY SERVER AUDIT ou a permissão CONTROL SERVER.To create, alter, or drop a Server Audit or Server Audit Specification, server principals require the ALTER ANY SERVER AUDIT or the CONTROL SERVER permission. Para criar, alterar ou descartar uma Especificação de Auditoria de Banco de Dados, as entidades de segurança de banco de dados exigem a permissão DATABASE AUDIT ou ALTER ou CONTROL no banco de dados.To create, alter, or drop a Database Audit Specification, database principals require the ALTER ANY DATABASE AUDIT permission or the ALTER or CONTROL permission on the database. Além disso, as entidades de segurança devem ter permissão para se conectar ao banco de dados ou à permissão ALTER ANY SERVER AUDIT ou CONTROL SERVER.In addition, principals must have permission to connect to the database, or ALTER ANY SERVER AUDIT or CONTROL SERVER permissions.

A permissão VIEW ANY DEFINITION fornece acesso para exibir os modos de exibição de auditoria no nível de servidor e VIEW DEFINITION fornece acesso para exibir os modos de exibição de auditoria no nível de banco de dados.The VIEW ANY DEFINITION permission provides access to view the server level audit views and VIEW DEFINITION provides access to view the database level audit views. A negação dessas permissões substitui a capacidade de exibir os modos de exibição de catálogo, mesmo que a entidade de segurança tenha as permissões ALTER ANY SERVER AUDIT ou ALTER ANY DATABASE AUDIT.Denial of these permissions, overrides the ability to view the catalog views, even if the principal has the ALTER ANY SERVER AUDIT or ALTER ANY DATABASE AUDIT permissions.

Para obter mais informações sobre como conceder direitos e permissões, consulte GRANT (Transact-SQL).For more information about how to grant rights and permissions, see GRANT (Transact-SQL).

Cuidado

Entidades na função sysadmin podem violar qualquer componente de auditoria e aqueles na função db_owner podem violar quaisquer especificações em um banco de dados.Principals in the sysadmin role can tamper with any audit component and those in the db_owner role can tamper with audit specifications in a database. A auditoria do SQL ServerSQL Server valida esse logon que cria ou altera uma especificação de auditoria que tenha pelo menos a permissão ALTER ANY DATABASE AUDIT. SQL ServerSQL Server Audit will validate that a logon that creates or alters an audit specification has at least the ALTER ANY DATABASE AUDIT permission. No entanto, ela não faz nenhuma validação quando você anexa um banco de dados.However, it does no validation when you attach a database. Você deve considerar que todas as Especificações de Auditoria de Banco de Dados são seguras somente para as entidades nas funções sysadmin ou db_owner.You should assume all Database Audit Specifications are only as trustworthy as those principals in the sysadmin or db_owner role.

Criar uma auditoria de servidor e uma especificação de auditoria de servidorCreate a Server Audit and Server Audit Specification

Criar uma especificação de auditoria de banco de dados e de servidorCreate a Server Audit and Database Audit Specification

Exibir um log auditoria do SQL ServerView a SQL Server Audit Log

Gravar eventos de auditoria do SQL Server no log de segurançaWrite SQL Server Audit Events to the Security Log

Propriedades do Servidor (Página Segurança)Server Properties (Security Page)
Explica como ativar a auditoria de logon para o SQL ServerSQL Server.Explains how to turn on login auditing for SQL ServerSQL Server. Os registros de auditoria são armazenados no log do aplicativo do Windows.The audit records are stored in the Windows application log.

Opção de configuração do servidor do modo de auditoria de c2c2 audit mode Server Configuration Option
Explica o modo de auditoria de conformidade de segurança de C2 no SQL ServerSQL Server.Explains the C2 security compliance auditing mode in SQL ServerSQL Server.

Categoria de evento de Auditoria de Segurança (SQL Server Profiler)Security Audit Event Category (SQL Server Profiler)
Explica os eventos de auditoria que podem ser usados no SQL Server ProfilerSQL Server Profiler.Explains the audit events you can use in SQL Server ProfilerSQL Server Profiler. Para saber mais, confira SQL Server Profiler.For more information, see SQL Server Profiler.

Rastreamento do SQLSQL Trace
Explica como o Rastreamento do SQL pode ser usado nos seus próprios aplicativos para criar rastreamentos manualmente em vez de usar o SQL ServerSQL Server Profiler.Explains how SQL Trace can be used from within your own applications to create traces manually, instead of using SQL ServerSQL Server Profiler.

Gatilhos DDLDDL Triggers
Explica como os gatilhos DDL (linguagem de definição de dados) podem ser usados para controlar alterações nos bancos de dados.Explains how you can use Data Definition Language (DDL) triggers to track changes to your databases.

Microsoft TechNet: TechCenter do SQL Server: Segurança e proteção do SQL Server 2005Microsoft TechNet: SQL Server TechCenter: SQL Server 2005 Security and Protection
Fornece informações atualizadas sobre a segurança do SQL ServerSQL Server .Provides up-to-date information about SQL ServerSQL Server security.

Consulte TambémSee Also

Ações e grupos de ações de auditoria do SQL Server SQL Server Audit Action Groups and Actions
Registros de auditoria do SQL ServerSQL Server Audit Records