Freigeben über


SQL Server-Überwachungsaktionsgruppen und -aktionen

Gilt für: SQL Server

Die Audit-Funktion von SQL Server ermöglicht Ihnen, Ereignisgruppen und einzelne Ereignisse auf Server- und Datenbankebene zu überwachen. Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine).

SQL Server-Überwachungen bestehen aus null oder mehr Überwachungsaktionselementen. Bei diesen Überwachungsaktionselementen kann es sich entweder um Aktionsgruppen, wie Server_Object_Change_Group, oder um einzelne Aktionen, wie SELECT-Vorgänge in einer Tabelle, handeln.

Hinweis

Server_Object_Change_Group enthält für jedes Serverobjekt (Datenbank oder Endpunkt) CREATE, ALTER und DROP.

Überwachungen können in die folgenden Kategorien von Aktionen eingeteilt werden:

  • Serverebene. Diese Aktionen schließen Servervorgänge ein, z. B. Verwaltungsänderungen sowie Anmelde- und Abmeldevorgänge.

  • Datenbankebene. Diese Aktionen umfassen DML- (Data Manipulation Language) und DDL-Vorgänge (Data Definition Language).

  • Überwachungsebene. Diese Aktionen schließen Aktionen im Überwachungsprozess ein.

Einige Aktionen für SQL Server-Überwachungskomponenten werden systemintern in einer spezifischen Überwachung überwacht. In diesen Fällen treten Überwachungsereignisse automatisch auf, da das Ereignis für das übergeordnete Objekt eingetreten ist.

Die folgenden Aktionen werden systemintern überwacht:

  • Statusänderung der Serverüberwachung (Status wird auf EIN oder AUS festgelegt)

Die folgenden Ereignisse werden nicht systemintern überwacht:

  • CREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATION

Sämtliche Überwachungen werden nach dem ersten Erstellen deaktiviert.

Überwachungsaktionsgruppen auf Serverebene

Überwachungsaktionsgruppen auf Serverebene sind Aktionen, die Ereignisklassen der Sicherheitsüberwachung in SQL Server ähneln. Weitere Informationen finden Sie unter Ereignisklassen in SQL Server – Referenz.

In der folgenden Tabelle werden die Überwachungsaktionsgruppen auf Serverebene beschrieben. Hier finden Sie auch, sofern vorhanden, die entsprechende Ereignisklasse in SQL Server.

Aktionsgruppenname Beschreibung
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP Das Ereignis wird ausgelöst, wenn ein Kennwort für eine Anwendungsrolle geändert wird. Entspricht der Audit App Role Change Password Event Class.
AUDIT_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine Überwachung erstellt, geändert oder gelöscht wird. Das Ereignis wird ausgelöst, wenn eine Überwachungsspezifikation erstellt, geändert oder gelöscht wird. Jede Änderung an einer Überwachung wird in dieser Überwachung überwacht. Entspricht der Audit Change Audit Event Class.
BACKUP_RESTORE_GROUP Das Ereignis wird ausgelöst, wenn ein Sicherungs- oder Wiederherstellungsbefehl ausgegeben wird. Entspricht der Audit Backup/Restore-Ereignisklasse.
BATCH_COMPLETED_GROUP Dieses Ereignis wird ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgänge abgeschlossen wird. Es wird nach Abschluss des Batches ausgelöst und überwacht den gesamten Text des Batches oder der gespeicherten Prozedur, so wie er vom Client übermittelt wird, einschließlich des Ergebnisses. Hinzugefügt in SQL Server 2022. Entspricht der SQL Batch Completed-Ereignisklasse.
BATCH_STARTED_GROUP Dieses Ereignis wird ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgänge begonnen wird. Es wird vor der Ausführung ausgelöst und überwacht den gesamten Text des Batches oder der gespeicherten Prozedur, so wie er vom Client übermittelt wird. Hinzugefügt in SQL Server 2022. Entspricht der SQL Batch Started-Ereignisklasse.
BROKER_LOGIN_GROUP Das Ereignis wird für Berichtsüberwachungsmeldungen zur Service Broker-Transportsicherheit ausgelöst. Entspricht der Audit Broker Login Event Class.
DATABASE_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine Datenbank erstellt, geändert oder gelöscht wird. Das Ereignis wird immer dann ausgelöst, wenn eine Datenbank erstellt, geändert oder gelöscht wird. Entspricht der Audit Database Management Event Class.
DATABASE_LOGOUT_GROUP Das Ereignis wird ausgelöst, wenn sich der Benutzer einer eigenständigen Datenbank von einer Datenbank abmeldet. Entspricht der Audit Logout Event Class.
DATABASE_MIRRORING_LOGIN_GROUP Das Ereignis wird für Berichtsüberwachungsmeldungen zur Transportsicherheit der Datenbankspiegelung ausgelöst. Entspricht der Audit Database Mirroring Login Event Class.
DATABASE_OBJECT_ACCESS_GROUP Das Ereignis wird jedes Mal ausgelöst, wenn auf Datenbankobjekte, z. B. Nachrichtentyp, Assembly, Vertrag, zugegriffen wird. Dieses Ereignis wird für jeden Zugriff auf eine Datenbank ausgelöst. Hinweis: Dies kann zu sehr vielen Überwachungsdatensätzen führen.

