Grupos de acciones y acciones de SQL Server Audit
La característica SQL Server Audit le permite auditar grupos de eventos y eventos individuales de nivel de servidor y de base de datos. Para obtener más información, vea Descripción de SQL Server Audit.
Las auditorías de SQL Server constan de cero o más elementos de acción de auditoría. Estos elementos pueden ser grupos de acciones, como Server_Object_Change_Group, o acciones individuales tales como las operaciones SELECT en una tabla.
[!NOTA]
Server_Object_Change_Group incluye CREATE, ALTER y DROP para cualquier objeto de servidor (base de datos o extremo).
Las auditorías pueden tener las siguientes categorías de acciones:
Nivel de servidor. Estas acciones incluyen las operaciones del servidor, como cambios de administración y operaciones de inicio y cierre de sesión.
Nivel de base de datos. Estas acciones comprenden operaciones de lenguaje de manipulación de datos (DML) y de lenguaje de definición de datos (DDL).
Nivel de auditoría. Son las acciones relacionadas con el proceso de auditoría.
Algunas acciones realizadas en los componentes de auditoría de SQL Server se auditan de forma intrínseca en una auditoría concreta, y en estos casos los eventos de auditoría se llevan a cabo automáticamente, ya que el evento se produjo en el objeto primario.
Las acciones siguientes se auditan de forma intrínseca:
- Server Audit State Change (al establecer el estado en ON u OFF)
Los eventos siguientes no se auditan de forma intrínseca:
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Todas las auditorías están deshabilitadas cuando se crean por primera vez.
Grupos de acciones de auditoría en el nivel de servidor
Los grupos de acciones de auditoría en el nivel de servidor son acciones similares a las clases de eventos de Auditoría de seguridad de SQL Server. Para obtener más información, vea Referencia de las clases de evento de SQL Server.
En la tabla siguiente se describen los grupos de acciones de auditoría en el nivel de servidor y proporciona la clase de eventos de SQL Server equivalente cuando corresponda.
Nombre del grupo de acciones |
Descripción |
---|---|
SUCCESSFUL_LOGIN_GROUP |
Indica que una entidad de seguridad ha iniciado una sesión de SQL Server. Los eventos de esta clase se activan mediante nuevas conexiones o mediante conexiones reutilizadas de un grupo de conexiones. Equivalente a Audit Login (clase de evento). |
LOGOUT_GROUP |
Indica que una entidad de seguridad ha finalizado una sesión de SQL Server. Los eventos de esta clase se activan mediante nuevas conexiones o mediante conexiones reutilizadas de un grupo de conexiones. Equivalente a Audit Logout (clase de evento). |
FAILED_LOGIN_GROUP |
Indica que una entidad de seguridad intentó iniciar una sesión de SQL Server, pero no lo consiguió. Los eventos de esta clase se activan mediante nuevas conexiones o mediante conexiones reutilizadas de un grupo de conexiones. Equivalente a Audit Login Failed (clase de evento). |
LOGIN_CHANGE_PASSWORD_GROUP |
Este evento se desencadena cuando se cambia una contraseña de inicio de sesión mediante la instrucción ALTER LOGIN o el procedimiento almacenado sp_password. Equivalente a Audit Login Change Password (clase de evento). |
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP |
Este evento se desencadena cuando se cambia una contraseña para una función de aplicación. Equivalente a Audit App Role Change Password (clase de evento). |
SERVER_ROLE_MEMBER_CHANGE_GROUP |
