Freigeben über

Erstellen eines Server-Audits und einer Server-Audit-Spezifikation

In diesem Thema wird beschrieben, wie Sie eine Serverüberwachungs- und Serverüberwachungsspezifikation in SQL Server 2014 mithilfe von SQL Server Management Studio oder Transact-SQL erstellen. Das Überwachen einer Instanz von SQL Server oder einer SQL Server-Datenbank umfasst das Nachverfolgen und Protokollieren von Ereignissen, die auf dem System auftreten. Das SQL Server-Überwachungsobjekt sammelt eine einzelne Instanz von Aktionen auf Server- oder Datenbankebene und Gruppen von Aktionen, die überwacht werden sollen. Die Überwachung befindet sich auf SQL Server-Instanzebene. Sie können über mehrere Audits pro SQL Server-Instanz verfügen. Das ServerÜberwachungsspezifikationsobjekt gehört zu einer Überwachung. Sie können eine Serverüberwachungsspezifikation pro Überwachung erstellen, da beide im SQL Server-Instanzbereich erstellt werden. Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine).

In diesem Themenbereich

Bevor Sie beginnen

Einschränkungen und Beschränkungen

  • Vor dem Erstellen einer Server-Audit-Spezifikation muss ein Audit vorhanden sein. Wenn eine Serverüberwachungsspezifikation erstellt wird, befindet sie sich in einem deaktivierten Zustand.

  • Die CREATE SERVER AUDIT-Anweisung befindet sich im Kontext einer Transaktion. Wird ein Rollback für die Transaktion ausgeführt, so wird auch für die Anweisung ein Rollback durchgeführt.

Sicherheit

Erlaubnisse

  • Zum Erstellen, Ändern oder Löschen einer Serverüberwachung benötigen Benutzer die Berechtigung ALTER ANY SERVER AUDIT oder CONTROL SERVER.

  • Benutzer mit der Berechtigung ALTER ANY SERVER AUDIT können Server-Audit-Spezifikationen erstellen und an ein beliebiges Audit binden.

  • Nachdem eine Serverauditspezifikation erstellt wurde, kann sie von Principals mit den CONTROL SERVER- oder ALTER ANY SERVER AUDIT-Berechtigungen, dem Sysadmin-Konto oder Principals angezeigt werden, die expliziten Zugriff auf das Audit haben.

Verwendung von SQL Server Management Studio

So erstellen Sie eine Serverüberwachung

  1. Erweitern Sie im Objekt-Explorer den Ordner Sicherheit .

  2. Klicken Sie mit der rechten Maustaste auf den Ordner "Audits ", und wählen Sie "Neue Überwachung" aus.

    Die folgenden Optionen sind auf der Seite "Allgemein " des Dialogfelds " Überwachung erstellen " verfügbar.

    Überwachungsname
    Der Name des Audits. Dies wird automatisch generiert, wenn Sie ein neues Audit erstellen, kann jedoch bearbeitet werden.

    Warteschlangenverzögerung (in Millisekunden)
    Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen. Der Wert 0 steht für eine synchrone Übermittlung. Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647 (2.147.483,647 Sekunden oder 24 Tage, 20 Stunden, 31 Minuten, 23,647 Sekunden).

    Bei Audit-Log-Fehlern:
    fortsetzen
    SQL Server -Vorgänge werden fortgesetzt. Überwachungsdatensätze werden nicht aufbewahrt. Die Überwachung versucht weiterhin, Ereignisse zu protokollieren und wird fortgesetzt, wenn die Fehlerbedingung behoben ist. Wenn Sie die Option "Weiter" auswählen, können nicht überprüfte Aktivitäten zugelassen werden, die gegen Ihre Sicherheitsrichtlinien verstoßen könnten. Wählen Sie diese Option aus, wenn der fortlaufende Betrieb des Datenbankmoduls wichtiger ist als die Aufrechterhaltung einer vollständigen Überwachung. Dies ist die Standardauswahl.

    Herunterfahren des Servers
    Erzwingt das Herunterfahren eines Servers, wenn die Serverinstanz, die in das Ziel schreibt, keine Daten in das Prüfziel schreiben kann. Die Anmeldung, die dies ausgibt, muss über die SHUTDOWN Berechtigung verfügen. Wenn die Anmeldung nicht über diese Berechtigung verfügt, schlägt diese Funktion fehl, und eine Fehlermeldung wird ausgelöst. Es treten keine überwachten Ereignisse auf. Aktivieren Sie diese Option, wenn ein Überwachungsfehler die Sicherheit oder Integrität des Systems gefährden könnte.

