Действия и группы действий подсистемы аудита SQL ServerSQL Server Audit Action Groups and Actions

ОБЛАСТЬ ПРИМЕНЕНИЯ: даSQL Server нетБаза данных SQL AzureнетХранилище данных SQL AzureнетParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

Подсистема аудита SQL ServerSQL Server позволяет производить аудит групп событий или отдельных событий на уровне сервера или базы данных.The SQL ServerSQL Server Audit feature enables you to audit server-level and database-level groups of events and individual events. Дополнительные сведения см. в статье Подсистема аудита SQL Server (ядро СУБД).For more information, see SQL Server Audit (Database Engine).

SQL ServerSQL Server может содержать ноль или более элементов действий аудита.audits consist of zero or more audit action items. Эти элементы действий аудита могут быть как группами действий, например Server_Object_Change_Group, так и отдельными действиями, например операциями SELECT для таблицы.These audit action items can be either a group of actions, such as Server_Object_Change_Group, or individual actions such as SELECT operations on a table.

Примечание

Server_Object_Change_Group включает операции CREATE, ALTER и DROP для любого серверного объекта (базы данных или конечной точки).Server_Object_Change_Group includes CREATE, ALTER, and DROP for any server object (Database or Endpoint).

У операций аудита могут быть следующие категории действий.Audits can have the following categories of actions:

  • Уровня сервера.Server-level. Эти действия включают серверные операции, например изменения управления и операции входа и выхода из системы.These actions include server operations, such as management changes and logon and logoff operations.

  • Уровень базы данных.Database-level. Эти действия включают в себя операции языка обработки данных (DML) и языка DDL.These actions encompass data manipulation languages (DML) and data definition language (DDL) operations.

  • Уровня аудита.Audit-level. Эти действия включают в себя действия, происходящие во время аудита.These actions include actions in the auditing process.

Некоторые действия, выполняемые в компонентах подсистемы аудита SQL ServerSQL Server , подлежат внутреннему аудиту; в этом случае действия аудита происходят автоматически, поскольку событие происходит в родительском объекте.Some actions performed on SQL ServerSQL Server auditing components are intrinsically audited in a specific audit, and in these cases audit events occur automatically because the event occurred on the parent object.

Следующие действия подлежат аудиту по своей природе.The following actions are intrinsically audited:

  • Изменение состояния подсистемы аудита сервера (включение или отключение)Server Audit State Change (setting State to ON or OFF)

Это событие по своей природе не подлежат аудиту.The following events are not intrinsically audited:

  • CREATE SERVER AUDIT SPECIFICATIONCREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATIONALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATIONDROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATIONCREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATIONALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATIONDROP DATABASE AUDIT SPECIFICATION

Все операции аудита отключаются при первоначальном создании.All audits are disabled when initially created.

Группы действий аудита уровня сервераServer-Level Audit Action Groups

Группы действий аудита уровня сервера — это действия, похожие на классы событий аудита безопасности SQL ServerSQL Server .Server-level audit action groups are actions similar to SQL ServerSQL Server security audit event classes. Дополнительные сведения см. в разделе SQL Server Event Class Reference.For more information, see SQL Server Event Class Reference.

В следующей таблице приведены группы действий аудита уровня сервера и представлены эквивалентные классы событий SQL Server (если возможно).The following table describes the server-level audit action groups and provides the equivalent SQL Server Event Class where applicable.

Имя группы действийAction group name ОписаниеDescription
APPLICATION_ROLE_CHANGE_PASSWORD_GROUPAPPLICATION_ROLE_CHANGE_PASSWORD_GROUP Это событие появляется при изменении пароля для роли приложения.This event is raised whenever a password is changed for an application role. Эквивалентно Audit App Role Change Password Event Class.Equivalent to the Audit App Role Change Password Event Class.
AUDIT_CHANGE_GROUPAUDIT_CHANGE_GROUP Это событие возникает при создании, изменении или удалении любого аудита.This event is raised whenever any audit is created, modified or deleted. Это событие возникает при создании, изменении или удалении спецификации любого аудита.This event is raised whenever any audit specification is created, modified, or deleted. Аудит любых изменений в аудите производится в этом аудите.Any change to an audit is audited in that audit. Эквивалентно Audit Change Audit Event Class.Equivalent to the Audit Change Audit Event Class.
BACKUP_RESTORE_GROUPBACKUP_RESTORE_GROUP Это событие вызывается командой резервного копирования или восстановления.This event is raised whenever a backup or restore command is issued. Эквивалент класса событий Audit Backup и Restore.Equivalent to the Audit Backup and Restore Event Class.
BROKER_LOGIN_GROUPBROKER_LOGIN_GROUP Это событие вызывается для составления отчета о сообщениях аудита, связанных с механизмом обеспечения безопасности транспорта компонента Service Broker.This event is raised to report audit messages related to Service Broker transport security. Эквивалентно Audit Broker Login Event Class.Equivalent to the Audit Broker Login Event Class.
DATABASE_CHANGE_GROUPDATABASE_CHANGE_GROUP Это событие вызывается при создании, изменении или удалении базы данных.This event is raised when a database is created, altered, or dropped. Это событие возникает при создании, изменении или удалении любой базы данных.This event is raised whenever any database is created, altered or dropped. Эквивалентно Audit Database Management Event Class.Equivalent to the Audit Database Management Event Class.
DATABASE_LOGOUT_GROUPDATABASE_LOGOUT_GROUP Это событие возникает при выходе пользователя автономной базы данных из базы данных.This event is raised when a contained database user logs out of a database.
DATABASE_MIRRORING_LOGIN_GROUPDATABASE_MIRRORING_LOGIN_GROUP Это событие вызывается для составления отчета о сообщениях аудита, связанных с механизмом обеспечения безопасности транспорта зеркального отображения базы данных.This event is raised to report audit messages related to database mirroring transport security. Эквивалентно Audit Database Mirroring Login Event Class.Equivalent to the Audit Database Mirroring Login Event Class.
DATABASE_OBJECT_ACCESS_GROUPDATABASE_OBJECT_ACCESS_GROUP Это событие вызывается каждый раз при обращении к типам сообщений, сборкам и контрактам.This event is raised whenever database objects such as message type, assembly, contract are accessed. Это событие возникает при любом доступе к любой базе данных.This event is raised for any access to any database. Примечание. Это может привести к появлению большого количества записей аудита.Note: This could potentially lead to large audit records.