Entspricht der Audit Database Object Access Event Class.
DATABASE_OBJECT_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine CREATE-, ALTER- oder DROP-Anweisung für Datenbankobjekte, z. B. Schemas, ausgeführt wird. Dieses Ereignis wird immer dann ausgelöst, wenn ein Datenbankobjekt erstellt, geändert oder gelöscht wird. Hinweis: Dies kann zu einer großen Anzahl an Überwachungsdatensätzen führen.

Entspricht der Audit Database Object Management Event Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn der Besitzer für Objekte im Datenbankbereich geändert wird. Das Ereignis wird für eine Objektbesitzänderung in einer beliebigen Datenbank auf dem Server ausgelöst. Entspricht der Audit Database Object Take Ownership Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn für Datenbankobjekte, z. B. Assemblys und Schemas, eine GRANT-, REVOKE- oder DENY-Anweisung ausgegeben wurde. Das Ereignis wird für eine Objektberechtigungsänderung für eine beliebige Datenbank auf dem Server ausgelöst. Entspricht der Audit Database Object GDR Event Class.
DATABASE_OPERATION_GROUP Das Ereignis wird ausgelöst, wenn Datenbankvorgänge auftreten, z. B. Prüfpunkt- oder Abonnement-Abfragebenachrichtigungen. Das Ereignis wird bei jedem Datenbankvorgang in einer Datenbank ausgelöst. Entspricht der Audit Database Operation Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Sie die ALTER AUTHORIZATION-Anweisung verwenden, um den Besitzer einer Datenbank zu ändern, und die dazu erforderlichen Berechtigungen überprüft werden. Das Ereignis wird für eine Datenbankbesitzänderung in einer beliebigen Datenbank auf dem Server ausgelöst. Entspricht der Audit Change Database Owner Event Class.
DATABASE_PERMISSION_CHANGE_GROUP Das Ereignis wird immer dann ausgelöst, wenn ein Prinzipal in SQL Server eine GRANT-, REVOKE- oder DENY-Anweisung für eine Anweisungsberechtigung ausgibt (dies gilt ausschließlich für datenbankspezifische Ereignisse, beispielsweise das Gewähren von Berechtigungen für eine Datenbank).

Das Ereignis wird für eine Datenbankbesitzänderung (GDR) in einer beliebigen Datenbank auf dem Server ausgelöst. Entspricht der Audit Database Scope GDR Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Prinzipale, z. B. Benutzer, in einer Datenbank erstellt oder geändert bzw. aus einer Datenbank gelöscht werden. Entspricht der Audit Database Principal Management Event Class. (Entspricht ebenfalls der Audit Add DB Principal-Ereignisklasse, die bei den veralteten gespeicherten Prozeduren sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal und sp_dropPrincipal auftritt.)

