Groupes d’actions et actions d’audit SQL Server

S'applique à :SQL Server

La fonctionnalité SQL Server Audit vous permet d’effectuer l’audit d’événements et de groupes d’événements au niveau du serveur et au niveau de la base de données. Pour plus d’informations, consultez Audit SQL Server (moteur de base de données).

Les audits SQL Server sont constitués de zéro ou plusieurs éléments d’action d’audit. Ces éléments d’action d’audit peuvent être un groupe d’actions, tel que SERVER_OBJECT_CHANGE_GROUP, ou des actions individuelles, telle que des opérations sur une table SELECT.

Remarque

SERVER_OBJECT_CHANGE_GROUP inclut CREATE, ALTERet DROP pour n’importe quel objet serveur (base de données ou point de terminaison).

Les audits peuvent inclure les catégories suivantes d'actions :

• Niveau serveur. Ces actions incluent des opérations de serveur, telles que des modifications de gestion et des opérations d'ouverture de session et de fermeture de session.

• Niveau base de données. Ces actions englobent les opérations DML (Data Manipulation Languages) et DDL (Data Definition Language).

• Niveau audit. Ces actions incluent des actions appartenant au processus d'audit.

Certaines actions effectuées sur des composants d’audit SQL Server sont auditées intrinsèquement dans un audit spécifique, et dans ces cas-là des événements d’audit se produisent automatiquement car l’événement s’est produit sur l’objet parent.

Les actions suivantes sont auditées intrinsèquement :

• Modification de l’état d’audit du serveur (définition de l’état sur ON ou OFF)

Les événements suivants ne sont pas audités intrinsèquement :

• CREATE SERVER AUDIT SPECIFICATION
• ALTER SERVER AUDIT SPECIFICATION
• DROP SERVER AUDIT SPECIFICATION
• CREATE DATABASE AUDIT SPECIFICATION
• ALTER DATABASE AUDIT SPECIFICATION
• DROP DATABASE AUDIT SPECIFICATION

Tous les audits sont désactivés lors de leur création initiale.

Groupes d’actions d’audit au niveau du serveur

Les groupes d’actions d’audit de niveau serveur sont des actions semblables aux classes d’événements d’audit de sécurité SQL Server. Pour plus d'informations, consultez Référence de classe d'événements SQL Server.

Le tableau suivant décrit les groupes d'actions d'audit de niveau serveur et fournit la classe d'événements SQL Server équivalente, le cas échéant.