Эквивалентно Audit Database Object Access Event Class.Equivalent to the Audit Database Object Access Event Class.
DATABASE_OBJECT_CHANGE_GROUPDATABASE_OBJECT_CHANGE_GROUP Это событие вызывается в тот момент, когда для объекта базы данных (например, для схемы) выполняется инструкция CREATE, ALTER или DROP.This event is raised when a CREATE, ALTER, or DROP statement is executed on database objects, such as schemas. Это событие возникает при создании, изменении или удалении любого объекта базы данных.This event is raised whenever any database object is created, altered or dropped. Примечание. Это приводит к очень большому количеству записей аудита.Note: This could lead to very large quantities of audit records.

Эквивалентно Audit Database Object Management Event Class.Equivalent to the Audit Database Object Management Event Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUPDATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при изменении владельца объекта в области базы данных.This event is raised when a change of owner for objects within database scope. Это событие возникает при любом изменении владельца объекта в любой базе данных на сервере.This event is raised for any object ownership change in any database on the server. Эквивалентно Audit Database Object Take Ownership Event Class.Equivalent to the Audit Database Object Take Ownership Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUPDATABASE_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает в тот момент, когда для объекта базы данных (например, сборки или схемы) выполняется инструкция GRANT, REVOKE или DENY.This event is raised when a GRANT, REVOKE, or DENY has been issued for database objects, such as assemblies and schemas. Это событие возникает при любом изменении разрешения на объект для любой базы данных на сервере.This event is raised for any object permission change for any database on the server. Эквивалентно Audit Database Object GDR Event Class.Equivalent to the Audit Database Object GDR Event Class.
DATABASE_OPERATION_GROUPDATABASE_OPERATION_GROUP Это событие вызывается при выполнении различных операций в базе данных, например при создании контрольной точки или уведомлении о запросе подписки.This event is raised when operations in a database, such as checkpoint or subscribe query notification, occur. Это событие возникает при любой операции с базой данных в любой базе данных.This event is raised on any database operation on any database. Эквивалентно Audit Database Operation Event Class.Equivalent to the Audit Database Operation Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUPDATABASE_OWNERSHIP_CHANGE_GROUP Это событие вызывается при смене владельца базы данных инструкцией ALTER AUTHORIZATION в момент проверки разрешений на эту операцию.This event is raised when you use the ALTER AUTHORIZATION statement to change the owner of a database, and the permissions that are required to do that are checked. Это событие возникает при любом изменении владельца базы данных в любой базе данных на сервере.This event is raised for any database ownership change on any database on the server. Эквивалентно Audit Change Database Owner Event Class.Equivalent to the Audit Change Database Owner Event Class.
DATABASE_PERMISSION_CHANGE_GROUPDATABASE_PERMISSION_CHANGE_GROUP Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешения на выполнение инструкции любым участником SQL ServerSQL Server (применяется только к событиям базы данных, например предоставлению разрешений на базу данных).This event is raised whenever a GRANT, REVOKE, or DENY is issued for a statement permission by any principal in SQL ServerSQL Server (This applies to database-only events, such as granting permissions on a database).

Это событие возникает при любом изменении разрешения базы данных (GDR) для любой базы данных на сервере.This event is raised for any database permission change (GDR) for any database in the server. Эквивалентно Audit Database Scope GDR Event Class.Equivalent to the Audit Database Scope GDR Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUPDATABASE_PRINCIPAL_CHANGE_GROUP Это событие создается при создании, изменении или удалении из базы данных участников, таких как пользователи.This event is raised when principals, such as users, are created, altered, or dropped from a database. Эквивалентно Audit Database Principal Management Event Class.Equivalent to the Audit Database Principal Management Event Class. (Также эквивалентно классу событий подсистемы аудита «Add DB Principal», вызываемому устаревшими хранимыми процедурами sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal и sp_dropPrincipal).(Also equivalent to the Audit Add DB Principal Event Class, which occurs on the deprecated sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal, and sp_dropPrincipal stored procedures.)

