SQL Server Audit (Datenbank-Engine)
Gilt für:
SQL ServerAzure SQL Managed Instance
Das Überwachen einer Instanz des SQL Server-Datenbankmoduls oder einer einzelnen Datenbank umfasst das Nachverfolgen und Protokollieren von Ereignissen, die im Datenbankmodul auftreten. Mithilfe von SQL Server Audit können Serverüberwachungen erstellt werden, die Serverüberwachungsspezifikationen für Ereignisse auf Serverebene sowie Datenbank-Überwachungsspezifikationen für Ereignisse auf Datenbankebene beinhalten können. Überwachte Ereignisse können in die Ereignisprotokolle oder Überwachungsdateien geschrieben werden.
Wichtig
Für Azure SQL Managed Instance weist dieses T-SQL-Feature gewisse Behavior Changes auf. Informationen zu allen Behavior Changes von T-SQL finden Sie unter Unterschiede bei T-SQL zwischen SQL Server und Azure SQL Managed Instance.
Es gibt mehrere Ebenen der Überwachung für SQL Server. Dies richtet sich nach den behördlichen Anforderungen bzw. den Standardvorgaben für Ihre Installation. SQL Server Audit enthält die Tools und Prozesse, die Sie benötigen, um Überwachungen für verschiedene Server- und Datenbankobjekte zu aktivieren, zu speichern und anzuzeigen.
Bei Servern können Sie Überwachungsaktionsgruppen instanzweise aufzeichnen, bei Datenbanken entweder Überwachungsaktionsgruppen oder Überwachungsaktionen jeweils pro Datenbank. Das Überwachungsereignis tritt jedes Mal auf, wenn die überwachbare Aktion erkannt wird.
Alle Editionen von SQL Server unterstützen Audits auf Serverebene. Alle Editionen unterstützen Überprüfungen auf Datenbankebene ab SQL Server 2016 (13.x) SP1. Zuvor war die Überwachung auf Datenbankebene auf die Editionen Enterprise, Developer und Evaluation beschränkt. Weitere Informationen finden Sie unter Von den SQL Server 2016-Editionen unterstützte Funktionen.
Hinweis
Dieses Thema bezieht sich auf SQL Server. Informationen zur SQL-Datenbank finden Sie unter "Erste Schritte mit der SQL-Datenbanküberwachung".
SQL Server Audit-Komponenten
Eine Überwachung besteht aus mehreren Elementen, die in einem einzelnen Paket für eine bestimmte Gruppe von Server- oder Datenbankaktionen zusammengefasst werden. Die Komponenten der SQL Server-Überwachung kombinieren eine Ausgabe, die als Überwachung bezeichnet wird, ebenso wie eine Berichtsdefinition in Kombination mit Grafiken und Datenelementen einen Bericht erzeugt.
Die SQL Server-Überwachung verwendet erweiterte Ereignisse , um eine Überwachung zu erstellen. Weitere Informationen zu erweiterten Ereignissen finden Sie unter erweiterte Ereignisse.
SQL Server Audit
Das SQL Server Audit -Objekt listet eine einzelne Instanz an Aktionen oder Aktionsgruppen auf Server- oder Datenbankebene auf, die überwacht werden soll. Die Überwachung befindet sich auf SQL Server-Instanzebene. Sie können über mehrere Audits pro SQL Server-Instanz verfügen.
Wenn Sie eine Überwachung definieren, geben Sie den Speicherort für die Ausgabe der Ergebnisse an. Dies ist das Überwachungsziel. Die Überwachung wird in einem disabled Zustand erstellt und überwacht Aktionen nicht automatisch. Nachdem die Überwachung aktiviert wurde, empfängt das Überwachungsziel Daten von der Überwachung.
Serverüberwachungsspezifikation
Das Serverüberwachungsspezifikation -Objekt gehört zu einer Überwachung. Sie können eine Serverüberwachungsspezifikation pro Überwachung erstellen, da beide im SQL Server-Instanzbereich erstellt werden.