Nom du groupe d’actions	Descriptif
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP	Cet événement est déclenché chaque fois qu'un mot de passe est modifié pour un rôle d'application. Équivaut à la classe d’événements Audit App Role Change Password.
AUDIT_CHANGE_GROUP	Cet événement est déclenché chaque fois qu’un audit est créé, modifié ou supprimé. Cet événement est déclenché chaque fois qu'une spécification d'audit est créée, modifiée ou supprimée. Toute modification apportée à un audit est auditée dans cet audit. Équivaut à la classe d’événements Audit Change Audit.
BACKUP_RESTORE_GROUP	Cet événement est déclenché chaque fois qu'une commande de sauvegarde ou de restauration est émise. Équivaut à la Audit Backup and Restore Event Class.
BATCH_COMPLETED_GROUP	Cet événement se déclenche chaque fois que l’exécution d’une opération de gestion de transaction, de texte de lot ou de procédure stockée se termine. Il est déclenché une fois le lot terminé et audite l’intégralité du lot ou du texte de procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Équivalent à la classe d’événements SQL :BatchCompleted. S’applique à : SQL Server 2022 (16.x) et versions ultérieures.
BATCH_STARTED_GROUP	Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée commence à s’exécuter. Il est déclenché avant l'exécution et audite l'intégralité du texte du lot ou de la procédure stockée, tel qu'envoyé par le client. Équivalent à la classe d’événements SQL :BatchStarting. S’applique à : SQL Server 2022 (16.x) et versions ultérieures.
BROKER_LOGIN_GROUP	Cet événement est déclenché pour signaler des messages d'audit relatifs à la sécurité du transport Service Broker. Équivaut à la classe d’événements Audit Broker Login.
DATABASE_CHANGE_GROUP	Cet événement est déclenché lors de la création, de la modification ou de la suppression d'une base de données. Cet événement est déclenché chaque fois qu’une base de données est créée, modifiée ou supprimée. Équivaut à la classe d’événements Audit Database Management.
DATABASE_LOGOUT_GROUP	Cet événement est déclenché lorsqu’un utilisateur de base de données autonome se déconnecte d’une base de données. Équivaut à la classe d’événements Audit Logout.
DATABASE_MIRRORING_LOGIN_GROUP	Cet événement est déclenché pour signaler des messages d'audit relatifs à la sécurité du transport de la mise en miroir de bases de données. Équivaut à la classe d’événements Audit Database Mirroring Login.
DATABASE_OBJECT_ACCESS_GROUP	Cet événement est déclenché à chaque accès à des objets de base de données tels qu'un type de message, un assembly ou un contrat. Cet événement est déclenché pour tout accès à toute base de données. Remarque : cela peut générer des enregistrements d’audit volumineux. Équivaut à la classe d’événements Audit Database Object Access.
DATABASE_OBJECT_CHANGE_GROUP	Cet événement est déclenché lorsqu’une instruction CREATE, ALTER, ou DROP est exécutée sur des objets de base de données, tels que des schémas. Cet événement est déclenché chaque fois qu’un objet de base de données est créé, modifié ou supprimé. Remarque : cela peut générer de grandes quantités d’enregistrements d’audit. Équivaut à la classe d’événements Audit Database Object Management.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lorsqu'une modification de propriétaire pour des objets dans l'étendue de la base de données a lieu. Cet événement est déclenché pour toute modification de propriétaire d'objet dans une base de données sur le serveur. Équivaut à la classe d’événements Audit Database Object Take Ownership.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP	Cet événement est déclenché lorsqu'un GRANT, REVOKE, ou DENY est émis pour des objets de base de données, tels que des assemblies et des schémas. Cet événement est déclenché pour toute modification d'autorisation d'objet pour une base de données sur le serveur. Équivaut à la classe d’événements Audit Database Object GDR.
DATABASE_OPERATION_GROUP	Cet événement est déclenché lorsque des opérations dans une base de données, telles qu'un point de contrôle ou une notification de requête d'abonnement, se produisent. Cet événement est déclenché sur toute opération de base de données sur toute base de données. Équivaut à la classe d’événements Audit Database Operation.
DATABASE_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lorsque vous utilisez l'instruction ALTER AUTHORIZATION pour modifier le propriétaire d'une base de données, et que les autorisations requises pour le faire sont vérifiées. Cet événement est déclenché pour toute modification du propriétaire de la base de données sur une base de données sur le serveur. Équivaut à la classe d’événements Audit Change Database Owner.