Este evento se desencadena cuando se agrega o quita un inicio de sesión de una función fija de servidor. Este evento se desencadena para los procedimientos almacenados sp_addsrvrolemember y sp_dropsrvrolemember. Equivalente a Audit Add Login to Server Role (clase de evento). |
DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Este evento se desencadena cuando se agrega o se quita un inicio de sesión de una función de la base de datos. Esta clase de eventos se desencadena para los procedimientos almacenados sp_addrolemember, sp_changegroup y sp_droprolemember. Este evento se desencadena cuando se produce cualquier cambio en los miembros de la función de la base de datos en cualquier base de datos. Equivalente a Audit Add Member to DB Role (clase de evento). |
BACKUP_RESTORE_GROUP |
Este evento tiene lugar cuando se emite un comando de copia de seguridad o de restauración. Equivalente a Audit Backup/Restore (clase de evento). |
DBCC_GROUP |
Este evento se desencadena cuando una entidad de seguridad emite un comando DBCC. Equivalente a Audit DBCC (clase de evento). |
SERVER_OPERATION_GROUP |
Este evento se desencadena al usar operaciones de auditoría de seguridad, como la modificación de la configuración, los recursos, el acceso externo o la autorización. Equivalente a Audit Server Operation (clase de evento). |
DATABASE_OPERATION_GROUP |
Este evento se desencadena cuando se realizan operaciones en una base de datos, como un punto de comprobación o una notificación de consulta de suscripción. Este evento tiene lugar en cualquier operación de base de datos y en cualquier base de datos. Equivalente a Audit Database Operation (clase de evento). |
AUDIT_ CHANGE_GROUP |
Este evento se desencadena al crear, modificar o eliminar una auditoría. Este evento se desencadena al crear, modificar o eliminar una especificación de auditoría. Todos los cambios realizados en una auditoría se auditan en ella. |
SERVER_STATE_CHANGE_GROUP |
Este evento se desencadena al modificar el estado del servicio de SQL Server. Equivalente a Audit Server Starts and Stops (clase de evento). |
SERVER_OBJECT_CHANGE_GROUP |
Este evento se desencadena con las operaciones CREATE, ALTER o DROP en objetos de servidor. Equivalente a Audit Server Object Management (clase de evento). |
SERVER_PRINCIPAL_CHANGE_GROUP |
Este evento se desencadena al crear, modificar o quitar entidades de seguridad de servidor. Equivalente a Audit Server Principal Management (clase de evento). Este evento se desencadena cuando una entidad de seguridad emite los procedimientos almacenados sp_defaultdb o sp_defaultlanguage o las instrucciones ALTER LOGIN. Equivalente a Audit Addlogin (clase de evento). Este evento se desencadena en los procedimientos almacenados sp_addlogin y sp_droplogin. También equivalente a Audit Login Change Property (clase de evento). Este evento se desencadena para los procedimientos almacenados sp_grantlogin, sp_revokelogin o sp_denylogin. Equivalente a Audit Login GDR (clase de evento). |
DATABASE_CHANGE_GROUP |
Este evento se desencadena al crear, modificar o quitar una base de datos. Este evento se desencadena al crear, modificar o quitar cualquier base de datos. Equivalente a Audit Database Management (clase de evento). |
DATABASE_OBJECT_CHANGE_GROUP |
Este evento se desencadena al ejecutar una instrucción CREATE, ALTER o DROP en objetos de base de datos como, por ejemplo, esquemas. Este evento se desencadena al crear, modificar o quitar cualquier objeto de base de datos.
Nota
Esto puede generar grandes cantidades de registros de auditoría.