Die Serverüberwachungsspezifikation listet viele Aktionsgruppen auf Serverebene auf, die von erweiterten Ereignissen ausgelöst werden. Sie können Überwachungsaktionsgruppen in eine Serverüberwachungsspezifikation einschließen. Überwachungsaktionsgruppen sind vordefinierte Aktionsgruppen, bei denen es sich um atome Ereignisse handelt, die im Datenbankmodul auftreten. Diese Aktionen werden an die Überwachung gesendet, die sie im Ziel aufzeichnet.
Überwachungsaktionsgruppen auf Datenbankebene und Überwachungsaktionen werden im Thema SQL Server Audit-Aktionsgruppen und -Aktionenbeschrieben.
Datenbank-Überwachungsspezifikation
Das Datenbanküberwachungsspezifikationsobjekt gehört auch zu einer SQL Server-Überwachung. Sie können eine Datenbank-Überwachungsspezifikation pro SQL Server-Datenbank und pro Überwachung erstellen.
Die Datenbank-Überwachungsspezifikation listet viele Überwachungsaktionen auf Datenbankebene auf, die von erweiterten Ereignissen ausgelöst werden. Sie können einer Datenbank-Überwachungsspezifikation Überwachungsaktionsgruppen oder Überwachungsereignisse hinzufügen. Überwachungsereignisse sind die atomen Aktionen, die vom SQL Server-Modul überwacht werden können. Überwachungsaktionsgruppen sind vorab definierte Aktionsgruppen. Beide befinden sich im SQL Server-Datenbankbereich. Diese Aktionen werden an die Überwachung gesendet, die sie im Ziel aufzeichnet. Beziehen Sie in einer Benutzerdatenbank-Überwachungsspezifikation keine Objekte mit Serverbereich ein, wie Systemsichten.
Überwachungsaktionsgruppen auf Datenbankebene und Überwachungsaktionen werden im Thema SQL Server Audit-Aktionsgruppen und -Aktionenbeschrieben.
Ziel
Die Ergebnisse einer Überwachung werden an ein Ziel gesendet, wobei es sich um eine Datei, das Windows-Sicherheitsereignisprotokoll oder das Windows-Anwendungsereignisprotokoll handelt. Protokolle müssen regelmäßig überprüft und archiviert werden, um sicherzustellen, dass das Ziel über ausreichend Platz verfügt, um zusätzliche Datensätze anzulegen.
Wichtig
Jeder authentifizierte Benutzer kann das Windows-Anwendungsereignisprotokoll lesen und Datensätze darin schreiben. Für das Anwendungsereignisprotokoll sind niedrigere Berechtigungen als für das Windows-Sicherheitsereignisprotokoll erforderlich, daher ist es jedoch auch weniger sicher als das Windows-Sicherheitsereignisprotokoll.
Zum Schreiben in das Windows-Sicherheitsprotokoll muss das SQL Server-Dienstkonto der Richtlinie "Sicherheitsüberwachung generieren" hinzugefügt werden. Standardmäßig sind das lokale System, der lokale Dienst und der Netzwerkdienst ein Teil dieser Richtlinie. Diese Einstellung kann mit dem Sicherheitsrichtlinien-Snap-In (secpol.msc) konfiguriert werden. Darüber hinaus muss die Sicherheitsrichtlinie Objektzugriffsversuche überwachen sowohl für Erfolg als auch für Fehleraktiviert sein. Diese Einstellung kann mit dem Sicherheitsrichtlinien-Snap-In (secpol.msc) konfiguriert werden. In Windows Vista oder Windows Server 2008 (und höher) können Sie die differenziertere , von der Befehlszeile generierte Anwendung mithilfe des Überwachungsrichtlinienprogramms (AuditPol.exe) festlegen. Weitere Informationen zu den Schritten zum Aktivieren des Schreibens in das Windows-Sicherheitsprotokoll finden Sie unter Schreiben von SQL-Serverüberwachungsereignissen in das Sicherheitsprotokoll. Weitere Informationen über das Programm Auditpol.exe finden Sie im Knowledge Base-Artikel 921469, How to use Group Policy to configure detailed security auditing(in englischer Sprache). Die Windows-Ereignisprotokolle gelten global für das Windows-Betriebssystem. Weitere Informationen zu den Windows-Ereignisprotokollen finden Sie unter Ereignisanzeige (Übersicht). Wenn Sie präzisere Berechtigungen für die Überwachung benötigen, verwenden Sie das Binärdateiziel.