DATABASE_PERMISSION_CHANGE_GROUP	Cet événement est déclenché chaque fois qu’un GRANT, REVOKEou DENY est émis pour une autorisation d’instruction par n’importe quel principal dans SQL Server (cela s’applique aux événements de base de données uniquement, tels que l’octroi d’autorisations sur une base de données). Cet événement est déclenché pour toute modification d'autorisation de base de données pour une base de données dans le serveur. Équivaut à la classe d’événements Audit Database Scope GDR.
DATABASE_PRINCIPAL_CHANGE_GROUP	Cet événement est déclenché lorsque des principaux, tels que des utilisateurs, sont créés, modifiés ou supprimés d'une base de données. Équivaut à la classe d’événements Audit Database Principal Management. (Équivalent également à la classe d’événements Audit Add DB Principal, qui se produit sur les procédures stockées dépréciées sp_grantdbaccess,sp_revokedbaccess,sp_addPrincipal, et sp_dropPrincipal.) Cet événement est déclenché chaque fois qu’un rôle de base de données est ajouté ou supprimé à l’aide des sp_addrole,sp_droprole procédures stockées. Cet événement est déclenché lorsque des principaux de base de données sont créés, modifiés ou supprimés d'une base de données. Équivaut à la classe d’événements Audit Add Role.
DATABASE_PRINCIPAL_IMPERSONATION_GROUP	Cet événement est déclenché lorsqu'il y a une opération d'usurpation d'identité dans l'étendue de la base de données telle que EXECUTE AS <principal> ou SETPRINCIPAL. Cet événement est déclenché pour les emprunts d'identité effectués dans une base de données. Équivaut à la classe d’événements Audit Database Principal Impersonation.
DATABASE_ROLE_MEMBER_CHANGE_GROUP	Cet événement est déclenché chaque fois qu'une connexion est ajoutée à un rôle de base de données ou en est supprimée. Cette classe d'événements est déclenchée pour les procédures stockées sp_addrolemember,, sp_changegroup, et sp_droprolemember. Cet événement est déclenché en cas de modification d'un membre de rôle Base de données dans toute base de données. Équivaut à la classe d’événements Audit Add Member to DB Role.
DBCC_GROUP	Cet événement est déclenché chaque fois qu'un principal émet une commande DBCC. Équivaut à la classe d’événements Audit DBCC.
EXTGOV_OPERATION_GROUP	Cet événement est déclenché sur l’activation des fonctionnalités de gouvernance externe, la désactivation des fonctionnalités de gouvernance externe, la synchronisation des stratégies de gouvernance externe et l’application des autorisations basées sur des stratégies de gouvernance externe.
FAILED_DATABASE_AUTHENTICATION_GROUP	Indique qu'un principal a tenté de se connecter à une base de données autonome et a échoué. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Login Failed.
FAILED_LOGIN_GROUP	Indique qu’un principal a essayé de se connecter à SQL Server et a échoué. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Login Failed. Cet audit ne s’applique pas à Azure SQL Database.
FULLTEXT_GROUP	Indique qu'un événement de texte intégral s'est produit. Équivaut à la classe d’événements Audit Fulltext.
LOGIN_CHANGE_PASSWORD_GROUP	Cet événement est déclenché chaque fois qu’un mot de passe de connexion est modifié par le biais d'une déclaration ALTER LOGIN ou d'une procédure stockée sp_password. Équivaut à la classe d’événements Audit Login Change Password.
LOGOUT_GROUP	Indique qu’un principal s’est déconnecté de SQL Server. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Logout.
SCHEMA_OBJECT_ACCESS_GROUP	Cet événement est déclenché chaque fois qu'une autorisation d'objet a été utilisée dans le schéma. Équivaut à la classe d’événements Audit Schema Object Access.
SCHEMA_OBJECT_CHANGE_GROUP	Cet événement est déclenché lorsqu'une opération CREATE, ALTER ou DROP est effectuée sur un schéma. Équivaut à la classe d’événements Audit Schema Object Management. Cet événement est déclenché sur les objets de schéma. Équivaut à la classe d’événements Audit Object Derived Permission. Cet événement est déclenché chaque fois qu'un schéma d'une base de données est modifié. Équivaut à la classe d’événements Audit Statement Permission.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lorsque les autorisations nécessaires pour modifier le propriétaire d'un objet de schéma (tel qu'une table, procédure ou fonction) sont activées. Cela se produit lorsque l’instruction ALTER AUTHORIZATION est utilisée pour affecter un propriétaire à un objet. Cet événement est déclenché pour toute modification de propriétaire de schéma pour une base de données sur le serveur. Équivaut à la classe d’événements Audit Schema Object Take Ownership.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP	Cet événement est déclenché chaque fois qu'une opération d'accord, de refus ou de révocation est effectuée contre un objet de schéma. Équivaut à la classe d’événements Audit Schema Object GDR.