    Fehlervorgang
    In Fällen, in denen die SQL Server-Überwachung nicht in das Überwachungsprotokoll schreiben kann, führt diese Option dazu, dass Datenbankaktionen fehlschlagen, wenn sie andernfalls überwachte Ereignisse verursachen würden. Es treten keine überwachten Ereignisse auf. Aktionen, die keine überwachten Ereignisse verursachen, können fortgesetzt werden. Die Überwachung versucht weiterhin, Ereignisse zu protokollieren und wird fortgesetzt, wenn die Fehlerbedingung behoben ist. Wählen Sie diese Option aus, wenn es wichtiger ist, die vollständige Prüfung aufrechtzuerhalten, als vollen Zugriff auf das Datenbankmodul zu haben.

    Von Bedeutung

    Wenn sich die Überwachung in einem fehlerhaften Zustand befindet, kann die dedizierte Administratorverbindung weiterhin überwachte Ereignisse ausführen.

    Zielüberprüfungsliste
    Gibt das Ziel für Überwachungsdaten an. Die verfügbaren Optionen sind eine Binärdatei, das Windows-Anwendungsprotokoll oder das Windows-Sicherheitsprotokoll. SQL Server kann nicht in das Windows-Sicherheitsprotokoll schreiben, ohne zusätzliche Einstellungen in Windows zu konfigurieren. Weitere Informationen finden Sie unter Schreiben von SQL Server-Überwachungsereignissen in das Sicherheitsprotokoll.

    Dateipfad
    Gibt den Speicherort des Ordners an, in dem Überwachungsdaten geschrieben werden, wenn das Überwachungsziel eine Datei ist.

    Ellipse (...)
    Öffnet das Dialogfeld "Ordner suchen -server_name ", um einen Dateipfad anzugeben oder einen Ordner zu erstellen, in den die Überwachungsdatei geschrieben wird.

    Maximale Grenze für Auditdateien:
    Maximale Rollover-Dateien
    Gibt an, dass, wenn die maximale Anzahl von Überwachungsdateien erreicht wird, die ältesten Überwachungsdateien durch neuen Dateiinhalt überschrieben werden.

    Maximale Anzahl von Dateien
    Gibt an, dass bei Erreichen der maximalen Anzahl von Überwachungsdateien alle Aktionen, die dazu führen, dass zusätzliche Überwachungsereignisse generiert werden, mit einem Fehler fehlschlagen.

    Unbeschränktes Kontrollkästchen
    Wenn das Kontrollkästchen "Unbegrenzt" unter "Maximale Rolloverdateien " aktiviert ist, gibt es keine Beschränkung für die Anzahl der Überwachungsdateien, die erstellt werden. Das Kontrollkästchen "Unbegrenzt" ist standardmäßig aktiviert und gilt sowohl für Maximale Rollover-Dateien als auch für Maximale Dateien.

    Feld für Anzahl der Dateien
    Gibt die Anzahl der zu erstellenden Überwachungsdateien bis zu 2.147.483.647 an. Diese Option ist nur verfügbar, wenn "Unlimited" deaktiviert ist.

    Maximale Dateigröße
    Gibt die maximale Größe für eine Überwachungsdatei in Megabyte (MB), Gigabyte (GB) oder Terabytes (TB) an. Sie können zwischen 1024 MB und 2.147.483.647 TB angeben. Wenn Sie das Kontrollkästchen "Unbegrenzt " aktivieren, wird keine Beschränkung auf die Größe der Datei gesetzt. Wenn Sie einen Wert angeben, der niedriger als 1024 MB ist, tritt ein Fehler auf. Das Kontrollkästchen "Unbegrenzt " ist standardmäßig aktiviert.

    Kontrollkästchen "Speicherplatz reservieren"
    Gibt an, dass der Speicherplatz auf dem Datenträger vorab zugewiesen ist, der der angegebenen maximalen Dateigröße entspricht. Diese Einstellung kann nur verwendet werden, wenn das Kontrollkästchen "Unbegrenzt " unter "Maximale Dateigröße " nicht aktiviert ist. Dieses Kontrollkästchen ist standardmäßig nicht aktiviert.