Это событие возникает при создании или удалении роли базы данных с помощью хранимых процедур sp_addrole или sp_droprole.This event is raised whenever a database role is added to or removed by using the sp_addrole, sp_droprole stored procedures. Это событие возникает при создании, изменении или удалении любых участников базы данных из любой базы данных.This event is raised whenever any database principals are created, altered, or dropped from any database. Эквивалентно Класс событий Audit Add Role.Equivalent to the Audit Add Role Event Class.
DATABASE_PRINCIPAL_IMPERSONATION_GROUPDATABASE_PRINCIPAL_IMPERSONATION_GROUP Это событие возникает при использовании в области базы данных операции олицетворения, например EXECUTE AS <субъект> или SETPRINCIPAL.This event is raised when there is an impersonation operation in the database scope such as EXECUTE AS <principal> or SETPRINCIPAL. Это событие возникает при использовании олицетворения в любой базе данных.This event is raised for impersonations done in any database. Эквивалентно Audit Database Principal Impersonation Event Class.Equivalent to the Audit Database Principal Impersonation Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUPDATABASE_ROLE_MEMBER_CHANGE_GROUP Это событие вызывается каждый раз, когда имя входа добавляется в роль базы данных или удаляется из нее.This event is raised whenever a login is added to or removed from a database role. Этот класс событий вызывается хранимыми процедурами sp_addrolemember, sp_changegroup и sp_droprolemember.This event class is raised for the sp_addrolemember, sp_changegroup, and sp_droprolemember stored procedures. Это событие появляется при изменении члена любой роли базы данных в любой базе данных.This event is raised on any Database role member change in any database. Эквивалентно Audit Add Member to DB Role, класс событий.Equivalent to the Audit Add Member to DB Role Event Class.
DBCC_GROUPDBCC_GROUP Это событие появляется при вызове участником любой команды DBCC.This event is raised whenever a principal issues any DBCC command. Эквивалентно Audit DBCC Event Class.Equivalent to the Audit DBCC Event Class.
FAILED_DATABASE_AUTHENTICATION_GROUPFAILED_DATABASE_AUTHENTICATION_GROUP Указывает, что попытка участника войти в автономную базу данных завершилась ошибкой.Indicates that a principal tried to log on to a contained database and failed. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений.Events in this class are raised by new connections or by connections that are reused from a connection pool. Эквивалентно Audit Login Failed Event Class.Equivalent to the Audit Login Failed Event Class.
FULLTEXT_GROUPFULLTEXT_GROUP Указывает, что произошло полнотекстовое событие.Indicates fulltext event occurred. Эквивалентно Audit Fulltext Event Class.Equivalent to the Audit Fulltext Event Class.
LOGIN_CHANGE_PASSWORD_GROUPLOGIN_CHANGE_PASSWORD_GROUP Это событие появляется при изменении пароля входа с помощью инструкции ALTER LOGIN или хранимой процедуры sp_password.This event is raised whenever a login password is changed by way of ALTER LOGIN statement or sp_password stored procedure. Эквивалентно Audit Login Change Password Event Class.Equivalent to the Audit Login Change Password Event Class.
LOGOUT_GROUPLOGOUT_GROUP Указывает, что участник отключился от SQL ServerSQL Server.Indicates that a principal has logged out of SQL ServerSQL Server. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений.Events in this class are raised by new connections or by connections that are reused from a connection pool. Эквивалентно Audit Logout Event Class.Equivalent to the Audit Logout Event Class.
SCHEMA_OBJECT_ACCESS_GROUPSCHEMA_OBJECT_ACCESS_GROUP Это событие возникает при применении разрешения на объект в схеме.This event is raised whenever an object permission has been used in the schema. Эквивалентно Audit Schema Object Access Event Class.Equivalent to the Audit Schema Object Access Event Class.
SCHEMA_OBJECT_CHANGE_GROUPSCHEMA_OBJECT_CHANGE_GROUP Это событие вызывается в момент выполнения для схемы операции CREATE, ALTER или DROP.This event is raised when a CREATE, ALTER, or DROP operation is performed on a schema. Эквивалентно Audit Schema Object Management Event Class.Equivalent to the Audit Schema Object Management Event Class.

Это событие вызывается для объектов схемы.This event is raised on schema objects. Эквивалентно Audit Object Derived Permission Event Class.Equivalent to the Audit Object Derived Permission Event Class.