Dieses Ereignis wird immer dann ausgelöst, wenn eine Datenbankrolle mit den gespeicherten sp_addrole- und sp_droprole-Prozeduren hinzugefügt bzw. entfernt wird. Das Ereignis wird immer dann ausgelöst, wenn Datenbankprinzipale erstellt, geändert oder aus einer Datenbank gelöscht werden. Entspricht der Audit Add Role Event Class.
DATABASE_PRINCIPAL_IMPERSONATION_GROUP Dieses Ereignis wird ausgelöst, wenn es im Datenbankbereich zu einem Identitätswechselvorgang kommt, z. B. bei EXECUTE AS <Prinzipalname> oder SETPRINCIPAL. Das Ereignis wird für Identitätswechsel in einer Datenbank ausgelöst. Entspricht der Audit Database Principal Impersonation Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Anmeldedaten hinzugefügt oder aus einer Datenbankrolle entfernt werden. Diese Ereignisklasse wird für die gespeicherten Prozeduren sp_addrolemember, sp_changegroup und sp_droprolemember ausgelöst. Das Ereignis wird bei jeder Änderung der Mitgliedschaft in einer Datenbankrolle in jeder Datenbank ausgelöst. Entspricht der Audit Add Member to DB Role-Ereignisklasse.
DBCC_GROUP Das Ereignis wird ausgelöst, wenn ein Prinzipal einen DBCC-Befehl ausgibt. Entspricht der Audit DBCC Event Class.
EXTGOV_OPERATION_GROUP Dieses Ereignis wird für die Aktivierung der externen Governancefunktion, die Deaktivierung der externen Governancefunktion, die Synchronisierung von externen Governancerichtlinien und die Erzwingung von Berechtigungen basierend auf externen Governancerichtlinien ausgelöst.
FAILED_DATABASE_AUTHENTICATION_GROUP Gibt an, dass ein Prinzipal vergeblich versucht hat, sich an einer eigenständigen Datenbank anzumelden. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Audit Login Failed Event Class.
FAILED_LOGIN_GROUP Gibt an, dass ein Prinzipal versucht hat, sich bei SQL Server anzumelden, und diese Anmeldung fehlgeschlagen ist. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Audit Login Failed Event Class. Diese Überprüfung gilt nicht für Azure SQL-Datenbank.
FULLTEXT_GROUP Gibt an, dass ein Volltextereignis aufgetreten ist. Entspricht der Audit Fulltext Event Class.
LOGIN_CHANGE_PASSWORD_GROUP Dieses Ereignis wird ausgelöst, wenn das Anmeldekennwort mit einer ALTER LOGIN-Anweisung oder der gespeicherten sp_password-Prozedur geändert wird. Entspricht der Audit Login Change Password Event Class.
LOGOUT_GROUP Gibt an, dass ein Prinzipal sich von SQL Server abgemeldet hat. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Audit Logout Event Class.
SCHEMA_OBJECT_ACCESS_GROUP Das Ereignis wird immer dann ausgelöst, wenn eine Objektberechtigung im Schema verwendet wurde. Entspricht der Audit Schema Object Access Event Class.
SCHEMA_OBJECT_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn ein CREATE-, ALTER- oder DROP-Vorgang für ein Schema ausgeführt wird. Entspricht der Audit Schema Object Management Event Class.

Das Ereignis wird bei Schemaobjekten ausgelöst. Entspricht der Audit Object Derived Permission Event Class.
Dieses Ereignis wird immer dann ausgelöst, wenn ein Schema in einer beliebigen Datenbank geändert wird. Entspricht der Audit Statement Permission Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP Dieses Ereignis wird ausgelöst, wenn die Berechtigungen zum Ändern des Besitzers eines Schemaobjekts (z. B. einer Tabelle, Prozedur oder Funktion) überprüft werden. Dies tritt ein, wenn mit der ALTER AUTHORIZATION-Anweisung einem Objekt ein Besitzer zugewiesen wird. Dieses Ereignis wird für eine Schemabesitzänderung für eine beliebige Datenbank auf dem Server ausgelöst. Entspricht der Audit Schema Object Take Ownership Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP Dieses Ereignis wird immer dann ausgelöst, wenn eine Grant-, Deny- oder Revoke-Anweisung für ein Schemaobjekt ausgeführt wird. Entspricht der Audit Schema Object GDR Event Class.
SERVER_OBJECT_CHANGE_GROUP Das Ereignis wird für CREATE-, ALTER- oder DROP-Vorgänge auf Serverobjekten ausgelöst. Entspricht der Audit Server Object Management Event Class.
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn der Besitzer für Objekte im Serverbereich geändert wird. Entspricht der Audit Server Object Take Ownership Event Class.
SERVER_OBJECT_PERMISSION_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn ein Prinzipal in SQL Server eine GRANT-, REVOKE- oder DENY-Anweisung für eine Serverobjektberechtigung ausgibt. Entspricht der Audit Server Object GDR Event Class.
SERVER_OPERATION_GROUP Das Ereignis wird ausgelöst, wenn Sicherheitsüberwachungsvorgänge verwendet werden, z. B. das Ändern von Einstellungen, Ressourcen, des externen Zugriffs oder von Berechtigungen. Entspricht der Audit Server Operation Event Class.
SERVER_PERMISSION_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine GRANT-, REVOKE- oder DENY-Anweisung für Berechtigungen im Serverbereich ausgegeben wird. Entspricht der Audit Server Scope GDR Event Class.
SERVER_PRINCIPAL_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Serverprinzipale erstellt, geändert oder gelöscht werden. Entspricht der Audit Server Principal Management Event Class.