Equivalente a Audit Database Object Management (clase de evento). |
DATABASE_PRINCIPAL_CHANGE_GROUP |
Este evento se provoca al crear, modificar o quitar entidades de seguridad, como usuarios, de una base de datos. Equivalente a Audit Database Principal Management (clase de evento). También es equivalente a la clase de eventos Audit Add DB Principal, que se produce en los procedimientos almacenados desusados sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal y sp_dropPrincipal. Este evento se desencadena al agregar o quitar una función de la base de datos usando los procedimientos almacenados sp_addrole y sp_droprole. Este evento se desencadena al crear, modificar o quitar cualquier entidad de seguridad de base de datos de cualquier base de datos. Equivalente a Audit Add Role (clase de evento). |
SCHEMA_OBJECT_CHANGE_GROUP |
Este evento se desencadena al realizar una operación CREATE, ALTER o DROP en un esquema. Equivalente a Audit Schema Object Management (clase de evento). Este evento se desencadena en objetos de esquema. Equivalente a Audit Object Derived Permission (clase de evento). Este evento se desencadena al modificar cualquier un esquema de cualquier base de datos. Equivalente a Audit Statement Permission (clase de evento). |
SERVER_PRINCIPAL_IMPERSONATION_GROUP |
Este evento se desencadena cuando hay una suplantación en el ámbito del servidor, como EXECUTE AS <inicioDeSesión>. Equivalente a Audit Server Principal Impersonation (clase de evento). |
DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Este evento se desencadena cuando hay una suplantación en el ámbito de la base de datos, por ejemplo, EXECUTE AS <principal> o SETPRINCIPAL. Este evento se desencadena para las suplantaciones realizadas en cualquier base de datos. Equivalente a Audit Database Principal Impersonation (clase de evento). |
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP |
Este evento se desencadena al cambiar el propietario de los objetos en el ámbito del servidor. Equivalente a Audit Server Object Take Ownership (clase de evento). |
DATABASE_OWNERSHIP_CHANGE_GROUP |
Este evento tiene lugar cuando se utiliza la instrucción ALTER AUTHORIZATION para cambiar el propietario de una base de datos y se comprueban los permisos necesarios para hacerlo. Este evento se desencadena para cualquier cambio de propiedad de base de datos en cualquier base de datos del servidor. Equivalente a Audit Change Database Owner (clase de evento). |
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Este evento se provoca al cambiar el propietario de los objetos en el ámbito de la base de datos. Este evento se provoca para cualquier cambio de propiedad de objetos en cualquier base de datos del servidor. Equivalente a Audit Database Object Take Ownership (clase de evento). |
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Este evento se desencadena cuando se comprueban los permisos para cambiar el propietario de un objeto de esquema (como una tabla, un procedimiento o una función). Esto sucede cuando se utiliza la instrucción ALTER AUTHORIZATION para asignar un propietario a un objeto. Este evento se desencadena para cualquier cambio de propiedad de esquema en cualquier base de datos del servidor. Equivalente a Audit Schema Object Take Ownership (clase de evento). |
SERVER_PERMISSION_CHANGE_GROUP |
Este evento se desencadena al emitir una instrucción GRANT, REVOKE o DENY para los permisos en el ámbito del servidor, como la creación de un inicio de sesión. Equivalente a Audit Server Scope GDR (clase de evento). |
SERVER_OBJECT_PERMISSION_CHANGE_GROUP |
Este evento se desencadena cuando una entidad de seguridad de SQL Server emite una instrucción GRANT, REVOKE o DENY para un permiso de objeto de servidor. Equivalente a Audit Server Object GDR (clase de evento). |
DATABASE_PERMISSION_CHANGE_GROUP |
Este evento se desencadena cuando una entidad de seguridad de SQL Server emite una instrucción GRANT, REVOKE o DENY para un permiso de instrucción (esto se aplica a eventos exclusivos de base de datos, como la concesión de permisos en una base de datos). Este evento se desencadena para cualquier cambio de permisos de base de datos (GDR) en cualquier base de datos en el servidor. Equivalente a Audit Database Scope GDR (clase de evento). |
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Este evento se desencadena al emitir una instrucción GRANT, REVOKE o DENY para los objetos de bases de datos, como los ensamblados y los esquemas. Este evento se desencadena para cualquier cambio de permisos de objetos en cualquier base de datos del servidor. Equivalente a Audit Database Object GDR (clase de evento). |
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Este evento se desencadena al realizar una operación de concesión, denegación o revocación en un objeto de esquema. Equivalente a Audit Schema Object GDR (clase de evento). |
DATABASE_OBJECT_ACCESS_GROUP |
Este evento se desencadena siempre que se tenga acceso a los objetos de la base de datos tales como el tipo de mensaje, ensamblado o contrato. Este evento se desencadena para cualquier tipo de acceso a cualquier base de datos.
Nota
Esto puede generar registros de auditoría de gran tamaño.