SENSITIVE_BATCH_COMPLETED_GROUP	Cet événement est déclenché chaque fois que n’importe quel texte de lot, procédure stockée ou opération de gestion des transactions s’exécute sur des données sensibles classées à l’aide de la découverte de données SQL et de la classification. L’événement est déclenché une fois le lot terminé et audite l’intégralité du lot ou du texte de procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Disponible à partir de SQL Server 2022 (16.x)
SERVER_OBJECT_CHANGE_GROUP	Cet événement est déclenché pour les opérations CREATE, ALTER ou DROP sur les objets serveur. Équivaut à la classe d’événements Audit Server Object Management.
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lors de la modification du propriétaire par des objets dans la portée du serveur. Équivaut à la classe d’événements Audit Server Object Take Ownership.
SERVER_OBJECT_PERMISSION_CHANGE_GROUP	Cet événement est déclenché chaque fois qu'un GRANT, un REVOKE, ou un DENY est accordé pour une autorisation pour un objet serveur par n’importe quel principal dans SQL Server. Équivaut à la classe d’événements Audit Server Object GDR.
SERVER_OPERATION_GROUP	Cet événement est déclenché lorsque des opérations d’audit de sécurité telles que la modification de paramètres, de ressources, d’accès externe ou d’autorisation sont utilisées ou qu’une instruction nécessitant l’autorisation VIEW SERVER STATE est exécutée. Équivaut à la classe d’événements Audit Server Operation.
SERVER_PERMISSION_CHANGE_GROUP	Cet événement est déclenché lorsqu’un GRANT, REVOKE, ou DENY est émis pour les autorisations dans le domaine du serveur. Équivaut à la classe d’événements Audit Server Scope GDR.
SERVER_PRINCIPAL_CHANGE_GROUP	Cet événement est déclenché lorsque des principaux de serveur sont créés, modifiés ou supprimés. Équivaut à la classe d’événements Audit Server Principal Management. Cet événement est déclenché lorsqu’un principal émet les sp_defaultdb procédures ou sp_defaultlanguageALTER LOGIN instructions stockées. Équivaut à la classe d’événements Audit Addlogin. Cet événement est déclenché sur les procédures stockées sp_addlogin et sp_droplogin. Équivaut également à la classe d’événements Audit Login Change Property. Cet événement est déclenché pour les procédures stockées sp_grantlogin ou sp_revokelogin. Équivaut à la classe d’événements Audit Login GDR.
SERVER_PRINCIPAL_IMPERSONATION_GROUP	Cet événement est déclenché lorsqu’il existe un emprunt d’identité dans l’étendue du serveur, par exemple EXECUTE AS <login>. Équivaut à la classe d’événements Audit Server Principal Impersonation.
SERVER_ROLE_MEMBER_CHANGE_GROUP	Cet événement est déclenché chaque fois qu'une connexion est ajoutée ou supprimée d'un rôle serveur fixe. Cet événement est déclenché pour les procédures stockées sp_addsrvrolemember et sp_dropsrvrolemember. Équivaut à la classe d’événements Audit Add Login to Server Role.
SERVER_STATE_CHANGE_GROUP	Cet événement est déclenché lorsque l’état du service SQL Server est modifié. Équivaut à la classe d’événements Audit Server Starts and Stops.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP	Indique qu'un principal s'est connecté à une base de données autonome.
SUCCESSFUL_LOGIN_GROUP	Indique qu’un principal s’est connecté à SQL Server. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Équivaut à la classe d’événements Audit Login.
TRACE_CHANGE_GROUP	Cet événement est déclenché pour toutes les instructions qui vérifient l’autorisation ALTER TRACE . Équivaut à la classe d’événements Audit Server Alter Trace.
TRANSACTION_GROUP	Cet événement est levé pour les opérations BEGIN TRANSACTION, ROLLBACK TRANSACTION et COMMIT TRANSACTION, à la fois pour les appels explicites à ces instructions ainsi que les opérations de transaction implicites. Cet événement est également déclenché pour UNDO les opérations pour les instructions individuelles provoquées par la restauration d’une transaction.
USER_CHANGE_PASSWORD_GROUP	Cet événement est déclenché chaque fois que le mot de passe d’un utilisateur de base de données autonome est modifié à l’aide de l’instruction ALTER USER .
USER_DEFINED_AUDIT_GROUP	Ce groupe surveille les événements déclenchés à l’aide de sp_audit_write. En règle générale, les déclencheurs ou procédures stockées incluent des appels à sp_audit_write pour activer l’audit d'événements importants.
LEDGER_OPERATION_GROUP	Cet événement est déclenché pour les actions suivantes : GENERATE LEDGER DIGEST - Lorsque vous générez une synthèse de registre VERIFY LEDGER - Lorsque vous vérifiez un résumé du registre. S’applique à : Azure SQL Database