Dieses Ereignis wird ausgelöst, wenn ein Prinzipal die gespeicherten sp_defaultdb- oder sp_defaultlanguage-Prozeduren oder ALTER LOGIN-Anweisungen ausgibt. Entspricht der Audit Addlogin Event Class.
Dieses Ereignis wird für die gespeicherten sp_addlogin- und sp_droplogin-Prozeduren ausgelöst. Entspricht auch der Audit Login Change Property Event Class.
Dieses Ereignis wird für die gespeicherten Prozeduren sp_grantlogin oder sp_revokelogin ausgelöst. Entspricht der Audit Login GDR Event Class.
SERVER_PRINCIPAL_IMPERSONATION_GROUP Dieses Ereignis wird ausgelöst, wenn es zu einem Identitätswechsel im Serverbereich kommt, z.B. bei EXECUTE AS <Anmeldung>. Entspricht der Audit Server Principal Impersonation Event Class.
SERVER_ROLE_MEMBER_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Anmeldedaten hinzugefügt werden oder aus einer festen Serverrolle entfernt werden. Dieses Ereignis wird für die gespeicherten Prozeduren sp_addsrvrolemember und sp_dropsrvrolemember ausgelöst. Entspricht der Audit Add Login to Server Role-Ereignisklasse.
SERVER_STATE_CHANGE_GROUP Dieses Ereignis wird ausgelöst, wenn der SQL Server-Dienststatus geändert wird. Entspricht der Audit Server Starts and Stops Event Class.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP Gibt an, dass sich ein Prinzipal erfolgreich an einer eigenständigen Datenbank angemeldet hat.
SUCCESSFUL_LOGIN_GROUP Gibt an, dass ein Prinzipal sich erfolgreich bei SQL Server angemeldet hat. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Audit Login Event Class.
TRACE_CHANGE_GROUP Das Ereignis wird für alle Anweisungen ausgelöst, die die ALTER TRACE-Berechtigung überprüfen. Entspricht der Audit Server Alter Trace Event Class.
TRANSACTION_GROUP Dieses Ereignis wird für BEGIN TRANSACTION-, ROLLBACK TRANSACTION- und COMMIT TRANSACTION-Vorgänge ausgelöst, sowohl bei expliziten Aufrufen dieser Anweisungen als auch bei impliziten Transaktionsvorgängen. Dieses Ereignis wird auch für UNDO-Vorgänge für einzelne Anweisungen ausgelöst, die durch das Rollback einer Transaktion verursacht wurden.
USER_CHANGE_PASSWORD_GROUP Das Ereignis wird immer dann ausgelöst, wenn das Kennwort des Benutzers einer eigenständigen Datenbank mit der ALTER USER-Anweisung geändert wird.
USER_DEFINED_AUDIT_GROUP Diese Gruppe überwacht ausgelöste Ereignisse mithilfe von sp_audit_write (Transact-SQL). In der Regel schließen Trigger oder gespeicherte Prozeduren Aufrufe von sp_audit_write ein, um das Überwachen von wichtigen Ereignissen zu aktivieren.
LEDGER_OPERATION_GROUP Dieses Ereignis wird für die folgenden Aktionen ausgelöst: GENERATE LEDGER DIGEST – Wenn Sie ein Ledger Digest generieren, VERIFY LEDGER – Wen Sie ein Ledger Digest verifizieren. Gilt für: Azure SQL-Datenbank

Überlegungen

Aktionsgruppen auf Serverebene umfassen Aktionen auf einer SQL Server-Instanz. Das Einchecken eines Schemaobjektszugriffs auf eine Datenbank wird beispielsweise aufgezeichnet, wenn die entsprechende Aktionsgruppe der Serverüberwachungsspezifikation hinzugefügt wird. In einer Datenbank-Überwachungsspezifikation werden nur Schemaobjektzugriffe in dieser Datenbank aufgezeichnet.