Equivalente a Audit Database Object Access (clase de evento). |
SCHEMA_OBJECT_ACCESS_GROUP |
Este evento se desencadena al usar un permiso de objeto en el esquema. Equivalente a Audit Schema Object Access (clase de evento). |
BROKER_LOGIN_GROUP |
Este evento se provoca para notificar mensajes de auditoría relacionados con la seguridad de transporte de Service Broker. Equivalente a Clase de eventos Audit Broker Login. |
DATABASE_MIRRORING_LOGIN_GROUP |
Este evento se provoca para notificar mensajes de auditoría relacionados con la seguridad de transporte en la creación de reflejo de la base de datos. Equivalente a Audit Database Mirroring Login (clase de evento). |
TRACE_CHANGE_GROUP |
Este evento se desencadena para todas las instrucciones que buscan el permiso ALTER TRACE. Equivalente a Audit Server Alter Trace (clase de evento). |
Consideraciones
Los grupos de acciones en el nivel de servidor cubren las acciones de una instancia de SQL Server. Por ejemplo, se registrará cualquier comprobación de acceso a un objeto de esquema en cualquier base de datos si se agrega el grupo de acciones apropiado a una especificación de auditoría de servidor. En una especificación de auditoría de base de datos, solo se registran los accesos al objeto de esquema en la base de datos en cuestión.
Las acciones en el nivel de servidor no permiten un filtrado detallado sobre las acciones en el nivel de base de datos. Es necesario realizar una auditoría de base de datos, como la de las acciones SELECT en la tabla Customers para los inicios de sesión en el grupo Employee, para implementar un filtrado detallado sobre las acciones. No incluya objetos con ámbito en el servidor, como las vistas del sistema, en una especificación de auditoría de base de datos.
Grupos de acciones de auditoría en el nivel de base de datos
Los grupos de acciones de auditoría en el nivel de base de datos son acciones similares a las clases de eventos de Auditoría de seguridad de SQL Server. Para obtener más información sobre las clases de eventos, vea Referencia de las clases de evento de SQL Server.
En la tabla siguiente se describen los grupos de acciones de auditoría en el nivel de base de datos y proporciona la clase de eventos de SQL Server equivalente cuando corresponda.
Nombre del grupo de acciones |
Descripción |
---|---|
DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Este evento se desencadena cuando se agrega o se quita un inicio de sesión de una función de la base de datos. Esta clase de eventos se usa con los procedimientos almacenados sp_addrolemember, sp_changegroup y sp_droprolemember. Equivalente a Audit Add Member to DB Role (clase de evento) |
DATABASE_OPERATION_GROUP |
Este evento se desencadena cuando se realizan operaciones en una base de datos, como un punto de comprobación o una notificación de consulta de suscripción. Equivalente a Audit Database Operation (clase de evento). |
DATABASE_CHANGE_GROUP |
Este evento se desencadena al crear, modificar o quitar una base de datos. Equivalente a Audit Database Management (clase de evento). |
DATABASE_OBJECT_CHANGE_GROUP |
Este evento se desencadena al ejecutar una instrucción CREATE, ALTER o DROP en objetos de base de datos como, por ejemplo, esquemas. Equivalente a Audit Database Object Management (clase de evento). |
DATABASE_PRINCIPAL_CHANGE_GROUP |
Este evento se provoca al crear, modificar o quitar entidades de seguridad, como usuarios, de una base de datos. Equivalente a Audit Database Principal Management (clase de evento). También es equivalente a Audit Add DB User (clase de evento), que se produce en los procedimientos almacenados desusados sp_grantdbaccess, sp_revokedbaccess, sp_adduser sp_dropuser. Este evento se desencadena al agregar o quitar una función de la base de datos usando los procedimientos almacenados desusados sp_addrole y sp_droprole. Equivalente a Audit Add Role (clase de evento). |
SCHEMA_OBJECT_CHANGE_GROUP |
Este evento se desencadena al realizar una operación CREATE, ALTER o DROP en un esquema. Equivalente a Audit Schema Object Management (clase de evento). Este evento se desencadena en objetos de esquema. Equivalente a Audit Object Derived Permission (clase de evento). También equivalente a Audit Statement Permission (clase de evento). |
DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Este evento se desencadena cuando hay una suplantación en el ámbito de la base de datos, como EXECUTE AS <usuario> o SETUSER. Equivalente a Audit Database Principal Impersonation (clase de evento). |
DATABASE_OWNERSHIP_CHANGE_GROUP |
Este evento tiene lugar cuando se utiliza la instrucción ALTER AUTHORIZATION para cambiar el propietario de una base de datos y se comprueban los permisos necesarios para hacerlo. Equivalente a Audit Change Database Owner (clase de evento). |
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Este evento se desencadena al cambiar el propietario de los objetos en el ámbito de la base de datos. Equivalente a Audit Database Object Take Ownership (clase de evento). |
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Equivalente a la clase de eventos Audit Schema Object Take Ownership. Este evento se desencadena cuando se comprueban los permisos para cambiar el propietario de un objeto de esquema, como una tabla, un procedimiento o una función. Esto sucede cuando se utiliza la instrucción ALTER AUTHORIZATION para asignar un propietario a un objeto. |
DATABASE_PERMISSION_CHANGE_GROUP |
Este evento se desencadena cuando un usuario de SQL Server emite una instrucción GRANT, REVOKE o DENY para un permiso de instrucción aplicable solo a eventos exclusivos de base de datos, como la concesión de permisos en una base de datos. Equivalente a Audit Database Scope GDR (clase de evento). |
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Este evento se desencadena al emitir una instrucción GRANT, REVOKE o DENY para los objetos de bases de datos, como los ensamblados y los esquemas. Equivalente a Audit Database Object GDR (clase de evento). |
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Este evento se provoca siempre que se emite una concesión, denegación o revocación en un objeto de esquema. Equivalente a Audit Schema Object GDR (clase de evento). |
DATABASE_OBJECT_ACCESS_GROUP |
Este evento se desencadena al tener acceso a objetos de bases de datos como certificados y claves asimétricas. Equivalente a Audit Database Object Access (clase de evento). |
SCHEMA_OBJECT_ACCESS_GROUP |
Este evento se desencadena al usar un permiso de objeto en el esquema. Equivalente a Audit Schema Object Access (clase de evento). |
Acciones de auditoría en el nivel de base de datos
Las acciones en el nivel de base de datos admiten la auditoría de acciones específicas directamente en el esquema de la base de datos y objetos de esquema, como por ejemplo tablas, vistas, procedimientos almacenados, funciones, procedimientos almacenados extendidos, colas o sinónimos. No se auditan los tipos, colección de esquemas XML, base de datos y esquema. La auditoría de objetos de esquema se puede configurar en esquema y base de datos, que indica que se auditarán los eventos en todos los objetos de esquema que contiene el esquema especificado o la base de datos. En la tabla siguiente se describen las acciones de auditoría en el nivel de base de datos.
Acción |
Descripción |
---|---|
SELECT |
Este evento se desencadena al emitir una instrucción SELECT. |
UPDATE |
Este evento se desencadena al emitir una instrucción UPDATE. |
INSERT |
Este evento se desencadena al emitir una instrucción INSERT. |
DELETE |
Este evento se desencadena al emitir una instrucción DELETE. |
EXECUTE |
Este evento se desencadena al emitir una instrucción EXECUTE. |
RECEIVE |
Este evento se desencadena al emitir una instrucción RECEIVE. |
REFERENCES |
Este evento se desencadena al comprobar un permiso REFERENCES. |
Consideraciones
Las acciones de auditoría en el nivel de base de datos no se aplican a las columnas.
Cuando el procesador de consultas parametriza la consulta, el parámetro puede aparecer en el registro de eventos de auditoría en lugar de los valores de columna de la consulta.
Grupos de acciones de auditoría en el nivel de auditoría
También es posible auditar las acciones del proceso de auditoría. Esto puede realizarse en el ámbito del servidor o en el ámbito de la base de datos. En el ámbito de la base de datos, solo se produce para las especificaciones de auditoría de base de datos. En la tabla siguiente se describen los grupos de acciones de auditoría en el nivel de auditoría.
Nombre del grupo de acciones |
Descripción |
---|---|
AUDIT_ CHANGE_GROUP |
Este evento se desencadena al emitir uno de los comandos siguientes:
|
Vea también