Teilen über

Schreiben von SQL-Serverüberwachungsereignissen in das Sicherheitsprotokoll

  • Artikel

Applies to: SQL Server – nur Windows

In einer Umgebung mit hoher Sicherheit ist das Windows-Sicherheitsprotokoll der geeignete Speicherort für Ereignisse, die Objektzugriffe aufzeichnen. Andere Überwachungsspeicherorte werden unterstützt, können aber leichter manipuliert werden.

Es gibt drei Hauptanforderungen für das Schreiben von -Serverüberwachungen in das Windows-Sicherheitsprotokoll:

  • Die Einstellungen für die Überwachung von Objektzugriffsversuchen müssen so konfiguriert sein, dass die Ereignisse aufgezeichnet werden. Das Tool für Überwachungsrichtlinien (auditpol.exe) macht eine Vielzahl von Einstellungen für Unterrichtlinien in der Kategorie Überwachung von Objektzugriffsversuchen verfügbar. Um SQL Server zu ermöglichen, den Objektzugriff zu überprüfen, konfigurieren Sie die von der Anwendung generierte Einstellung.

  • Das Konto, unter dem der SQL Server-Dienst ausgeführt wird, muss über die Berechtigung zum Generieren von Sicherheitsüberwachungen verfügen, um in das Windows-Sicherheitsprotokoll schreiben zu können. Standardmäßig verfügen die Konten LOCAL SERVICE und NETWORK SERVICE über diese Berechtigung. Dieser Schritt ist nicht erforderlich, wenn unter einem dieser Konten ausgeführt wird.

  • Vergeben Sie an das SQL Server-Dienstkonto die Vollberechtigung zum Zugriff auf die Registrierungsstruktur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.

    Wichtig

    Ein fehlerhaftes Bearbeiten der Registrierung kann eine schwerwiegende Beschädigung des Systems zur Folge haben. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie die wertvollen Daten auf dem Computer sichern.

Einschränkungen

  • Lokale Einstellungen für das Sicherheitsprotokoll können von einer Domänenrichtlinie überschrieben werden. In diesem Fall kann die Domänenrichtlinie die Unterkategorieeinstellung (auditpol /get /subcategory:"application generated") überschreiben. SQL Server hat keine Möglichkeit, zu erkennen, dass die Ereignisse, die sie überwachen möchten, nicht aufgezeichnet werden.

  • Ereignisse können verloren gehen, wenn die Überwachungsrichtlinie falsch konfiguriert ist. Die Windows-Überwachungsrichtlinie kann sich auf die SQL Server-Überwachung auswirken, wenn sie für das Schreiben in das Windows-Sicherheit Protokoll konfiguriert ist. Das Windows-Sicherheitsprotokoll ist standardmäßig so konfiguriert, dass ältere Ereignisse überschrieben werden. Hierdurch werden immer die neuesten Ereignisse beibehalten. Wurde das Windows-Sicherheitsprotokoll jedoch so festgelegt, dass ältere Ereignisse nicht überschrieben werden, löst das System das Windows-Ereignis 1104 aus, sobald das Sicherheitsprotokoll voll ist. In diesem Fall geschieht Folgendes:

    • Es werden keine weiteren Sicherheitsereignisse aufgezeichnet.

    • kann nicht erkennen, dass das System keine Ereignisse mehr im Sicherheitsprotokoll aufzeichnen kann, sodass Überwachungsereignisse möglicherweise verloren gehen.

    • Nachdem der Administrator das Sicherheitsprotokoll korrigiert hat, wird die Protokollierung wieder wie gewohnt ausgeführt.

  • SQL Server-Überwachungsdatensätze enthalten wesentlich mehr Daten als normale Windows-Ereignisprotokolleinträge. Abhängig von der Konfiguration der Überwachungsspezifikation generiert SQL Server möglicherweise mehrere Tausend Überwachungsdatensätze in kurzer Zeit (Tausende pro Sekunde). Unter Zeiträumen mit hoher Auslastung kann dies zu nachteiligen Bedingungen führen, wenn die Überwachungsdatensätze entweder in das Anwendungsprotokoll oder in das Sicherheitsprotokoll geschrieben werden.