Um beim Speichern von Überwachungsinformationen in eine Datei Manipulationen zu verhindern, können Sie den Zugriff auf deren Speicherort auf folgende Weise einschränken:
Das SQL Server-Dienstkonto muss über die Berechtigung "Lesen" und "Schreiben" verfügen.
Für Überwachungsadministratoren sind in der Regel Lese- und Schreibberechtigungen erforderlich. Dabei wird angenommen, dass Überwachungsadministratoren Windows-Konten für die Verwaltung von Überwachungsdateien (u. a. das Kopieren der Dateien auf andere Freigaben und das Erstellen von Sicherungen) darstellen.
Für das Lesen von Überwachungsdateien autorisierte Überwachungsleser müssen über eine Leseberechtigung verfügen.
Selbst wenn das Datenbankmodul in eine Datei schreibt, können andere Windows-Benutzer die Überwachungsdatei lesen, wenn sie über die Berechtigung verfügen. Das Datenbankmodul verwendet keine exklusive Sperre, die Lesevorgänge verhindert.
Da das Datenbankmodul auf die Datei zugreifen kann, kann SQL Server-Anmeldungen mit CONTROL SERVER-Berechtigung das Datenbankmodul verwenden, um auf die Überwachungsdateien zuzugreifen. Um alle Benutzer aufzuzeichnen, die die Überwachungsdatei lesen, definieren Sie eine Überwachung in master.sys.fn_get_audit_file. Dadurch werden die Anmeldungen mit CONTROL SERVER-Berechtigungen aufgezeichnet, die über SQL Server auf die Überwachungsdatei zugegriffen haben.
Wenn ein Überwachungsadministrator die Datei an einen anderen Ort kopiert (zur Archivierung usw.), sollten die ACLs am neuen Ort auf die folgenden Berechtigungen beschränkt werden:
Überwachungsadministrator – Lesen/Schreiben
Überwachungsleser – Lesen
Es wird empfohlen, Überwachungsberichte aus einer separaten Instanz von SQL Server zu generieren, z. B. eine Instanz von SQL Server Express, auf die nur Überwachungsadministratoren oder Überwachungsleser Zugriff haben. Mithilfe einer separaten Instanz des Datenbankmoduls für die Berichterstellung können Sie verhindern, dass nicht autorisierte Benutzer Zugriff auf den Überwachungsdatensatz erhalten.
Zusätzlichen Schutz gegen unautorisierten Zugriff erhalten Sie, indem Sie den Ordner mit der Überwachungsdatei mit der Windows-BitLocker-Laufwerksverschlüsselung oder dem verschlüsselnden Dateisystem von Windows verschlüsseln.
Weitere Informationen zu den Überwachungsdatensätzen, die in das Ziel geschrieben werden, finden Sie unter SQL Server Audit-Datensätze.
Übersicht über die Verwendung von SQL Server Audit
Sie können SQL Server Management Studio oder Transact-SQL verwenden, um eine Überwachung zu definieren. Nachdem die Überwachung erstellt und aktiviert wurde, empfängt das Ziel die Einträge.
Sie können die Windows-Ereignisprotokolle mit dem Windows-Hilfsprogramm Ereignisanzeige lesen. Für Dateiziele können Sie entweder den Protokolldatei-Viewer in SQL Server Management Studio oder die fn_get_audit_file-Funktion verwenden, um die Zieldatei zu lesen.
Im Allgemeinen wird eine Überwachung folgendermaßen erstellt und verwendet:
Erstellen Sie eine Überwachung, und definieren Sie das Ziel.
Erstellen Sie eine Serverüberwachungsspezifikation oder eine Datenbank-Überwachungsspezifikation, die der Überwachung zugeordnet wird. Aktivieren Sie die Überwachungsspezifikation.
Aktivieren Sie die Überwachung.
Lesen Sie die Überwachungsereignisse mit der Windows- Ereignisanzeige, dem Protokolldatei-Vieweroder der fn_get_audit_file-Funktion.
Weitere Informationen zur Überwachung finden Sie unter Erstellen einer Serverüberwachung und einer Serverüberwachungsspezifikation sowie Erstellen einer Server- und Datenbank-Überwachungsspezifikation.