Это событие возникает при изменении любой схемы любой базы данных.This event is raised whenever any schema of any database changes. Эквивалентно Audit Statement Permission Event Class.Equivalent to the Audit Statement Permission Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUPSCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при проверке разрешений на смену владельца объекта схемы (таблицы, процедуры, функции и т. д.).This event is raised when the permissions to change the owner of schema object (such as a table, procedure, or function) is checked. Возникает, когда объекту назначается владелец при помощи инструкции ALTER AUTHORIZATION.This occurs when the ALTER AUTHORIZATION statement is used to assign an owner to an object. Это событие возникает при любом изменении владельца схемы в любой базе данных на сервере.This event is raised for any schema ownership change for any database on the server. Эквивалентно Audit Schema Object Take Ownership Event Class.Equivalent to the Audit Schema Object Take Ownership Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUPSCHEMA_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает при выполнении инструкции GRANT, REVOKE или DENY для объекта схемы.This event is raised whenever a grant, deny, revoke is performed against a schema object. Эквивалентно Audit Schema Object GDR Event Class.Equivalent to the Audit Schema Object GDR Event Class.
SERVER_OBJECT_CHANGE_GROUPSERVER_OBJECT_CHANGE_GROUP Это событие возникает при выполнении операций CREATE, ALTER или DROP с объектами сервера.This event is raised for CREATE, ALTER, or DROP operations on server objects. Эквивалентно Audit Server Object Management Event Class.Equivalent to the Audit Server Object Management Event Class.
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUPSERVER_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при изменении владельца объектов в области сервера.This event is raised when the owner is changed for objects in server scope. Эквивалентно Audit Server Object Take Ownership Event Class.Equivalent to the Audit Server Object Take Ownership Event Class.
SERVER_OBJECT_PERMISSION_CHANGE_GROUPSERVER_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешений на объекты сервера любым участником SQL ServerSQL Server.This event is raised whenever a GRANT, REVOKE, or DENY is issued for a server object permission by any principal in SQL ServerSQL Server. Эквивалентно Audit Server Object GDR Event Class.Equivalent to the Audit Server Object GDR Event Class.
SERVER_OPERATION_GROUPSERVER_OPERATION_GROUP Это событие возникает при использовании таких операций аудита безопасности, как изменение параметров, ресурсов, внешнего доступа или авторизации.This event is raised when Security Audit operations such as altering settings, resources, external access, or authorization are used. Эквивалентно Audit Server Operation Event Class.Equivalent to the Audit Server Operation Event Class.
SERVER_PERMISSION_CHANGE_GROUPSERVER_PERMISSION_CHANGE_GROUP Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешений в области действия сервера.This event is raised when a GRANT, REVOKE, or DENY is issued for permissions in the server scope. Эквивалентно Audit Server Scope GDR Event Class.Equivalent to the Audit Server Scope GDR Event Class.
SERVER_PRINCIPAL_CHANGE_GROUPSERVER_PRINCIPAL_CHANGE_GROUP Это событие возникает при создании, изменении и удалении участников на уровне сервера.This event is raised when server principals are created, altered, or dropped. Эквивалентно Audit Server Principal Management Event Class.Equivalent to the Audit Server Principal Management Event Class.

Это событие возникает при вызове участником хранимых процедур sp_defaultdb или sp_defaultlanguage или инструкций ALTER LOGIN.This event is raised when a principal issues the sp_defaultdb or sp_defaultlanguage stored procedures or ALTER LOGIN statements. Эквивалентно Audit Addlogin Event Class.Equivalent to the Audit Addlogin Event Class.

Это событие вызывается хранимыми процедурами sp_addlogin и sp_droplogin.This event is raised on the sp_addlogin and sp_droplogin stored procedures. Также эквивалентно Audit Login Change Property Event Class.Also equivalent to the Audit Login Change Property Event Class.

Это событие вызывается хранимыми процедурами sp_grantlogin или sp_revokelogin.This event is raised for the sp_grantlogin or sp_revokelogin stored procedures. Эквивалентно Audit Login GDR Event Class.Equivalent to the Audit Login GDR Event Class.
SERVER_PRINCIPAL_IMPERSONATION_GROUPSERVER_PRINCIPAL_IMPERSONATION_GROUP Это событие возникает при использовании в области действия сервера олицетворения, например команды EXECUTE AS <имя_для_входа>.This event is raised when there is an impersonation within server scope, such as EXECUTE AS <login>. Эквивалентно Audit Server Principal Impersonation Event Class.Equivalent to the Audit Server Principal Impersonation Event Class.
SERVER_ROLE_MEMBER_CHANGE_GROUPSERVER_ROLE_MEMBER_CHANGE_GROUP Это событие появляется при добавлении или удалении имени входа из предопределенной роли сервера.This event is raised whenever a login is added or removed from a fixed server role. Это событие вызывается хранимыми процедурами sp_addsrvrolemember и sp_dropsrvrolemember.This event is raised for the sp_addsrvrolemember and sp_dropsrvrolemember stored procedures. Эквивалентно Класс событий Audit Add Login to Server Role.Equivalent to the Audit Add Login to Server Role Event Class.
SERVER_STATE_CHANGE_GROUPSERVER_STATE_CHANGE_GROUP Это событие возникает при изменении состояния службы SQL ServerSQL Server .This event is raised when the SQL ServerSQL Server service state is modified. Эквивалентно Audit Server Starts and Stops Event Class.Equivalent to the Audit Server Starts and Stops Event Class.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUPSUCCESSFUL_DATABASE_AUTHENTICATION_GROUP Указывает, что участник успешно выполнил вход в автономную базу данных.Indicates that a principal successfully logged in to a contained database.
SUCCESSFUL_LOGIN_GROUPSUCCESSFUL_LOGIN_GROUP Указывает, что участник успешно выполнил вход на SQL ServerSQL Server.Indicates that a principal has successfully logged in to SQL ServerSQL Server. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений.Events in this class are raised by new connections or by connections that are reused from a connection pool. Эквивалентно Audit Login Event Class.Equivalent to the Audit Login Event Class.
TRACE_CHANGE_GROUPTRACE_CHANGE_GROUP Это событие вызывается для всех инструкций, выполняющих проверку на разрешение ALTER TRACE.This event is raised for all statements that check for the ALTER TRACE permission. Эквивалентно Audit Server Alter Trace Event Class.Equivalent to the Audit Server Alter Trace Event Class.
TRANSACTION_GROUPTRANSACTION_GROUP Это событие вызывается для операций BEGIN TRANSACTION, ROLLBACK TRANSACTION и COMMIT TRANSACTION как при явных вызовах этих инструкций, так и при неявных операциях с транзакциями.This event is raised for BEGIN TRANSACTION, ROLLBACK TRANSACTION, and COMMIT TRANSACTION operations, both for explicit calls to those statements and implicit transaction operations. Это событие также вызывается для операций UNDO при использовании отдельных инструкций, вызванных откатом транзакции.This event is also raised for UNDO operations for individual statements caused by the rollback of a transaction.
USER_CHANGE_PASSWORD_GROUPUSER_CHANGE_PASSWORD_GROUP Это событие возникает при изменении пароля пользователя автономной базы данных с помощью инструкции ALTER USER.This event is raised whenever the password of a contained database user is changed by using the ALTER USER statement.
USER_DEFINED_AUDIT_GROUPUSER_DEFINED_AUDIT_GROUP Эта группа наблюдает за событиями, вызываемыми с помощью процедуры sp_audit_write (Transact-SQL).This group monitors events raised by using sp_audit_write (Transact-SQL). Как правило, триггеры или хранимые процедуры включают вызовы процедуры sp_audit_write для включения аудита важных событий.Typically triggers or stored procedures include calls to sp_audit_write to enable auditing of important events.