Aktionen auf Serverebene ermöglichen keine ausführliche Filterung für Aktionen auf Datenbankebene. Eine Überwachung auf Datenbankebene, z. B. eine Überwachung der SELECT-Aktionen in der Customers-Tabelle für Anmeldedaten in der Employee-Gruppe, ist für die Implementierung einer ausführlichen Aktionsfilterung notwendig. Beziehen Sie in einer Benutzerdatenbank-Überwachungsspezifikation keine Objekte mit Serverbereich ein, wie Systemsichten.

Hinweis

Da das Aktivieren einer Überwachung auf Transaktionsebene sehr aufwändig ist, ist dies ab SQL Server 2016 (13.x) SP2 CU3 und SQL Server 2017 (14.x) CU4 standardmäßig deaktiviert, wenn die Common Criteria-Kompatibilität nicht aktiviert ist. Wenn die Common Criteria-Kompatibilität deaktiviert ist, können Sie zwar trotzdem eine Aktion der TRANSACTION_GROUP zu einer Überwachungsspezifikation hinzufügen, aber dann werden keine Transaktionsdaten erfasst. Wenn Sie Überwachungsaktionen der TRANSACTION_GROUP konfigurieren möchten, vergewissern Sie sich, dass die Infrastruktur zur Überwachung auf Transaktionsebene aktiviert ist, indem Sie ab SQL Server 2016 (13.x) SP2 CU3 und SQL Server 2017 (14.x) CU4 und höher die Common Criteria-Kompatibilität aktivieren. In SQL Server 2016 (13.x) ab SP1 CU2 kann die Überwachung auf Transaktionsebene auch mit dem Ablaufverfolgungsflag 3427 deaktiviert werden.

Überwachungsaktionsgruppen auf Datenbankebene

Überwachungsaktionsgruppen auf Datenbankebene sind Aktionen, die Ereignisklassen der Sicherheitsüberwachung in SQL Server ähneln. Weitere Informationen zu Ereignisklassen finden Sie unter Ereignisklassen in SQL Server – Referenz.

In der folgenden Tabelle werden die Überwachungsaktionsgruppen auf Datenbankebene beschrieben. Hier finden Sie auch, sofern vorhanden, die entsprechende Ereignisklasse in SQL Server.

Aktionsgruppenname Beschreibung
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP Das Ereignis wird ausgelöst, wenn ein Kennwort für eine Anwendungsrolle geändert wird. Entspricht der Audit App Role Change Password Event Class.
AUDIT_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine Überwachung erstellt, geändert oder gelöscht wird. Das Ereignis wird ausgelöst, wenn eine Überwachungsspezifikation erstellt, geändert oder gelöscht wird. Jede Änderung an einer Überwachung wird in dieser Überwachung überwacht. Entspricht der Audit Change Audit Event Class.
BACKUP_RESTORE_GROUP Das Ereignis wird ausgelöst, wenn ein Sicherungs- oder Wiederherstellungsbefehl ausgegeben wird. Entspricht der Audit Backup/Restore-Ereignisklasse.
BATCH_COMPLETED_GROUP Dieses Ereignis wird ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgänge abgeschlossen wird. Es wird nach Abschluss des Batches ausgelöst und überwacht den gesamten Text des Batches oder der gespeicherten Prozedur, so wie er vom Client übermittelt wird, einschließlich des Ergebnisses. Hinzugefügt in SQL Server 2019.
BATCH_STARTED_GROUP Dieses Ereignis wird ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgänge begonnen wird. Es wird vor der Ausführung ausgelöst und überwacht den gesamten Text des Batches oder der gespeicherten Prozedur, so wie er vom Client übermittelt wird. Hinzugefügt in SQL Server 2019.
DATABASE_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine Datenbank erstellt, geändert oder gelöscht wird. Entspricht der Audit Database Management Event Class.
DATABASE_LOGOUT_GROUP Das Ereignis wird ausgelöst, wenn sich der Benutzer einer eigenständigen Datenbank von einer Datenbank abmeldet.
DATABASE_OBJECT_ACCESS_GROUP Das Ereignis wird immer dann ausgelöst, wenn auf Datenbankobjekte, z. B. Zertifikate und asymmetrische Schlüssel, zugegriffen wird. Entspricht der Audit Database Object Access Event Class.
DATABASE_OBJECT_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn eine CREATE-, ALTER- oder DROP-Anweisung für Datenbankobjekte, z. B. Schemas, ausgeführt wird. Entspricht der Audit Database Object Management Event Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn der Besitzer für Objekte im Datenbankbereich geändert wird. Entspricht der Audit Database Object Take Ownership Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn für Datenbankobjekte, z. B. Assemblys und Schemas, eine GRANT-, REVOKE- oder DENY-Anweisung ausgegeben wurde. Entspricht der Audit Database Object GDR Event Class.
DATABASE_OPERATION_GROUP Das Ereignis wird ausgelöst, wenn Datenbankvorgänge auftreten, z. B. Prüfpunkt- oder Abonnement-Abfragebenachrichtigungen. Entspricht der Audit Database Operation Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Sie die ALTER AUTHORIZATION-Anweisung verwenden, um den Besitzer einer Datenbank zu ändern, und die dazu erforderlichen Berechtigungen überprüft werden. Entspricht der Audit Change Database Owner Event Class.
DATABASE_PERMISSION_CHANGE_GROUP Das Ereignis wird immer dann ausgelöst, wenn ein Benutzer in SQL Server eine GRANT-, REVOKE- oder DENY-Anweisung für eine Anweisungsberechtigung ausgibt (dies gilt ausschließlich für datenbankspezifische Ereignisse, beispielsweise das Gewähren von Berechtigungen für eine Datenbank). Entspricht der Audit Database Scope GDR Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Prinzipale, z. B. Benutzer, in einer Datenbank erstellt oder geändert bzw. aus einer Datenbank gelöscht werden. Entspricht der Audit Database Principal Management Event Class. Entspricht auch der Audit Add DB User-Ereignisklasse, die bei den veralteten gespeicherten Prozeduren sp_grantdbaccess, sp_revokedbaccess, sp_adduser und sp_dropuser auftritt.