À propos de l’installation

Les groupes d’actions de niveau serveur couvrent les actions sur toute une instance de SQL Server. Par exemple, toute vérification d'accès à un objet de schéma dans une base de données est enregistrée si le groupe d'actions approprié est ajouté à une spécification de l'audit du serveur. Dans une spécification d'audit de la base de données, seuls les accès aux objets de schéma dans cette base de données sont enregistrés.

Les actions de niveau serveur ne permettent pas un filtrage détaillé des actions au niveau de la base de données. Un audit au niveau de la base de données, tel que l’audit d’actions SELECT sur la table Customers pour les connexions dans le groupe Employé, est nécessaire pour implémenter un filtrage d’action détaillé. N’incluez pas d’objets dans l’étendue du serveur, tels que les vues système, dans une spécification d’audit de base de données utilisateur.

Remarque

En raison de la surcharge liée à l’activation de l’audit au niveau des transactions, à partir de SQL Server 2016 (13.x) SP 2 CU 3 et SQL Server 2017 (14.x) CU 4, l’audit au niveau des transactions est désactivé par défaut, sauf si la conformité aux critères communs est activée. Si la conformité aux critères communs est désactivée, vous pourrez toujours ajouter une action de TRANSACTION_GROUP à une spécification d’audit, mais elle ne collecte en fait aucune action de transaction. Si vous envisagez de configurer des actions d’audit à partir de , assurez-vous que l’infrastructure d’audit au niveau des transactions est activée en activant la conformité aux critères communs à partir de TRANSACTION_GROUPSQL Server 2016 (13.x) SP 2 CU 3 et SQL Server 2017 (14.x) CU 4 et versions ultérieures. L’audit au niveau des transactions peut également être désactivé avec l’indicateur de trace 3427 dans SQL Server 2016 (13.x) avec SP 1 CU 2 et versions ultérieures.

Groupes d’actions d’audit au niveau de la base de données

Les groupes d’actions d’audit au niveau de la base de données sont des actions similaires aux classes d’événements d’audit de sécurité SQL Server. Pour plus d'informations sur les classes d'événements, consultez Référence de classe d'événements SQL Server.

Le tableau suivant décrit les groupes d'actions d'audit de niveau base de données et fournit leur Classe d'événements SQL Server équivalente le cas échéant.