ЗамечанияConsiderations

Группы действий уровня сервера охватывают действия, происходящие на всем экземпляре SQL ServerSQL Server .Server-level action groups cover actions across a SQL ServerSQL Server instance. Например, если соответствующая группа будет возвращена в спецификацию аудита сервера, то будет производиться запись любой проверки доступа к объекту схемы в любой базе данных.For example, any schema object access check in any database is recorded if the appropriate action group is added to a server audit specification. В спецификации аудита базы данных производится запись доступа только к объектам схемы этой базе данных.In a database audit specification, only schema object accesses in that database are recorded.

Действия уровня сервера не позволяют проводить подробную фильтрацию действий уровня базы данных.Server-level actions do not allow for detailed filtering on database-level actions. Для точной фильтрации действий необходим аудит уровня базы данных, например аудит действий SELECT в таблице Customers, производимых от лица имен входа в группе Employee.A database-level audit, such as audit of SELECT actions on the Customers table for logins in the Employee group is required to implement detailed action filtering. Не включайте объекты области сервера, такие как системные представления, в пользовательскую спецификацию аудита базы данных.Do not include server-scoped objects, such as the system views, in a user database audit specification.

Примечание

Из-за дополнительной нагрузки, связанной с включением аудита уровня транзакций, начиная с SQL Server 2016 (13.x)SQL Server 2016 (13.x) SP2 CU3 и SQL Server 2017 (14.x)SQL Server 2017 (14.x) CU4, аудит на уровне транзакций отключен по умолчанию, если у вас не включено соответствие стандарту Common Criteria.Because of the overhead involved in enabling transaction-level auditing, starting with SQL Server 2016 (13.x)SQL Server 2016 (13.x) SP2 CU3 and SQL Server 2017 (14.x)SQL Server 2017 (14.x) CU4, transaction-level auditing is disabled by default unless you have Common Criteria Compliance enabled. При отключении соответствия стандарту Common Criteria вы по-прежнему сможете добавить действие из TRANSACTION_GROUP в спецификацию аудита, но оно фактически не будет собирать какие-либо действия транзакции.If Common Criteria Compliance is disabled, you will still be able to add an action from TRANSACTION_GROUP to an audit specification, but it will not actually collect any transaction actions. Если вы собираетесь настроить какие-либо действия аудита из TRANSACTION_GROUP, убедитесь, что инфраструктура аудита уровня транзакций включена, включив соответствие стандарту Common Criteria начиная с SQL Server 2016 (13.x)SQL Server 2016 (13.x) SP2 CU3 и SQL Server 2017 (14.x)SQL Server 2017 (14.x) CU4 и в более поздних версиях.If you intend to configure any auditing actions from TRANSACTION_GROUP, be sure that the transaction-level auditing infrastructure is enabled by enabling Common Criteria Compliance starting with SQL Server 2016 (13.x)SQL Server 2016 (13.x) SP2 CU3 and SQL Server 2017 (14.x)SQL Server 2017 (14.x) CU4 and later. Обратите внимание, что в SQL Server 2016 (13.x)SQL Server 2016 (13.x) аудит на уровне транзакций может также быть отключен с помощью флага трассировки 3427, начиная с SP1 CU2.Note that in SQL Server 2016 (13.x)SQL Server 2016 (13.x) transaction-level auditing may also be disabled with trace flag 3427 starting with SP1 CU2.

Группы действий аудита уровня базы данныхDatabase-Level Audit Action Groups

Группы действий аудита уровня базы данных — это действия, похожие на классы событий аудита безопасности SQL ServerSQL Server .Database-Level Audit Action Groups are actions similar to SQL ServerSQL Server Security Audit Event classes. Дополнительные сведения о классах событий см. в разделе SQL Server Event Class Reference.For more information about event classes, see SQL Server Event Class Reference.