Dieses Ereignis wird immer dann ausgelöst, wenn eine Datenbankrolle mit den veralteten gespeicherten Prozeduren sp_addrole und sp_droprole hinzugefügt bzw. entfernt wird. Entspricht der Audit Add Role Event Class.
DATABASE_PRINCIPAL_IMPERSONATION_GROUP Dieses Ereignis wird ausgelöst, wenn es zu einem Identitätswechsel im Datenbankbereich kommt, z. B. bei EXECUTE AS <Benutzer>. Entspricht der Audit Database Principal Impersonation Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn Anmeldedaten hinzugefügt oder aus einer Datenbankrolle entfernt werden. Diese Ereignisklasse wird mit den gespeicherten Prozeduren sp_addrolemember, sp_changegroupund sp_droprolemember verwendet. Entspricht der Audit Add Member to DB Role-Ereignisklasse.
DBCC_GROUP Das Ereignis wird ausgelöst, wenn ein Prinzipal einen DBCC-Befehl ausgibt. Entspricht der Audit DBCC Event Class.
FAILED_DATABASE_AUTHENTICATION_GROUP Gibt an, dass ein Prinzipal vergeblich versucht hat, sich an einer eigenständigen Datenbank anzumelden. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Das Ereignis wird ausgelöst.
SCHEMA_OBJECT_ACCESS_GROUP Das Ereignis wird immer dann ausgelöst, wenn eine Objektberechtigung im Schema verwendet wurde. Entspricht der Audit Schema Object Access Event Class.
SCHEMA_OBJECT_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn ein CREATE-, ALTER- oder DROP-Vorgang für ein Schema ausgeführt wird. Entspricht der Audit Schema Object Management Event Class.