  3. Geben Sie optional auf der Seite "Filter " ein Prädikat oder WHERE eine Klausel für die Serverüberwachung ein, um zusätzliche Optionen anzugeben, die auf der Seite " Allgemein " nicht verfügbar sind. Schließen Sie das Prädikat in Klammern ein; Beispiel: (object_name = 'EmployeesTable').

  4. Wenn Sie die Optionen ausgewählt haben, klicken Sie auf "OK".

So erstellen Sie eine Serverüberwachungsspezifikation

  1. Klicken Sie im Objekt-Explorer auf das Pluszeichen, um den Sicherheitsordner zu erweitern.

  2. Klicken Sie mit der rechten Maustaste auf den Ordner "Serverüberwachungsspezifikationen ", und wählen Sie "Neue Serverüberwachungsspezifikation" aus.

    Die folgenden Optionen sind im Dialogfeld " Serverüberwachungsspezifikation erstellen " verfügbar.

    Name
    Der Name der Serverüberwachungsspezifikation. Dies wird automatisch generiert, wenn Sie eine neue Server-Audit-Spezifikation erstellen, ist aber bearbeitbar.

    Überwachung
    Der Name einer vorhandenen Serverprüfung. Geben Sie entweder den Namen der Überwachung ein, oder wählen Sie sie aus der Liste aus.

    Überwachungsaktionstyp
    Gibt die Zu erfassenden Überwachungsaktionsgruppen und Überwachungsaktionen auf Serverebene an. Eine Liste der Überwachungsaktionsgruppen auf Serverebene und Überwachungsaktionen sowie eine Beschreibung der darin enthaltenen Ereignisse finden Sie unter SQL Server-Überwachungsaktionsgruppen und -aktionen.

    Objektschema
    Zeigt das Schema für den angegebenen Objektnamen an.

    Objektnamen
    Der Name des zu überwachenden Objekts. Dies ist nur für Überwachungsaktionen verfügbar; sie gilt nicht für Überwachungsgruppen.

    Ellipse (...)
    Öffnet das Dialogfeld "Objekte auswählen", um basierend auf dem angegebenen Überwachungsaktionstyp nach einem verfügbaren Objekt zu suchen und auszuwählen.

    Prinzipalname
    Das Konto, nach dem das Audit für das überwachte Objekt gefiltert werden soll.

    Ellipse (...)
    Öffnet das Dialogfeld "Objekte auswählen", um basierend auf dem angegebenen Objektnamen nach einem verfügbaren Objekt zu suchen und auszuwählen.

  3. Klicken Sie auf OK, wenn Sie fertig sind.

Verwenden von Transact-SQL

So erstellen Sie eine Serverüberwachung

  1. Stellen Sie im Objekt-Explorer eine Verbindung mit einer Datenbank-Engine-Instanz her.

  2. Klicken Sie in der Standardleiste auf Neue Abfrage.

  3. Kopieren Sie das folgende Beispiel, fügen Sie es in das Abfragefenster ein, und klicken Sie auf Ausführen.

    -- Creates a server audit called "HIPAA_Audit" with a binary file as the target and no options.  
CREATE SERVER AUDIT HIPAA_Audit  
    TO FILE ( FILEPATH ='\\SQLPROD_1\Audit\' );

So erstellen Sie eine Serverüberwachungsspezifikation

  1. Stellen Sie im Objekt-Explorer eine Verbindung mit einer Datenbank-Engine-Instanz her.

  2. Klicken Sie in der Standardleiste auf Neue Abfrage.

  3. Kopieren Sie das folgende Beispiel, fügen Sie es in das Abfragefenster ein, und klicken Sie auf Ausführen.

    /*Creates a server audit specification called "HIPAA_Audit_Specification" that audits failed logins for the SQL Server audit "HIPAA_Audit" created above.  
*/  

CREATE SERVER AUDIT SPECIFICATION HIPAA_Audit_Specification  
FOR SERVER AUDIT HIPAA_Audit  
    ADD (FAILED_LOGIN_GROUP);  
GO  
-- Enables the audit.   

ALTER SERVER AUDIT HIPAA_Audit  
WITH (STATE = ON);  
GO

Weitere Informationen finden Sie unter CREATE SERVER AUDIT (Transact-SQL) und CREATE SERVER AUDIT SPECIFICATION (Transact-SQL).

  • Last updated on