Überlegungen
Wenn während der Überwachungseinleitung ein Fehler auftritt, wird der Server nicht gestartet. In diesem Fall kann der Server gestartet werden, indem Sie in die Befehlszeile die Option -f eingeben.
Wenn aufgrund eines Überwachungsfehlers der Server heruntergefahren wird oder nicht startet, da für die Überwachung ON_FAILURE=SHUTDOWN festgelegt wurde, wird das Ereignis MSG_AUDIT_FORCED_SHUTDOWN in das Protokoll geschrieben. Da der Server schon beim ersten Auftreten dieser Einstellung heruntergefahren wird, wird das Ereignis nur einmal im Protokoll aufgezeichnet. Das Ereignis wird erst nach der Fehlermeldung für die Überwachung, die das Herunterfahren verursacht, geschrieben. Ein Administrator kann überwachungsinduzierte Herunterfahren umgehen, indem SQL Server im Einzelbenutzermodus mithilfe des Flags "-m " gestartet wird. Wenn Sie sich im Einzelbenutzermodus anmelden, wird jede Überwachung herabgestuft, für die festgelegt wurde, dass ON_FAILURE=SHUTDOWN in dieser Sitzung als ON_FAILURE=CONTINUE ausgeführt wird. Wenn SQL Server mit dem Flag "-m " gestartet wird, wird die MSG_AUDIT_SHUTDOWN_BYPASSED Nachricht in das Fehlerprotokoll geschrieben.
Weitere Informationen zu Dienststartoptionen finden Sie unter Startoptionen für den Datenbank-Engine-Dienst.
Anfügen einer Datenbank mit einer definierten Überwachung
Wenn Sie eine Datenbank anfügen, für die eine Überwachungsspezifikation festgelegt wurde und die eine GUID bestimmt, die sich nicht auf dem Server befindet, entsteht eine verwaiste Überwachungsspezifikation. Da eine Überwachung mit einer entsprechenden GUID nicht auf der Serverinstanz vorliegt, werden keine Überwachungsereignisse aufgezeichnet. Verwenden Sie den Befehl ALTER DATABASE AUDIT SPECIFICATION, um die verwaiste Überwachungsspezifikation mit einer vorhandenen Serverüberwachung zu verbinden und somit den Fehler zu beheben. Oder verwenden Sie den Befehl CREATE SERVER AUDIT, um eine neue Serverüberwachung mit der angegebenen GUID zu erstellen.
Sie können eine Datenbank anfügen, die eine überwachungsspezifikation definiert hat, an eine andere Edition von SQL Server, die die SQL Server-Überwachung nicht unterstützt, z. B. SQL Server Express, aber keine Überwachungsereignisse aufzeichnen.
Datenbankspiegelung und SQL Server Audit
Eine Datenbank, für die eine Datenbank-Überwachungsspezifikation definiert wurde und für die Datenbankspiegelung verwendet wird, enthält die Datenbank-Überwachungsspezifikation. Die folgenden Elemente müssen konfiguriert werden, damit sie auf der gespiegelten SQL-Instanz ordnungsgemäß arbeitet:
Der Spiegelserver muss über eine Überwachung mit der gleichen GUID verfügen, damit die Datenbank-Überwachungsspezifikation Überwachungsdatensätze schreiben kann. Dies kann mithilfe des Befehls CREATE AUDIT WITH GUID GUID =<aus der Quellserverüberwachung> konfiguriert werden.
Bei Binärdateizielen muss das Dienstkonto des Spiegelservers über die erforderlichen Berechtigungen für den Speicherort verfügen, an den der Überwachungspfad geschrieben wird.
Bei Windows-Ereignisprotokollzielen muss die Sicherheitsrichtlinie für den Computer, auf dem sich der Spiegelserver befindet, den Dienstkontozugriff auf das Sicherheits- oder Anwendungsereignisprotokoll zulassen.
Überwachen von Administratoren
Mitglieder der festen Serverrolle sysadmin werden in jeder Datenbank als dbo -Benutzer identifiziert. Um die Aktionen der Administratoren zu überwachen, verfolgen Sie also die Aktionen des dbo -Benutzers.