В следующей таблице описываются группы действий аудита уровня базы данных и предоставляются эквивалентные классы событий SQL Server (где возможно).The following table describes the database-level audit action groups and provides their equivalent SQL Server Event Class where applicable.

Имя группы действийAction group name ОписаниеDescription
APPLICATION_ROLE_CHANGE_PASSWORD_GROUPAPPLICATION_ROLE_CHANGE_PASSWORD_GROUP Это событие появляется при изменении пароля для роли приложения.This event is raised whenever a password is changed for an application role. Эквивалентно Audit App Role Change Password Event Class.Equivalent to the Audit App Role Change Password Event Class.
AUDIT_CHANGE_GROUPAUDIT_CHANGE_GROUP Это событие возникает при создании, изменении или удалении любого аудита.This event is raised whenever any audit is created, modified or deleted. Это событие возникает при создании, изменении или удалении спецификации любого аудита.This event is raised whenever any audit specification is created, modified, or deleted. Аудит любых изменений в аудите производится в этом аудите.Any change to an audit is audited in that audit. Эквивалентно Audit Change Audit Event Class.Equivalent to the Audit Change Audit Event Class.
BACKUP_RESTORE_GROUPBACKUP_RESTORE_GROUP Это событие вызывается командой резервного копирования или восстановления.This event is raised whenever a backup or restore command is issued. Эквивалент класса событий Audit Backup и Restore.Equivalent to the Audit Backup and Restore Event Class.
DATABASE_CHANGE_GROUPDATABASE_CHANGE_GROUP Это событие вызывается при создании, изменении или удалении базы данных.This event is raised when a database is created, altered, or dropped. Эквивалентно Audit Database Management Event Class.Equivalent to the Audit Database Management Event Class.
DATABASE_LOGOUT_GROUPDATABASE_LOGOUT_GROUP Это событие возникает при выходе пользователя автономной базы данных из базы данных.This event is raised when a contained database user logs out of a database. Эквивалент класса событий Audit Backup и Restore.Equivalent to the Audit Backup and Restore Event Class.
DATABASE_OBJECT_ACCESS_GROUPDATABASE_OBJECT_ACCESS_GROUP Это событие вызывается каждый раз, когда производится доступ к сертификатам, асимметричным ключам и другим объектам базы данных.This event is raised whenever database objects such as certificates and asymmetric keys are accessed. Эквивалентно Audit Database Object Access Event Class.Equivalent to the Audit Database Object Access Event Class.
DATABASE_OBJECT_CHANGE_GROUPDATABASE_OBJECT_CHANGE_GROUP Это событие вызывается в тот момент, когда для объекта базы данных (например, для схемы) выполняется инструкция CREATE, ALTER или DROP.This event is raised when a CREATE, ALTER, or DROP statement is executed on database objects, such as schemas. Эквивалентно Audit Database Object Management Event Class.Equivalent to the Audit Database Object Management Event Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUPDATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при изменении владельца объектов в области базы данных.This event is raised when a change of owner for objects within database scope occurs. Эквивалентно Audit Database Object Take Ownership Event Class.Equivalent to the Audit Database Object Take Ownership Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUPDATABASE_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает в тот момент, когда для объекта базы данных (например, сборки или схемы) выполняется инструкция GRANT, REVOKE или DENY.This event is raised when a GRANT, REVOKE, or DENY has been issued for database objects, such as assemblies and schemas. Эквивалентно Audit Database Object GDR Event Class.Equivalent to the Audit Database Object GDR Event Class.
DATABASE_OPERATION_GROUPDATABASE_OPERATION_GROUP Это событие вызывается при выполнении различных операций в базе данных, например при создании контрольной точки или уведомлении о запросе подписки.This event is raised when operations in a database, such as checkpoint or subscribe query notification, occur. Эквивалентно Audit Database Operation Event Class.Equivalent to the Audit Database Operation Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUPDATABASE_OWNERSHIP_CHANGE_GROUP Это событие вызывается при смене владельца базы данных инструкцией ALTER AUTHORIZATION в момент проверки разрешений на эту операцию.This event is raised when you use the ALTER AUTHORIZATION statement to change the owner of a database, and the permissions that are required to do that are checked. Эквивалентно Audit Change Database Owner Event Class.Equivalent to the Audit Change Database Owner Event Class.
DATABASE_PERMISSION_CHANGE_GROUPDATABASE_PERMISSION_CHANGE_GROUP Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешения на выполнение инструкции любым пользователем SQL ServerSQL Server (применяется только к событиям базы данных, например предоставлению разрешений на базу данных).This event is raised whenever a GRANT, REVOKE, or DENY is issued for a statement permission by any user in SQL ServerSQL Server for database-only events such as granting permissions on a database. Эквивалентно Audit Database Scope GDR Event Class.Equivalent to the Audit Database Scope GDR Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUPDATABASE_PRINCIPAL_CHANGE_GROUP Это событие создается при создании, изменении или удалении из базы данных участников, таких как пользователи.This event is raised when principals, such as users, are created, altered, or dropped from a database. Эквивалентно Audit Database Principal Management Event Class.Equivalent to the Audit Database Principal Management Event Class. Также эквивалентно классу событий Audit Add DB User, вызываемому устаревшими хранимыми процедурами sp_grantdbaccess, sp_revokedbaccess, sp_adduser и sp_dropuser.Also equivalent to the Audit Add DB User Event Class, which occurs on deprecated sp_grantdbaccess, sp_revokedbaccess, sp_adduser, and sp_dropuser stored procedures.