Nom du groupe d’actions	Descriptif
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP	Cet événement est déclenché chaque fois qu'un mot de passe est modifié pour un rôle d'application. Équivaut à la classe d’événements Audit App Role Change Password.
AUDIT_CHANGE_GROUP	Cet événement est déclenché chaque fois qu’un audit est créé, modifié ou supprimé. Cet événement est déclenché chaque fois qu'une spécification d'audit est créée, modifiée ou supprimée. Toute modification apportée à un audit est auditée dans cet audit. Équivaut à la classe d’événements Audit Change Audit.
BACKUP_RESTORE_GROUP	Cet événement est déclenché chaque fois qu'une commande de sauvegarde ou de restauration est émise. Équivaut à la Audit Backup and Restore Event Class.
BATCH_COMPLETED_GROUP	Cet événement se déclenche chaque fois que l’exécution d’une opération de gestion de transaction, de texte de lot ou de procédure stockée se termine. Il est déclenché une fois le lot terminé et audite l’intégralité du lot ou du texte de procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. S’applique à : SQL Server 2019 (15.x) et versions ultérieures.
BATCH_STARTED_GROUP	Cet événement se déclenche chaque fois qu’une opération de gestion de transaction, de texte de lot ou de procédure stockée commence à s’exécuter. Il est déclenché avant l'exécution et audite l'intégralité du texte du lot ou de la procédure stockée, tel qu'envoyé par le client. S’applique à : SQL Server 2019 (15.x) et versions ultérieures.
DATABASE_CHANGE_GROUP	Cet événement est déclenché lors de la création, de la modification ou de la suppression d'une base de données. Équivaut à la classe d’événements Audit Database Management.
DATABASE_LOGOUT_GROUP	Cet événement est déclenché lorsqu’un utilisateur de base de données autonome se déconnecte d’une base de données.
DATABASE_OBJECT_ACCESS_GROUP	Cet événement est déclenché en cas d'accès à des objets de base de données tels que des certificats et des clés asymétriques. Équivaut à la classe d’événements Audit Database Object Access.
DATABASE_OBJECT_CHANGE_GROUP	Cet événement est déclenché lorsqu’une instruction CREATE, ALTER, ou DROP est exécutée sur des objets de base de données, tels que des schémas. Équivaut à la classe d’événements Audit Database Object Management.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lorsqu'une modification de propriétaire pour des objets dans la portée de la base de données a lieu. Équivaut à la classe d’événements Audit Database Object Take Ownership.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP	Cet événement est déclenché lorsqu'un GRANT, REVOKE, ou DENY est émis pour des objets de base de données, tels que des assemblies et des schémas. Équivaut à la classe d’événements Audit Database Object GDR.
DATABASE_OPERATION_GROUP	Cet événement est déclenché lorsque des opérations dans une base de données, telles qu'un point de contrôle ou une notification de requête d'abonnement, se produisent. Équivaut à la classe d’événements Audit Database Operation.
DATABASE_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lorsque vous utilisez l'instruction ALTER AUTHORIZATION pour modifier le propriétaire d'une base de données, et que les autorisations requises pour le faire sont vérifiées. Équivaut à la classe d’événements Audit Change Database Owner.
DATABASE_PERMISSION_CHANGE_GROUP	Cet événement est déclenché chaque fois qu’un GRANT, REVOKEou DENY est émis pour une autorisation d’instruction par n’importe quel utilisateur dans SQL Server pour les événements de base de données uniquement, tels que l’octroi d’autorisations sur une base de données. Équivaut à la classe d’événements Audit Database Scope GDR.
DATABASE_PRINCIPAL_CHANGE_GROUP	Cet événement est déclenché lorsque des principaux, tels que des utilisateurs, sont créés, modifiés ou supprimés d'une base de données. Équivaut à la classe d’événements Audit Database Principal Management. Équivaut également à la classe d’événements Audit Add DB User, qui se produit sur les procédures déconseillées sp_grantdbaccess,sp_revokedbaccess,sp_adduser, et sp_dropuser stockées. Cet événement est déclenché chaque fois qu’un rôle de base de données est ajouté ou supprimé à l’aide de procédures déconseillées sp_addrole et sp_droprole stockées. Équivaut à la classe d’événements Audit Add Role.
DATABASE_PRINCIPAL_IMPERSONATION_GROUP	Cet événement est déclenché lors de l'usurpation d'identité dans le cadre de la base de données telle que EXECUTE AS <user>. Équivaut à la classe d’événements Audit Database Principal Impersonation.
DATABASE_ROLE_MEMBER_CHANGE_GROUP	Cet événement est déclenché chaque fois qu'une connexion est ajoutée à un rôle de base de données ou en est supprimée. Cette classe d’événements est utilisée avec les procédures stockées sp_addrolemember,sp_changegroup, et sp_droprolemember. Équivaut à la classe d’événements Audit Add Member to DB Role.
DBCC_GROUP	Cet événement est déclenché chaque fois qu'un principal émet une commande DBCC. Équivaut à la classe d’événements Audit DBCC.
FAILED_DATABASE_AUTHENTICATION_GROUP	Indique qu'un principal a tenté de se connecter à une base de données autonome et a échoué. Les événements de cette classe sont déclenchés par de nouvelles connexions ou par des connexions réutilisées depuis un groupement de connexions. Cet événement est déclenché.
SCHEMA_OBJECT_ACCESS_GROUP	Cet événement est déclenché chaque fois qu'une autorisation d'objet a été utilisée dans le schéma. Équivaut à la classe d’événements Audit Schema Object Access.
SCHEMA_OBJECT_CHANGE_GROUP	Cet événement est déclenché lorsqu'une opération CREATE, ALTER ou DROP est effectuée sur un schéma. Équivaut à la classe d’événements Audit Schema Object Management. Cet événement est déclenché sur les objets de schéma. Équivaut à la classe d’événements Audit Object Derived Permission. Équivaut également à la classe d’événements Audit Statement Permission.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP	Cet événement est déclenché lorsque les autorisations nécessaires pour modifier le propriétaire d'un objet de schéma, tel qu'une table, procédure ou fonction, sont activées. Cela se produit lorsque l’instruction ALTER AUTHORIZATION est utilisée pour affecter un propriétaire à un objet. Équivaut à la classe d’événements Audit Schema Object Take Ownership.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP	Cet événement est déclenché chaque fois qu'une opération d'accord, de refus ou de révocation est émise pour un objet de schéma. Équivaut à la classe d’événements Audit Schema Object GDR.
SENSITIVE_BATCH_COMPLETED_GROUP	Cet événement est déclenché chaque fois que n’importe quel texte de lot, procédure stockée ou opération de gestion des transactions s’exécute sur des données sensibles classées à l’aide de la découverte de données SQL et de la classification. L’événement est déclenché une fois le lot terminé et audite l’intégralité du lot ou du texte de procédure stockée, tel qu’il est envoyé par le client, y compris le résultat. Disponible à partir de SQL Server 2022 (16.x)
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP	Indique qu'un principal s'est connecté à une base de données autonome.
USER_CHANGE_PASSWORD_GROUP	Cet événement est déclenché chaque fois que le mot de passe d'un utilisateur de base de données autonome est modifié à l'aide de l'instruction ALTER USER.
USER_DEFINED_AUDIT_GROUP	Ce groupe surveille les événements déclenchés à l’aide de sp_audit_write.
LEDGER_OPERATION_GROUP	Cet événement est déclenché pour les actions suivantes : ENABLE LEDGER - Lorsque vous créez une table de registre ALTER LEDGER - Lorsque vous supprimez une table de registre ALTER LEDGER CONFIGURATION. S’applique à : Azure SQL Database.