Erstellen und Verwalten von Überwachungen mit Transact-SQL
Sie können DDL-Anweisungen, dynamische Verwaltungsansichten und -funktionen sowie Katalogansichten verwenden, um alle Aspekte der SQL Server-Überwachung zu implementieren.
DDL-Anweisungen (Data Definition Language, Datendefinitionssprache)
Sie können die folgenden DDL-Anweisungen zum Erstellen, Ändern und Löschen von Überwachungsspezifikationen verwenden:
| DDL-Anweisungen | Beschreibung |
|---|---|
| ALTER AUTHORIZATION | Ändert den Besitz eines sicherungsfähigen Elements. |
| ALTER DATABASE AUDIT SPECIFICATION | Ändert die Spezifikation eines Datenbanküberwachungsobjekts mithilfe der SQL Server Audit-Funktion. |
| ALTER SERVER AUDIT | Ändert ein Serverüberwachungsobjekt mithilfe der SQL Server Audit-Funktion. |
| ALTER SERVER AUDIT SPECIFICATION | Ändert die Spezifikation eines Serverüberwachungsobjekts mithilfe der SQL Server Audit-Funktion. |
| CREATE DATABASE AUDIT SPECIFICATION | Erstellt die Spezifikation eines Datenbanküberwachungsobjekts mithilfe der SQL Server Audit-Funktion. |
| CREATE SERVER AUDIT | Erstellt ein Serverüberwachungsobjekt mithilfe von SQL Server Audit. |
| CREATE SERVER AUDIT SPECIFICATION | Erstellt die Spezifikation eines Serverüberwachungsobjekts mithilfe der SQL Server Audit-Funktion. |
| DROP DATABASE AUDIT SPECIFICATION | Löscht die Spezifikation eines Datenbanküberwachungsobjekts mithilfe der SQL Server Audit-Funktion. |
| DROP SERVER AUDIT | Löscht ein Server Audit-Objekt mithilfe der SQL Server Audit-Funktion. |
| DROP SERVER AUDIT SPECIFICATION | Löscht die Spezifikation eines Serverüberwachungsobjekts mithilfe der SQL Server Audit-Funktion. |
Dynamische Sichten und Funktionen
In der folgenden Tabelle sind die dynamischen Ansichten und Funktionen aufgeführt, die Sie für die SQL Server-Überwachung verwenden können.
| Dynamische Sichten und Funktionen | Beschreibung |
|---|---|
| sys.dm_audit_actions | Gibt eine Zeile für jede Überwachungsaktion zurück, die im Überwachungsprotokoll gemeldet werden kann, und jede Überwachungsaktionsgruppe, die als Teil der SQL Server-Überwachung konfiguriert werden kann. |
| sys.dm_server_audit_status | Stellt Informationen über den aktuellen Status der Überwachung bereit. |
| sys.dm_audit_class_type_map | Gibt eine Tabelle zurück, die das Feld class_type im Überwachungsprotokoll dem Feld class_desc in sys.dm_audit_actions zuordnet. |
| fn_get_audit_file | Gibt Informationen von einer Überwachungsdatei zurück, die von einer Serverüberwachung erstellt wurde. |
Katalogsichten
In der folgenden Tabelle sind die Katalogansichten aufgeführt, die Sie für die SQL Server-Überwachung verwenden können.
| Katalogansichten | Beschreibung |
|---|---|
| sys.database_audit_specifications | Enthält Informationen zu den Datenbanküberwachungsspezifikationen in einer SQL Server-Überwachung auf einer Serverinstanz. |
| sys.database_audit_specification_details | Enthält Informationen zu den Datenbanküberwachungsspezifikationen in einer SQL Server-Überwachung auf einer Serverinstanz für alle Datenbanken. |
| sys.server_audits | Enthält eine Zeile für jede SQL Server-Überwachung in einer Serverinstanz. |
| sys.server_audit_specifications | Enthält Informationen über die Serverüberwachungsspezifikationen in einer SQL Server-Überwachung auf einer Serverinstanz. |
| sys.server_audit_specifications_details | Enthält Informationen zur Serverüberwachungsspezifikation (Aktionen) in einer SQL Server-Überwachung auf einer Serverinstanz. |
| sys.server_file_audits | Enthält erweiterte Informationen zum Dateiüberwachungstyp in einer SQL Server-Überwachung auf einer Serverinstanz. |
Berechtigungen
Jedes Feature und jeder Befehl für die SQL Server-Überwachung verfügt über individuelle Berechtigungsanforderungen.