Это событие возникает при создании или удалении роли базы данных с помощью устаревших хранимых процедур sp_addrole и sp_droprole.This event is raised whenever a database role is added to or removed using deprecated sp_addrole and sp_droprole stored procedures. Эквивалентно Класс событий Audit Add Role.Equivalent to the Audit Add Role Event Class.
DATABASE_PRINCIPAL_IMPERSONATION_GROUPDATABASE_PRINCIPAL_IMPERSONATION_GROUP Это событие возникает при использовании в области базы данных олицетворения, например команды EXECUTE AS <пользователь>.This event is raised when there is an impersonation within database scope such as EXECUTE AS <user>. Эквивалентно Audit Database Principal Impersonation Event Class.Equivalent to the Audit Database Principal Impersonation Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUPDATABASE_ROLE_MEMBER_CHANGE_GROUP Это событие вызывается каждый раз, когда имя входа добавляется в роль базы данных или удаляется из нее.This event is raised whenever a login is added to or removed from a database role. Этот класс событий вызывается хранимыми процедурами sp_addrolemember, sp_changegroup и sp_droprolemember. Он эквивалентен классу событий Audit Add Member to DB Role.This event class is used with the sp_addrolemember, sp_changegroup, and sp_droprolemember stored procedures.Equivalent to the Audit Add Member to DB Role Event Class
DBCC_GROUPDBCC_GROUP Это событие появляется при вызове участником любой команды DBCC.This event is raised whenever a principal issues any DBCC command. Эквивалентно Audit DBCC Event Class.Equivalent to the Audit DBCC Event Class.
FAILED_DATABASE_AUTHENTICATION_GROUPFAILED_DATABASE_AUTHENTICATION_GROUP Указывает, что попытка участника войти в автономную базу данных завершилась ошибкой.Indicates that a principal tried to log on to a contained database and failed. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений.Events in this class are raised by new connections or by connections that are reused from a connection pool. Вызывается событие.This event is raised.
SCHEMA_OBJECT_ACCESS_GROUPSCHEMA_OBJECT_ACCESS_GROUP Это событие возникает при применении разрешения на объект в схеме.This event is raised whenever an object permission has been used in the schema. Эквивалентно Audit Schema Object Access Event Class.Equivalent to the Audit Schema Object Access Event Class.
SCHEMA_OBJECT_CHANGE_GROUPSCHEMA_OBJECT_CHANGE_GROUP Это событие вызывается в момент выполнения для схемы операции CREATE, ALTER или DROP.This event is raised when a CREATE, ALTER, or DROP operation is performed on a schema. Эквивалентно Audit Schema Object Management Event Class.Equivalent to the Audit Schema Object Management Event Class.

Это событие вызывается для объектов схемы.This event is raised on schema objects. Эквивалентно Audit Object Derived Permission Event Class.Equivalent to the Audit Object Derived Permission Event Class. Также эквивалентно Audit Statement Permission Event Class.Also equivalent to the Audit Statement Permission Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUPSCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при проверке разрешений на смену владельца объекта схемы (таблицы, процедуры, функции и т. д.).This event is raised when the permissions to change the owner of schema object such as a table, procedure, or function is checked. Возникает, когда объекту назначается владелец при помощи инструкции ALTER AUTHORIZATION.This occurs when the ALTER AUTHORIZATION statement is used to assign an owner to an object. Эквивалентно Audit Schema Object Take Ownership Event Class.Equivalent to the Audit Schema Object Take Ownership Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUPSCHEMA_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает при вызове инструкции GRANT, REVOKE или DENY для объекта схемы.This event is raised whenever a grant, deny, or revoke is issued for a schema object. Эквивалентно Audit Schema Object GDR Event Class.Equivalent to the Audit Schema Object GDR Event Class.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUPSUCCESSFUL_DATABASE_AUTHENTICATION_GROUP Указывает, что участник успешно выполнил вход в автономную базу данных.Indicates that a principal successfully logged in to a contained database.
USER_CHANGE_PASSWORD_GROUPUSER_CHANGE_PASSWORD_GROUP Это событие возникает при изменении пароля пользователя автономной базы данных с помощью инструкции ALTER USER.This event is raised whenever the password of a contained database user is changed by using the ALTER USER statement.
USER_DEFINED_AUDIT_GROUPUSER_DEFINED_AUDIT_GROUP Эта группа наблюдает за событиями, вызываемыми с помощью процедуры sp_audit_write (Transact-SQL).This group monitors events raised by using sp_audit_write (Transact-SQL).

