Создание аудита сервера и спецификации аудита сервера

  • Статья

В данном разделе описывается процесс создания аудита сервера и спецификации аудита сервера в SQL Server 2012 с помощью среды Среда SQL Server Management Studio или Transact-SQL. Аудит экземпляра SQL Server или базы данных SQL Server включает в себя отслеживание и протоколирование событий, происходящих в системе. Объект Подсистема аудита SQL Server объединяет отдельные экземпляры действий или групп действий уровня сервера или базы данных, за которыми нужно проводить наблюдение. Аудит работает на уровне экземпляра SQL Server. На одном экземпляре SQL Server может существовать несколько аудитов. Объект Спецификация аудита сервера принадлежит аудиту. Для каждого аудита вы можете создать один объект спецификации аудита сервера, поскольку они оба создаются в области экземпляра SQL Server. Дополнительные сведения см. в разделе Подсистема аудита SQL Server (Database Engine).

В этом разделе

  • Перед началом работы выполните следующие действия.

    Ограничения

    Безопасность

  • Создание аудита сервера и спецификации аудита сервера с помощью:

    Среда SQL Server Management Studio

    Transact-SQL

Перед началом

Ограничения

  • Аудит должен существовать, прежде чем для него будет создана спецификация аудита сервера. Спецификация аудита сервера после создания находится в отключенном состоянии.

  • Инструкция CREATE SERVER AUDIT относится к области транзакции. Если выполняется откат транзакции, происходит также откат этой инструкции.

Безопасность

Разрешения

  • Чтобы создать, изменить или удалить аудит сервера, участникам требуется разрешение ALTER ANY SERVER AUDIT или CONTROL SERVER.

  • Пользователи с разрешением ALTER ANY SERVER AUDIT могут создавать спецификации аудита сервера и привязывать их к любому аудиту.

  • После того как создана спецификация аудита сервера, ее могут просмотреть участники с разрешениями CONTROL SERVER или ALTER ANY SERVER AUDIT, учетная запись sysadmin, или участники, имеющие явный доступ к аудиту.

Значок стрелки, используемый со ссылкой «В начало»[Top]

Использование среды SQL Server Management Studio

Создание аудита сервера

  1. В обозревателе объектов раскройте папку Безопасность.

  2. Щелкните правой кнопкой мыши папку Аудиты и выберите пункт Создать аудит...

    На странице Общие диалогового окна Создание аудита доступны следующие параметры.

    • Имя аудита
      Имя аудита. Формируется автоматически при создании нового аудита, но может быть изменено.

    • Задержка очереди (в миллисекундах)
      Определяет задержку в миллисекундах, после которой продолжается выполнение действий аудита. Значение 0 соответствует синхронной доставке. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение составляет 2 147 483 647 (2 147 483,647 секунд или 24 дня, 20 часов, 31 минута и 23,647 секунд).

    • При сбое журнала аудита:

      • Продолжить
        Работа SQL Server продолжается. Записи аудита не сохраняются. Аудит продолжает попытки регистрации событий и будет возобновлен, если причина сбоя будет устранена. Выбор варианта Продолжить разрешает непроверенные действия, которые могут нарушать политики безопасности. Выберите этот параметр, если продолжение операции компонента Компонент Database Engine является более важным, чем сохранение полного аудита. Это параметр выбирается по умолчанию.

      • Завершение работы сервера
        Приводит к остановке сервера, когда экземпляр сервера, который выполняет запись по назначению, не может записать данные в цель аудита. Имя входа, выполняющее эту команду, должно иметь разрешение SHUTDOWN. Если учетная запись не имеет этого разрешения, то функция завершится неуспешно и будет выдано сообщение об ошибке. Отсутствуют события аудита. Выберите этот параметр, если сбой аудита может нанести ущерб безопасности или целостности системы.

      • Ошибка операции
        В случае если SQL Server не может выполнить запись в журнал аудита, этот параметр вызывает завершение действий с базами данных с ошибкой, если в противном случае они бы привели к возникновению событий аудита. Отсутствуют события аудита. Действия, которые не вызывают события аудита, можно продолжить. Аудит продолжает попытки регистрации событий и будет возобновлен, если причина сбоя будет устранена. Выберите этот параметр, если обеспечение полного аудита более важно, чем полный доступ к компоненту Компонент Database Engine.

      Примечание по безопасностиПримечание по безопасности

      Когда аудит находится в состоянии сбоя, выделенное административное соединение может продолжать выполнять подвергающиеся аудиту события.

    • Список Назначение аудита
      Указывает цель для данных аудита. Возможные варианты — двоичный файл, журнал событий приложений Windows или журнал безопасности Windows. SQL Server не может выполнить запись в журнал безопасности Windows без настройки дополнительных параметров Windows. Дополнительные сведения см. в разделе Запись событий подсистемы аудита SQL Server в журнал безопасности.

    • Путь к файлу
      Указывает местоположение папки, в которую записываются данные аудита, если Тип назначения аудита — файл.

    • Многоточие (…)
      Открывает диалоговое окно Выбор папки — server_name, чтобы указать путь к файлу или создать папку, в которую записывается файл аудита.