Actions d'audit de niveau base de données

Les actions au niveau de la base de données prennent en charge l’audit d’actions spécifiques directement sur le schéma de base de données et les objets de schéma, tels que les tables, les vues, les procédures stockées, les fonctions, les procédures stockées étendues, les files d’attente, les synonymes. Les types, la collection de schémas XML, la base de données et le schéma ne sont pas audités. L’audit des objets de schéma peut être configuré sur le schéma et la base de données, ce qui signifie que les événements sur tous les objets de schéma contenus dans le schéma ou la base de données spécifiés sont audités. Le tableau suivant décrit les actions d'audit de niveau base de données.

Action	Descriptif
SELECT	Cet événement est déclenché chaque fois qu’un SELECT est émis.
UPDATE	Cet événement est déclenché chaque fois qu’un UPDATE est émis.
INSERT	Cet événement est déclenché chaque fois qu’un INSERT est émis.
DELETE	Cet événement est déclenché chaque fois qu’un DELETE est émis.
EXECUTE	Cet événement est déclenché chaque fois qu’un EXECUTE est émis.
RECEIVE	Cet événement est déclenché chaque fois qu’un RECEIVE est émis.
REFERENCES	Cet événement est déclenché chaque fois qu’une REFERENCES autorisation est cochée.

À propos de l’installation

Les actions d’audit au niveau de la base de données ne s’appliquent pas aux colonnes.

Lorsque le processeur de requêtes paramètre la requête, le paramètre peut apparaître dans le journal des événements d'audit au lieu des valeurs de colonnes de la requête.

Groupes d’actions d’audit au niveau de l’audit

Vous pouvez également auditer les actions dans le processus d'audit. Ce peut être dans la portée du serveur ou dans la portée de la base de données. Dans la portée de la base de données, cela se produit seulement pour les spécifications d'audit de la base de données. Le tableau suivant décrit les groupes d'actions d'audit de niveau audit.

Nom du groupe d’actions	Descriptif
AUDIT_CHANGE_GROUP	Cet événement est déclenché chaque fois que l’une des commandes suivantes est exécutée : CREATE SERVER AUDIT ALTER SERVER AUDIT DROP SERVER AUDIT CREATE SERVER AUDIT SPECIFICATION ALTER SERVER AUDIT SPECIFICATION DROP SERVER AUDIT SPECIFICATION CREATE DATABASE AUDIT SPECIFICATION ALTER DATABASE AUDIT SPECIFICATION DROP DATABASE AUDIT SPECIFICATION

Contenu connexe

• Créer un audit du serveur et une spécification d’audit du serveur
• Créer une spécification d’audit de serveur et d’audit de base de données
• CRÉER UN AUDIT DE SERVEUR (Transact-SQL)
• ALTER SERVER AUDIT (Transact-SQL)
• DROP SERVER AUDIT (Transact-SQL)
• CRÉER SPÉCIFICATION D'AUDIT DU SERVEUR (Transact-SQL)
• ALTER SERVER AUDIT SPECIFICATION (Transact-SQL)
• SUPPRIMER LA SPÉCIFICATION D'AUDIT DU SERVEUR (Transact-SQL)
• CRÉER UNE SPÉCIFICATION D'AUDIT DE BASE DE DONNÉES (Transact-SQL)
• ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)
• SUPPRIMER LA SPÉCIFICATION D'AUDIT DE LA BASE DE DONNÉES (Transact-SQL)
• MODIFIER L'AUTORISATION (Transact-SQL)
• sys.fn_get_audit_file (Transact-SQL)
• sys.server_audits (Transact-SQL)
• sys.server_file_audits (Transact-SQL)
• sys.server_audit_specifications (Transact-SQL)
• sys.server_audit_specification_details (Transact-SQL)
• sys.database_audit_specifications (Transact-SQL)
• sys.database_audit_specification_details (Transact-SQL)
• sys.dm_server_audit_status (Transact-SQL)
• sys.dm_audit_actions (Transact-SQL)
• sys.dm_audit_class_type_map (Transact-SQL)