Действия аудита уровня базы данныхDatabase-Level Audit Actions

Действия аудита уровня базы данных поддерживают аудит напрямую в базе данных, схеме или в объектах схемы, например в таблицах, представлениях, хранимых процедурах, функциях, расширенных хранимых процедурах, очередях, синонимах.Database-level actions support the auditing of specific actions directly on database schema and schema objects, such as Tables, Views, Stored Procedures, Functions, Extended Stored Procedures, Queues, Synonyms. Не подлежат аудиту типы, коллекции схем XML, база данных и схема.Types, XML Schema Collection, Database, and Schema are not audited. Аудит объектов схемы можно настроить для схемы и базы данных. Это означает, что будет выполнен аудит событий всех объектов схемы, содержащихся в указанной схеме или базе данных.The audit of schema objects may be configured on Schema and Database, which means that events on all schema objects contained by the specified schema or database will be audited. В следующей таблице описываются действия аудита уровня базы данных.The following table describes database-level audit actions.

ДействиеAction ОписаниеDescription
SELECTSELECT Это событие возникает при вызове инструкции SELECT.This event is raised whenever a SELECT is issued.
UPDATEUPDATE Это событие возникает при вызове инструкции UPDATE.This event is raised whenever an UPDATE is issued.
INSERTINSERT Это событие возникает при вызове инструкции INSERT.This event is raised whenever an INSERT is issued.
DELETEDELETE Это событие возникает при вызове инструкции DELETE.This event is raised whenever a DELETE is issued.
EXECUTEEXECUTE Это событие возникает при вызове инструкции EXECUTE.This event is raised whenever an EXECUTE is issued.
RECEIVERECEIVE Это событие возникает при вызове инструкции RECEIVE.This event is raised whenever a RECEIVE is issued.
REFERENCESREFERENCES Это событие возникает при проверке разрешения REFERENCES.This event is raised whenever a REFERENCES permission is checked.

ЗамечанияConsiderations

  • Действия аудита уровня базы данных не применяются к столбцам.Database-level audit actions do not apply to Columns.

  • Если обработчик запросов параметризует запрос, параметр может отображаться в журнале событий аудита вместо значений столбца запроса.When the query processor parameterizes the query, the parameter can appear in the audit event log instead of the column values of the query.

  • Инструкции RPC не регистрируются.RPC statements are not logged.

Группы действий аудита уровня аудитаAudit-Level Audit Action Groups

Также можно производить аудит действий, происходящих во время аудита.You can also audit the actions in the auditing process. Это можно осуществлять как в области сервера, так и в области базы данных.This can be in the server scope or the database scope. В области базы данных это справедливо только для спецификаций аудита базы данных.In the database scope, it only occurs for database audit specifications. В следующей таблице описываются группы действий аудита уровня аудита.The following table describes audit-level audit action groups.

Имя группы действийAction group name ОписаниеDescription
AUDIT_CHANGE_GROUPAUDIT_CHANGE_GROUP Это событие возникает при вызове одной из следующих команд:This event is raised whenever one of the following commands are issued:

CREATE SERVER AUDITCREATE SERVER AUDIT

ALTER SERVER AUDITALTER SERVER AUDIT

DROP SERVER AUDITDROP SERVER AUDIT

CREATE SERVER AUDIT SPECIFICATIONCREATE SERVER AUDIT SPECIFICATION

ALTER SERVER AUDIT SPECIFICATIONALTER SERVER AUDIT SPECIFICATION

DROP SERVER AUDIT SPECIFICATIONDROP SERVER AUDIT SPECIFICATION

CREATE DATABASE AUDIT SPECIFICATIONCREATE DATABASE AUDIT SPECIFICATION

ALTER DATABASE AUDIT SPECIFICATIONALTER DATABASE AUDIT SPECIFICATION

DROP DATABASE AUDIT SPECIFICATIONDROP DATABASE AUDIT SPECIFICATION

Создание аудита сервера и спецификации аудита сервераCreate a Server Audit and Server Audit Specification

Создание спецификация аудита для сервера и базы данныхCreate a Server Audit and Database Audit Specification

CREATE SERVER AUDIT (Transact-SQL)CREATE SERVER AUDIT (Transact-SQL)

ALTER SERVER AUDIT (Transact-SQL)ALTER SERVER AUDIT (Transact-SQL)

DROP SERVER AUDIT (Transact-SQL)DROP SERVER AUDIT (Transact-SQL)

CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)

ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)

DROP SERVER AUDIT SPECIFICATION (Transact-SQL)DROP SERVER AUDIT SPECIFICATION (Transact-SQL)

CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)

ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)

DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)

ALTER AUTHORIZATION (Transact-SQL)ALTER AUTHORIZATION (Transact-SQL)

sys.fn_get_audit_file (Transact-SQL)sys.fn_get_audit_file (Transact-SQL)

sys.server_audits (Transact-SQL)sys.server_audits (Transact-SQL)

sys.server_file_audits (Transact-SQL)sys.server_file_audits (Transact-SQL)

sys.server_audit_specifications (Transact-SQL)sys.server_audit_specifications (Transact-SQL)

sys.server_audit_specification_details (Transact-SQL)sys.server_audit_specification_details (Transact-SQL)

sys.database_audit_specifications (Transact-SQL)sys.database_audit_specifications (Transact-SQL)

sys.database_audit_specification_details (Transact-SQL)sys.database_audit_specification_details (Transact-SQL)

sys.dm_server_audit_status (Transact-SQL)sys.dm_server_audit_status (Transact-SQL)

sys.dm_audit_actions (Transact-SQL)sys.dm_audit_actions (Transact-SQL)

sys.dm_audit_class_type_map (Transact-SQL)sys.dm_audit_class_type_map (Transact-SQL)