    Diese nachteiligen Bedingungen können folgendes umfassen:

    • Schnelles Durchlaufen des Ereignisprotokolls (Ereignisse werden sehr schnell überschrieben, wenn die Protokolldatei ihre Größenbeschränkung erreicht)

    • Andere Anwendungen oder Dienste, die aus dem Windows-Ereignisprotokoll gelesen werden, sind möglicherweise negativ betroffen.

    • Das zielbezogene Ereignisprotokoll kann von Administratoren aufgrund von Ereignissen, die so schnell überschrieben werden, nicht mehr verwendet werden

    Schritte, die Administratoren ausführen können, um diese nachteiligen Bedingungen zu mindern:

    1. Erhöhen Sie die Größe des Zielprotokolls (4 GB ist nicht unangemessen, wenn die Überwachungsspezifikation sehr detailliert ist).

    2. Verringern Sie die Anzahl der überwachten Ereignisse.

    3. Ausgabe der Überwachungsdatensätze in eine Datei anstelle der Ereignisprotokolle.

Berechtigungen

Sie müssen Windows-Administrator sein, um diese Einstellungen konfigurieren zu können.

Konfigurieren der Einstellung für die Überwachung von Objektzugriffsversuchen in Windows mit auditpol

  1. Öffnen Sie eine Eingabeaufforderung mit Administratorberechtigungen.

    1. Klicken Sie im Menü Start mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie anschließend Als Administrator ausführen aus.

    2. Wenn das Dialogfeld Benutzerkontensteuerung geöffnet wird, klicken Sie auf Weiter.

  2. Führen Sie die folgende Anweisung aus, um die Überwachung von zu aktivieren.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Schließen Sie das Eingabeaufforderungsfenster.

Erteilen von Berechtigungen zum Generieren von Sicherheitsüberwachungen für ein Konto mit secpol

  1. Klicken Sie in allen Windows-Betriebssystemen im Menü Start auf Ausführen.

  2. Geben Sie secpol.msc ein, und klicken Sie dann auf OK. Wenn das Dialogfeld Benutzerzugriffssteuerung angezeigt wird, klicken Sie auf Weiter.

  3. Erweitern Sie im Tool "Lokale Sicherheitsrichtlinie" die Sicherheitseinstellungen >, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf > Zuweisen von Benutzerrechten.

  4. Doppelklicken Sie im Ergebnisbereich auf Generieren von Sicherheitsüberwachungen.

  5. Klicken Sie auf der Registerkarte Lokale Sicherheitseinstellung auf Benutzer oder Gruppe hinzufügen.

  6. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen entweder den Namen des Benutzerkontos, z. B. Domäne1\Benutzer1 ein, und klicken Sie dann auf OK, oder klicken Sie auf Erweitert , und suchen Sie nach dem Konto.

  7. Wählen Sie OK aus.

  8. Schließen Sie das Tool "Sicherheitsrichtlinie".

  9. Starten Sie neu, um diese Einstellung zu aktivieren.

Konfigurieren der Einstellung für die Überwachung von Objektzugriffsversuchen in Windows mit secpol

  1. Wenn das Betriebssystem eine frühere Version als oder Windows Server 2008 ist, klicken Sie im Menü Start auf Ausführen.

  2. Geben Sie secpol.msc ein, und klicken Sie dann auf OK. Wenn das Dialogfeld Benutzerzugriffssteuerung angezeigt wird, klicken Sie auf Weiter.

  3. Erweitern Sie im Tool "Lokale Sicherheitsrichtlinie" die Sicherheitseinstellungen>, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf > Überwachungsrichtlinie.

  4. Doppelklicken Sie im Ergebnisbereich auf Objektzugriffsversuche überwachen.

  5. Wählen Sie im Bereich Diese Versuche überwachen auf der Registerkarte Lokale Sicherheitseinstellung sowohl Erfolg als auch Fehleraus.

  6. Wählen Sie OK aus.

  7. Schließen Sie das Tool "Sicherheitsrichtlinie".

Weitere Informationen