Um eine Serverüberwachung oder eine Serverüberwachungsspezifikation zu erstellen, zu ändern oder zu löschen, muss für Serverüberwachungsprinzipale die Berechtigung ALTER ANY SERVER AUDIT oder CONTROL SERVER festgelegt werden. Um eine Datenbank-Überwachungsspezifikation zu erstellen, zu ändern oder zu löschen, muss für Datenbankprinzipale die Berechtigung ALTER ANY DATABASE AUDIT, ALTER oder CONTROL in der Datenbank festgelegt werden. Zusätzlich benötigen Prinzipale die Berechtigung zum Herstellen einer Verbindung mit der Datenbank bzw. die Berechtigung ALTER ANY SERVER AUDIT oder CONTROL SERVER.
Die Berechtigung VIEW ANY DEFINITION ermöglicht die Anzeige der Überwachungssichten auf Serverebene, VIEW DEFINITION dagegen die Anzeige der Überwachungssichten auf Datenbankebene. Ohne diese Berechtigungen können keine Katalogsichten angezeigt werden, selbst wenn der Prinzipal über die Berechtigung ALTER ANY SERVER AUDIT oder ALTER ANY DATABASE AUDIT verfügt.
Weitere Informationen zum Erteilen von Rechten und Berechtigungen finden Sie unter GRANT (Transact-SQL).For more information about how to grant rights and permissions, see GRANT (Transact-SQL).
Achtung
Prinzipale in der Rolle sysadmin können die Überwachungskomponenten manipulieren; Prinzipale in der Rolle db_owner können Überwachungsspezifikationen in einer Datenbank bearbeiten. Die SQL Server-Überwachung überprüft, ob eine Anmeldung, die eine Überwachungsspezifikation erstellt oder ändert, mindestens über die BERECHTIGUNG ALTER ANY DATABASE AUDIT verfügt. Es wird jedoch keine Überprüfung durchgeführt, wenn Sie eine Datenbank anfügen. Gehen Sie davon aus, dass alle Datenbank-Überwachungsspezifikationen nur so vertrauenswürdig sind wie die Prinzipale in der Rolle sysadmin oder db_owner.
Related Tasks
Erstellen einer Serverüberwachung und einer Serverüberwachungsspezifikation
Erstellen einer Server- und Datenbank-Überwachungsspezifikation
Anzeigen eines SQL Server-Überwachungsprotokolls
Schreiben von SQL-Serverüberwachungsereignissen in das Sicherheitsprotokoll
Themen zu Überwachung
Server Properties (Security Page) (Servereigenschaften (Seite Sicherheit))
Erläutert, wie Sie die Anmeldeüberwachung für SQL Server aktivieren. Die Überwachungsdatensätze werden im Windows-Anwendungsprotokoll gespeichert.
C2-Überwachungsmodus (Serverkonfigurationsoption)
Erläutert den C2-Sicherheitscomplianceüberwachungsmodus in SQL Server.
Sicherheitsüberwachung-Ereigniskategorie (SQL Server Profiler)
Erläutert die Überwachungsereignisse, die Sie in SQL Server Profiler verwenden können. Weitere Informationen finden Sie unter SQL Server Profiler.
SQL-Ablaufverfolgung
Erläutert, wie SQL Trace in Ihren eigenen Anwendungen verwendet werden kann, um Ablaufverfolgungen manuell zu erstellen, anstatt SQL Server Profiler zu verwenden.
DDL-Trigger
Erklärt, wie Sie DDL-Trigger (Data Definition Language) zum Nachverfolgen von Änderungen an den Datenbanken verwenden können.
Microsoft TechNet: SQL Server-TechCenter: SQL Server 2005 – Sicherheit und Schutz
Stellt aktuelle Informationen zur SQL Server-Sicherheit bereit.
Weitere Informationen
SQL Server-Überwachungsaktionsgruppen und -aktionen
SQL Server-Überwachungsdatensätze
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für