    • Максимальное количество файлов аудита:

      • Максимальное число файлов продолжения
        Указывает, что при достижении максимального числа файлов аудита самые старые файлы аудита перезаписываются новым содержимым.

      • Максимальное число файлов
        Указывает, что при достижении максимального числа файлов аудита любое действие, которое вызывает создание дополнительных событий аудита, завершится с ошибкой.

      • Флажок Неограниченное количество
        При установке флажка Неограниченное количество для параметра Максимальное число файлов продолжения отсутствует ограничение на число создаваемых файлов аудита. Флажок Неограниченное количество установлен по умолчанию и используется для параметров Максимальное число файлов продолжения и Максимальное число файлов.

      • Поле Количество файлов
        Указывает количество создаваемых файлов аудита, до 2 147 483 647. Этот параметр доступен, только если флажок Неограниченное количество снят.

    • Максимальный размер файла
      Определяет максимальный размер для файла аудита, в мегабайтах (МБ), гигабайтах (ГБ) или терабайтах (ТБ). Вы можете задать значение от 1 024 МБ до 2 147 483 647 TB. Установка флажка в поле Неограниченное количество не налагает ограничения на размер файла. При указании значения менее 1 024 МБ возникнет ошибка. Флажок Неограниченное количество установлен по умолчанию.

    • Флажок Резервирование места на диске
      Указывает, что пространство, заранее выделенное на диске, равно указанному максимальному размеру файла. Этот параметр можно использовать, только если не установлен флажок Неограниченное количество для параметра Максимальный размер файла. Это флажок по умолчанию не установлен.

  3. Кроме того, на странице Фильтр введите предикат или предложение WHERE относительно аудита сервера для указания дополнительных параметров, недоступных на странице Общие. Заключите предикат в круглые скобки, например: (object_name = 'EmployeesTable').

  4. После завершения выбора параметров нажмите кнопку ОК.

Создание спецификации аудита сервера

  1. В обозревателе объектов щелкните знак «плюс», чтобы развернуть папку Безопасность.

  2. Щелкните правой кнопкой мыши папку Спецификации аудита сервера и выберите пункт Создать спецификацию аудита сервера...

    В диалоговом окне Создание спецификации аудита сервера доступны следующие параметры.

    • Название
      Имя спецификации аудита сервера. Этот текст формируется автоматически во время создания новой спецификации аудита сервера, однако он доступен для изменения.

    • Аудит
      Имя существующего аудита сервера. Введите имя аудита или выберите его из списка.

    • Тип действия аудита
      Указывает группы действий аудита на уровне сервера и действия аудита для захвата. Список групп действий аудита на уровне сервера и действий аудита, а также описание содержащихся в них событий см. в разделе Действия и группы действий подсистемы аудита SQL Server.

    • Схема объекта
      Отображает схему для указанного Имени объекта.

    • Имя объекта
      Имя объекта для аудита. Доступно только для действий аудита и неприменимо к группам аудита.

    • Многоточие (…)
      Открывает диалоговое окно Выбор объектов для просмотра и выбора доступного объекта на основе указанного Типа действия аудита.

    • Имя участника
      Учетная запись для фильтрации аудита для объекта, подвергнутого аудиту.

    • Многоточие (…)
      Открывает диалоговое окно Выбор объектов для просмотра и выбора доступного объекта на основе указанного параметра Имя объекта.

  3. По завершении нажмите кнопку ОК.

Значок стрелки, используемый со ссылкой «В начало»[Top]

Использование Transact-SQL

Создание аудита сервера

  1. В обозревателе объектов установите соединение с экземпляром компонента Компонент Database Engine.

  2. На панели «Стандартная» выберите пункт Создать запрос.

  3. Скопируйте следующий пример в окно запроса и нажмите кнопку Выполнить.

    -- Creates a server audit called "HIPPA_Audit" with a binary file as the target and no options.
CREATE SERVER AUDIT HIPAA_Audit
    TO FILE ( FILEPATH ='\\SQLPROD_1\Audit\' );

Создание спецификации аудита сервера

  1. В обозревателе объектов установите соединение с экземпляром компонента Компонент Database Engine.

  2. На панели «Стандартная» выберите пункт Создать запрос.

  3. Скопируйте следующий пример в окно запроса и нажмите кнопку Выполнить.

    /*Creates a server audit specification called "HIPPA_Audit_Specification" that audits failed logins for the SQL Server audit "HIPPA_Audit" created above.
*/

CREATE SERVER AUDIT SPECIFICATION HIPPA_Audit_Specification
FOR SERVER AUDIT HIPPA_Audit
    ADD (FAILED_LOGIN_GROUP);
GO
-- Enables the audit. 

ALTER SERVER AUDIT HIPAA_Audit
WITH (STATE = ON);
GO

Дополнительные сведения см. в разделах CREATE SERVER AUDIT (Transact-SQL) и CREATE SERVER AUDIT SPECIFICATION (Transact-SQL).

Значок стрелки, используемый со ссылкой «В начало»[Top]