Compartir a través de


Registros de SQL Server Audit

Se aplica a: SQL Server

La característica SQL Server Audit permite auditar grupos de eventos y eventos de nivel de servidor y de base de datos. Para más información, consulte SQL Server Audit (motor de base de datos). SQL Server.

Las auditorías constan de cero o más elementos de acción de auditoría que se registran en un destinode auditoría. Este destino de auditoría puede ser un archivo binario, el registro de eventos de aplicación Windows o el registro de eventos de seguridad de Windows. Los registros que se envían al destino pueden contener los elementos descritos en la tabla siguiente:

Nombre de la columna Descripción Tipo Siempre está disponible
event_time Fecha y hora en la que se desencadena la acción auditable. datetime2
sequence_no Realiza un seguimiento de la secuencia de registros de un único registro de auditoría que era demasiado grande para caber en el búfer de escritura destinado a las auditorías. int
action_id Identificador de la acción.

Sugerencia: Para usar action_id como un predicado, debe convertirse de una cadena de caracteres a un valor numérico. Para obtener más información, vea Filtrar SQL Server Audit por el predicado action_id / class_type.
varchar(4)
succeeded Indica si la comprobación del permiso de la acción que desencadena el evento de auditoría se ha realizado correctamente o no. bit
- 1 = correcto,
0 = error
permission_bitmask Cuando es aplicable, muestra los permisos concedidos, denegados, o revocados. bigint No
is_column_permission Marca que especifica un permiso de nivel de columna bit
- 1 = True,
0 = False
No
session_id Identificador de la sesión en la que se produjo el evento. int
server_principal_id Identificador del contexto de inicio de sesión en el que se realiza la acción. int
database_principal_id Identificador del contexto de usuario de la base de datos en el que se realiza la acción. int No
object_id El identificador principal de la entidad en la que se produjo la auditoría. Este identificador puede ser:

objetos de servidor

databases

Objetos de base de datos

objetos de esquema
int No
target_server_principal_id Entidad de seguridad del servidor a la que se aplica la acción auditable. int
target_database_principal_id Entidad de seguridad de la base de datos a la que se aplica la acción auditable. int No
class_type Tipo de entidad auditable en la que se produce la auditoría. varchar(2)
session_server_principal_name Entidad de seguridad del servidor para la sesión. sysname
server_principal_name Inicio de sesión actual. sysname
server_principal_sid SID del inicio de sesión actual. varbinary
database_principal_name Usuario actual. sysname No
target_server_principal_name Inicio de sesión de destino de la acción. sysname No
target_server_principal_sid SID del inicio de sesión de destino. varbinary No
target_database_principal_name Usuario de destino de la acción. sysname No
server_instance_name Nombre de la instancia de servidor donde se ha producido la auditoría. Usa el formato equipo\instancia estándar. nvarchar(120)
database_name Contexto de base de datos en el que se produjo la acción. sysname No
schema_name Contexto de esquema en el que se produjo la acción. sysname No
object_name Nombre de la entidad en la que se produjo la auditoría. Este nombre puede ser:

objetos de servidor

databases

Objetos de base de datos

objetos de esquema

Instrucción Transact-SQL (si la hay)
sysname No
instrucción Instrucción TSQL (si existe) nvarchar(4000) No
additional_information Cualquier información adicional sobre el evento, almacenada como XML. nvarchar(4000) No

Comentarios

Algunas acciones no rellenan el valor de una columna porque es posible que no sea aplicable a la acción.

SQL Server Audit almacena 4000 caracteres de datos para los campos de caracteres de un registro de auditoría. Si los valores additional_information y statement devueltos por una acción auditable contienen más de 4000 caracteres, la columna sequence_no se usa para escribir varios registros en el informe de auditoría para que una única acción de auditoría registre estos datos. El proceso es el siguiente:

  • La columna statement se divide en 4.000 caracteres.

  • SQL Server Audit escribe como la primera fila del registro de auditoría con los datos parciales. Los demás campos se duplican en cada fila.

  • Se incrementa el valor sequence_no .

  • Este proceso se repite hasta que se registran todos los datos.

Puede conectar los datos al leer las filas secuencialmente mediante el valor sequence_no , y las columnas event_Time, action_id y session_id para identificar la acción.

CREATE SERVER AUDIT (Transact-SQL)

ALTER SERVER AUDIT (Transact-SQL)

DROP SERVER AUDIT (Transact-SQL)

CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)

ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)

DROP SERVER AUDIT SPECIFICATION (Transact-SQL)

CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)

ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)

DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)

ALTER AUTHORIZATION (Transact-SQL)

sys.fn_get_audit_file (Transact-SQL)

sys.server_audits (Transact-SQL)

sys.server_file_audits (Transact-SQL)

sys.server_audit_specifications (Transact-SQL)

sys.server_audit_specification_details (Transact-SQL)

sys.database_audit_specifications (Transact-SQL)

sys.database_audit_specification_details (Transact-SQL)

sys.dm_server_audit_status (Transact-SQL)

sys.dm_audit_actions (Transact-SQL)

sys.dm_audit_class_type_map (Transact-SQL)