fn_get_audit_file (Transact-SQL)
Devuelve información de un archivo de auditoría creado por una auditoría de servidor. Para obtener más información, vea Descripción de SQL Server Audit.
Sintaxis
fn_get_audit_file ( file_pattern, {default | initial_file_name | NULL }, {default | audit_file_offset | NULL } )
Argumentos
file_pattern
Especifica el directorio o la ruta de acceso y el nombre de archivo del conjunto de archivos de auditoría que se van a leer. Este argumento debe incluir una ruta de acceso (letra de unidad o recurso compartido de red) y un nombre de archivo que pueda contener un carácter comodín. Se puede usar un asterisco (*) para recopilar varios archivos de un conjunto de archivos de auditoría. Por ejemplo:<path>\*: recopila todos los archivos de auditoría de la ubicación especificada.
<path>\LoginsAudit_{GUID}: recopila todos los archivos de auditoría con el nombre y el par GUID especificados.
<path>\LoginsAudit_{GUID}_00_29384.sqlaudit: recopila un archivo de auditoría determinado.
Nota
Si se pasa una ruta de acceso sin un patrón de nombre de archivo, se producirá un error.
initial_file_name
Especifica la ruta y el nombre de un archivo específico del conjunto de archivos de auditoría desde el que hay que empezar a leer registros de auditoría.Nota
El argumento initial_file_name debe contener entradas válidas o, de forma alternativa, el valor predeterminado o el valor NULL.
audit_file_offset
Especifica una ubicación conocida con el archivo especificado para initial_file_name. Cuando se usa este argumento, la función inicia la lectura en el primer registro del búfer que está a continuación del desplazamiento especificado.Nota
El argumento audit_file_offset debe contener entradas válidas o, de forma alternativa, el valor predeterminado o el valor NULL.
Tablas devueltas
En la tabla siguiente se describe el contenido del archivo de auditoría que puede devolver esta función.
Nombre de columna |
Tipo |
Descripción |
---|---|---|
event_time |
datetime2 |
Fecha y hora en la que se desencadena la acción auditable. No acepta valores NULL. |
sequence_number |
int |
Realiza un seguimiento de la secuencia de registros de un único registro de auditoría que era demasiado grande para caber en el búfer de escritura destinado a las auditorías. No acepta valores NULL. |
action_id |
char(4) |
Id. de la acción. No acepta valores NULL. |
succeeded |
bit 1 = correcto 0 = error |
Indica si la acción que desencadenó el evento se ha llevado a cabo correctamente. No admite valores NULL. Para todos los eventos que no sean los eventos de inicio de sesión, esto sólo notifica si la comprobación del permiso tuvo o no tuvo éxito, no la operación. |
permission_bitmask |
bigint |
En algunas acciones, este es el permiso que se concedió, denegó o revocó. |
is_column_permission |
bit 1 = verdadero 0 = falso |
Marcador que indica si éste es un permiso de nivel de columna. No acepta valores NULL. Devuelve 0 si permission_bitmask = 0. |
session_id |
int |
Identificador de la sesión en la que se ha producido el evento. No acepta valores NULL. |
server_principal_id |
int |
Identificador del contexto de inicio de sesión en el que se realiza la acción. No acepta valores NULL. |
database_principal_id |
int |
Identificador del contexto de usuario de la base de datos en el que se realiza la acción. No acepta valores NULL. Devuelve 0 si esto no es aplicable. Por ejemplo, una operación de servidor. |
target_server_principal_id |
int |
Entidad de seguridad de servidor en la que se realiza la operación GRANT/DENY/REVOKE. No acepta valores NULL. Devuelve 0 si no es aplicable. |
target_database_principal_id |
int |
Entidad de seguridad de base de datos en la que se realiza la operación GRANT/DENY/REVOKE. No acepta valores NULL. Devuelve 0 si no es aplicable. |
object_id |
int |
Identificador de la entidad en la que se produjo la auditoría. Incluye lo siguiente:
No acepta valores NULL. Devuelve 0 si la entidad es el propio servidor o si la auditoría no se realiza en un nivel de objeto. Por ejemplo, la autenticación. |
class_type |
char(2) |
El tipo de entidad auditable en la que se produce la auditoría. No acepta valores NULL. |
session_server_principal_name |
sysname |
Entidad de seguridad de servidor para la sesión. Admite valores NULL. |
server_principal_name |
sysname |
Inicio de sesión actual. Admite valores NULL. |
server_principal_sid |
varbinary |
SID del inicio de sesión actual. Admite valores NULL. |
database_principal_name |
sysname |
Usuario actual. Admite valores NULL. Devuelve NULL si no está disponible. |
target_server_principal_name |
sysname |
Inicio de sesión de destino de la acción. Admite valores NULL. Devuelve NULL si no es aplicable. |
target_server_principal_sid |
varbinary |
SID del inicio de sesión de destino. Admite valores NULL. Devuelve NULL si no es aplicable. |
target_database_principal_name |
sysname |
Usuario de destino de la acción. Admite valores NULL. Devuelve NULL si no es aplicable. |
server_instance_name |
nvarchar(120) |
Nombre de la instancia de servidor donde se ha producido la auditoría. Se usa el formato servidor\instancia estándar. |
database_name |
sysname |
El contexto de la base de datos en el que se produjo la acción. Admite valores NULL. Devuelve NULL para las auditorías que se realizan en el nivel de servidor. |
schema_name |
sysname |
El contexto del esquema en el que se produjo la acción. Admite valores NULL. Devuelve NULL para las auditorías que se producen fuera de un esquema. |
object_name |
sysname |
El nombre de la entidad en la que se produjo la auditoría. Incluye lo siguiente:
Admite valores NULL. Devuelve NULL si la entidad es el propio servidor o si la auditoría no se realiza en un nivel de objeto. Por ejemplo, la autenticación. |
statement |
nvarchar(4000) |
Instrucción TSQL, si existe. Admite valores NULL. Devuelve NULL si no es aplicable. |
additional_information |
nvarchar(4000) |
La información única que se aplica exclusivamente a un evento se devuelve como XML. Este tipo de información está incluida en un pequeño número de acciones de auditoría. Admite valores NULL. Devuelve NULL si el evento no proporciona información adicional. |
file_name |
varchar(260) |
Ruta de acceso y nombre del archivo de registro de auditoría del que procede el registro. No acepta valores NULL. |
audit_file_offset |
bigint |
Desplazamiento de búfer del archivo que contiene el registro de auditoría. No acepta valores NULL. |
Comentarios
Si el argumento file_pattern pasó a fn_get_audit_file referencias a una ruta de acceso o un archivo que no existe, o si el archivo no es un archivo de auditoría, se devuelve el mensaje de error MSG_INVALID_AUDIT_FILE.
Permisos
Requiere el permiso CONTROL SERVER.
Ejemplos
En este ejemplo se lee un archivo denominado \\serverName\Audit\HIPPA_AUDIT.sqlaudit.
SELECT * FROM sys.fn_get_audit_file ('\\serverName\Audit\HIPPA_AUDIT.sqlaudit',default,default);
GO
Para obtener un ejemplo completo de cómo crear una auditoría, vea Descripción de SQL Server Audit.
Vea también