Registros de SQL Server Audit
Se aplica a:
SQL Server
La característica SQL Server Audit permite auditar grupos de eventos y eventos de nivel de servidor y de base de datos. Para más información, consulte SQL Server Audit (motor de base de datos). SQL Server.
Las auditorías constan de cero o más elementos de acción de auditoría que se registran en un destinode auditoría. Este destino de auditoría puede ser un archivo binario, el registro de eventos de aplicación Windows o el registro de eventos de seguridad de Windows. Los registros que se envían al destino pueden contener los elementos descritos en la tabla siguiente:
| Nombre de la columna | Descripción | Tipo | Siempre está disponible |
|---|---|---|---|
| event_time | Fecha y hora en la que se desencadena la acción auditable. | datetime2 | Sí |
| sequence_no | Realiza un seguimiento de la secuencia de registros de un único registro de auditoría que era demasiado grande para caber en el búfer de escritura destinado a las auditorías. | int | Sí |
| action_id | Identificador de la acción. Sugerencia: Para usar action_id como un predicado, debe convertirse de una cadena de caracteres a un valor numérico. Para obtener más información, vea Filtrar SQL Server Audit por el predicado action_id / class_type. |
varchar(4) | Sí |
| succeeded | Indica si la comprobación del permiso de la acción que desencadena el evento de auditoría se ha realizado correctamente o no. | bit - 1 = correcto, 0 = error |
Sí |
| permission_bitmask | Cuando es aplicable, muestra los permisos concedidos, denegados, o revocados. | bigint | No |
| is_column_permission | Marca que especifica un permiso de nivel de columna | bit - 1 = True, 0 = False |
No |
| session_id | Identificador de la sesión en la que se produjo el evento. | int | Sí |
| server_principal_id | Identificador del contexto de inicio de sesión en el que se realiza la acción. | int | Sí |
| database_principal_id | Identificador del contexto de usuario de la base de datos en el que se realiza la acción. | int | No |
| object_id | El identificador principal de la entidad en la que se produjo la auditoría. Este identificador puede ser: objetos de servidor databases Objetos de base de datos objetos de esquema |
int | No |
| target_server_principal_id | Entidad de seguridad del servidor a la que se aplica la acción auditable. | int | Sí |
| target_database_principal_id | Entidad de seguridad de la base de datos a la que se aplica la acción auditable. | int | No |
| class_type | Tipo de entidad auditable en la que se produce la auditoría. | varchar(2) | Sí |
| session_server_principal_name | Entidad de seguridad del servidor para la sesión. | sysname | Sí |
| server_principal_name | Inicio de sesión actual. | sysname | Sí |
| server_principal_sid | SID del inicio de sesión actual. | varbinary | Sí |
| database_principal_name | Usuario actual. | sysname | No |
| target_server_principal_name | Inicio de sesión de destino de la acción. | sysname | No |
| target_server_principal_sid | SID del inicio de sesión de destino. | varbinary | No |
| target_database_principal_name | Usuario de destino de la acción. | sysname | No |
| server_instance_name | Nombre de la instancia de servidor donde se ha producido la auditoría. Usa el formato equipo\instancia estándar. | nvarchar(120) | Sí |
| database_name | Contexto de base de datos en el que se produjo la acción. | sysname | No |
| schema_name | Contexto de esquema en el que se produjo la acción. | sysname | No |
| object_name | Nombre de la entidad en la que se produjo la auditoría. Este nombre puede ser: objetos de servidor databases Objetos de base de datos objetos de esquema Instrucción Transact-SQL (si la hay) |
sysname | No |
| instrucción | Instrucción TSQL (si existe) | nvarchar(4000) | No |
| additional_information | Cualquier información adicional sobre el evento, almacenada como XML. | nvarchar(4000) | No |
Comentarios
Algunas acciones no rellenan el valor de una columna porque es posible que no sea aplicable a la acción.
SQL Server Audit almacena 4000 caracteres de datos para los campos de caracteres de un registro de auditoría. Si los valores additional_information y statement devueltos por una acción auditable contienen más de 4000 caracteres, la columna sequence_no se usa para escribir varios registros en el informe de auditoría para que una única acción de auditoría registre estos datos. El proceso es el siguiente:
La columna statement se divide en 4.000 caracteres.
SQL Server Audit escribe como la primera fila del registro de auditoría con los datos parciales. Los demás campos se duplican en cada fila.
Se incrementa el valor sequence_no .
Este proceso se repite hasta que se registran todos los datos.
Puede conectar los datos al leer las filas secuencialmente mediante el valor sequence_no , y las columnas event_Time, action_id y session_id para identificar la acción.
Contenido relacionado
CREATE SERVER AUDIT (Transact-SQL)
ALTER SERVER AUDIT (Transact-SQL)
DROP SERVER AUDIT (Transact-SQL)
CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)
ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)
DROP SERVER AUDIT SPECIFICATION (Transact-SQL)
CREATE DATABASE AUDIT SPECIFICATION (Transact-SQL)
ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)
DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)
ALTER AUTHORIZATION (Transact-SQL)
sys.fn_get_audit_file (Transact-SQL)
sys.server_audits (Transact-SQL)
sys.server_file_audits (Transact-SQL)
sys.server_audit_specifications (Transact-SQL)
sys.server_audit_specification_details (Transact-SQL)
sys.database_audit_specifications (Transact-SQL)
sys.database_audit_specification_details (Transact-SQL)
sys.dm_server_audit_status (Transact-SQL)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de