Das Ereignis wird bei Schemaobjekten ausgelöst. Entspricht der Audit Object Derived Permission Event Class. Entspricht auch der Audit Statement Permission Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP Das Ereignis wird ausgelöst, wenn die Berechtigungen zum Ändern des Besitzers eines Schemaobjekts, z. B. einer Tabelle, Prozedur oder Funktion, überprüft werden. Dies tritt ein, wenn mit der ALTER AUTHORIZATION-Anweisung einem Objekt ein Besitzer zugewiesen wird. Entspricht der Audit Schema Object Take Ownership Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP Das Ereignis wird immer dann ausgelöst, wenn eine Grant-, Deny- oder Revoke-Anweisung für ein Schemaobjekt ausgegeben wird. Entspricht der Audit Schema Object GDR Event Class.
SENSITIVE_BATCH_COMPLETED_GROUP Dieses Ereignis wird immer dann ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgängen für vertrauliche Daten abgeschlossen wird, die mithilfe der SQL-Datenermittlung und -klassifizierung klassifiziert werden. Es wird nach Abschluss des Batches ausgelöst und überwacht den gesamten Text des Batches oder der gespeicherten Prozedur, so wie er vom Client übermittelt wird, einschließlich des Ergebnisses. Hinzugefügt in SQL Server 2019.
SENSITIVE_BATCH_STARTED_GROUP Dieses Ereignis wird immer dann ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgängen für vertrauliche Daten begonnen wird, die mithilfe der SQL-Datenermittlung und -klassifizierung klassifiziert werden. Es wird vor der Ausführung ausgelöst und überwacht den gesamten Text des Batches oder der gespeicherten Prozedur, so wie er vom Client übermittelt wird. Hinzugefügt in SQL Server 2019.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP Gibt an, dass sich ein Prinzipal erfolgreich an einer eigenständigen Datenbank angemeldet hat.
USER_CHANGE_PASSWORD_GROUP Das Ereignis wird immer dann ausgelöst, wenn das Kennwort des Benutzers einer eigenständigen Datenbank mit der ALTER USER-Anweisung geändert wird.
USER_DEFINED_AUDIT_GROUP Diese Gruppe überwacht ausgelöste Ereignisse mithilfe von sp_audit_write (Transact-SQL).
LEDGER_OPERATION_GROUP Dieses Ereignis wird für die folgenden Aktionen ausgelöst: ENABLE LEDGER ausgelöst – Wenn Sie eine neue Ledger-Tabelle erstellen, ALTER LEDGER – Wenn Sie eine Ledger-Tabelle ablegen und ALTER LEDGER CONFIGURATION Gilt für Azure SQL-Datenbank.

Überwachungsaktionen auf Datenbankebene

Aktionen auf Datenbankebene unterstützen die direkte Überwachung von spezifischen Aktionen für Datenbankenschema- und Schemaobjekte, z. B. Tabellen, Sichten, gespeicherte Prozeduren, Funktionen, erweiterte gespeicherte Prozeduren, Warteschlangen, Synonyme. Typen, XML-Schemaauflistung, Datenbank und Schema werden nicht überwacht. Die Überwachung von Schemaobjekten kann für Schema und Datenbank konfiguriert werden, d. h., es werden alle Ereignisse für alle Schemaobjekte im angegebenen Schema oder in der angegebenen Datenbank überwacht. In der folgenden Tabelle werden Überwachungsaktionen auf Datenbankebene beschrieben.

Aktion Beschreibung
SELECT Dieses Ereignis wird immer dann ausgelöst, wenn SELECT ausgegeben wird.
UPDATE Dieses Ereignis wird immer dann ausgelöst, wenn UPDATE ausgegeben wird.
INSERT Dieses Ereignis wird immer dann ausgelöst, wenn INSERT ausgegeben wird.
DELETE Dieses Ereignis wird immer dann ausgelöst, wenn DELETE ausgegeben wird.
Führen Sie Dieses Ereignis wird immer dann ausgelöst, wenn EXECUTE ausgegeben wird.
RECEIVE Dieses Ereignis wird immer dann ausgelöst, wenn RECEIVE ausgegeben wird.
REFERENCES Dieses Ereignis wird immer dann ausgelöst, wenn eine REFERENCES-Berechtigung überprüft wird.

Überlegungen

  • Überwachungsaktionen auf Datenbankebene gelten nicht für Spalten.

  • Wenn der Abfrageprozessor die Abfrage parametrisiert, wird der Parameter unter Umständen im Überwachungsereignisprotokoll und nicht in den Spaltenwerten der Abfrage angezeigt.

Überwachungsaktionsgruppen auf Überwachungsebene

Sie können auch die Aktionen im Überwachungsprozess überwachen. Dies kann im Serverbereich oder im Datenbankbereich durchgeführt werden. Im Datenbankbereich tritt dies nur bei Datenbank-Überwachungsspezifikationen auf. In der folgenden Tabelle werden Überwachungsaktionsgruppen auf Überwachungsebene beschrieben.

Aktionsgruppenname Beschreibung
AUDIT_CHANGE_GROUP Dieses Ereignis wird immer dann ausgelöst, wenn einer der folgenden Befehle ausgegeben wird:

CREATE SERVER AUDIT
ALTER SERVER AUDIT
DROP SERVER AUDIT
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION