SQL Server auditesemények írása a biztonsági naplóba

A következőkre vonatkozik:SQL Server Windows rendszeren

Magas biztonsági környezetben a Windows biztonsági naplója a megfelelő hely az objektumhozzáférést rögzítő események írásához. Más ellenőrzési helyek is támogatottak, de jobban ki vannak téve a manipulációnak.

Három kulcsfontosságú követelménye van az SQL Server auditok Windows biztonsági naplóba való írásának.

• A naplózási objektum hozzáférési beállítását konfigurálni kell az események rögzítéséhez. A naplózási szabályzat eszköz (auditpol.exe) különböző alpolitikai beállításokat tesz elérhetővé a naplózási objektumhozzáférés kategóriában. Ha engedélyezni szeretné az SQL Server számára az objektumhozzáférés naplózását, konfigurálja a alkalmazás által létrehozott beállítást.

• Az SQL Server szolgáltatás alatt futó fióknak rendelkeznie kell a biztonsági naplók létrehozására való engedéllyel a Windows biztonsági naplóba való íráshoz. Alapértelmezés szerint a LOCAL SERVICE és a NETWORK SERVICE fiókok rendelkeznek ezzel az engedéllyel. Ez a lépés nem szükséges, ha az SQL Server ezen fiókok valamelyike alatt fut.

• Adjon teljes engedélyt az SQL Server szolgáltatásfiókja számára a beállításjegyzék ág HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security-ra.

  Fontos

  A beállításjegyzék helytelen szerkesztése súlyosan károsíthatja a rendszert. A beállításjegyzék módosítása előtt javasoljuk, hogy készítsen biztonsági másolatot a számítógépen lévő összes értékes adatról.

Korlátozások és korlátozások

• A biztonsági napló helyi beállításait egy tartományi szabályzat felülírhatja. Ebben az esetben előfordulhat, hogy a tartományszabályzat felülírja az alkategóriás beállítást (auditpol /get /subcategory:"application generated"). Az SQL Server nem tudja észlelni, hogy a naplózni kívánt események nem lesznek rögzítve.

• Az események elveszhetnek, ha a naplózási szabályzat helytelenül van konfigurálva. A Windows naplózási szabályzata hatással lehet az SQL Server naplózására, ha a Windows biztonsági naplóba való írásra van konfigurálva. A Windows biztonsági napló általában úgy van beállítva, hogy felülírja a régebbi eseményeket. Ez megőrzi a legutóbbi eseményeket. Ha azonban a Windows biztonsági naplója nincs beállítva a régebbi események felülírására, akkor ha a biztonsági napló megtelt, a rendszer a Windows 1104-eseményt (a napló megtelt) állítja be. Ezen a ponton:

  • A rendszer nem rögzít további biztonsági eseményeket

  • Az SQL Server nem tudja észlelni, hogy a rendszer nem tudja rögzíteni az eseményeket a biztonsági naplóban, ami a naplózási események esetleges elvesztését okozza

  • Miután a doboz adminisztrátora kijavítja a biztonsági naplót, a naplózási viselkedés visszaáll a normál értékre.

• Az SQL Server naplózási rekordjai lényegesen több adatot tartalmaznak, mint a hagyományos Windows-eseménynapló-bejegyzések. Emellett a naplózási specifikáció konfigurációjától függően az SQL Server rövid idő alatt (másodpercenként több ezer) több ezer naplórekordot hozhat létre. Nagy terhelés esetén ez kedvezőtlen körülményeket okozhat, ha a naplórekordok az alkalmazásnaplóba vagy a biztonsági naplóba vannak írva.

  Ezek a kedvezőtlen feltételek a következők lehetnek:

  • Az eseménynapló gyors felülírása (az események gyorsan felülíródnak, amikor a naplófájl eléri a méretkorlátját)

  • A Windows eseménynaplóból beolvasott egyéb alkalmazások vagy szolgáltatások negatív hatással lehetnek

  • Előfordulhat, hogy a rendszergazdák nem használják a célzott eseménynaplót, mert az eseményeket ilyen gyorsan felülírják

  A rendszergazdák által a kedvezőtlen körülmények enyhítésére tett lépések:

  1. Növelje a célnapló méretét (a 4 GB nem ésszerű, ha a naplózási specifikáció nagyon részletes).

  2. Csökkentse a naplózott események számát.

  3. A naplózási rekordokat az eseménynaplók helyett egy fájlba adja ki.

Engedélyek

A beállítások konfigurálásához Windows-rendszergazdának kell lennie.

A naplózási objektum hozzáférési beállításának konfigurálása a Windowsban a auditpol

1. Nyisson meg egy rendszergazdai engedélyekkel rendelkező parancssort.

   1. A Start menüben lépjen a Parancssorelemre, majd válassza a Futtatás rendszergazdakéntlehetőséget.

   2. Ha megnyílik a Felhasználói fiókok felügyelete párbeszédpanel, válassza a Folytatáslehetőséget.

2. Hajtsa végre a következő utasítást az SQL Server naplózásának engedélyezéséhez.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable
   

3. Zárja be a parancssori ablakot.

Adjon biztonsági ellenőrzések végrehajtásának engedélyét egy fióknak a secpol alapján.

1. Windows operációs rendszerek esetén a Start menüben válassza a Futtatáslehetőséget.

2. Írja be secpol.msc, majd válassza OKlehetőséget. Ha megjelenik a Felhasználói hozzáférés-vezérlés párbeszédpanel, válassza a Folytatáslehetőséget.

3. A Helyi biztonsági házirend eszközben navigáljon a következőhöz: Biztonsági beállítások > Helyi házirendek > Felhasználói jogok hozzárendelése.

4. Az eredmények ablaktáblán nyissa meg a Biztonsági naplók létrehozása.

5. A Helyi biztonsági beállítás lapon válassza a Felhasználó vagy csoport hozzáadásalehetőséget.

6. A Felhasználók, számítógépek vagy csoportok kijelölése párbeszédpanelen írja be a felhasználói fiók nevét, például tartomány1\user1, majd válassza OK, vagy válassza a Speciális lehetőséget, és keresse meg a fiókot.

7. Válassza OKlehetőséget.

8. Zárja be a Biztonsági szabályzat eszközt.

9. Indítsa újra az SQL Servert a beállítás engedélyezéséhez.

A naplózási objektum hozzáférési beállításának konfigurálása a Windowsban a secpol

1. Ha az operációs rendszer korábbi, mint Windows Vista vagy Windows Server 2008, a Start menüben válassza a Futtatáslehetőséget.

2. Írja be secpol.msc, majd válassza OKlehetőséget. Ha megjelenik a Felhasználói hozzáférés-vezérlés párbeszédpanel, válassza a Folytatáslehetőséget.

3. A Helyi biztonsági házirend eszközben lépjen Biztonsági beállítások > Helyi házirendek > Naplózási szabályzat.

4. Az eredmények ablaktábláján nyissa meg a Ellenőrzés objektumhozzáférés.

5. A Helyi biztonsági beállítás lapon, az Az ellenőrzendő kísérletek területen válassza a Sikeres és Sikertelenlehetőséget.

6. Válassza OKlehetőséget.

7. Zárja be a Biztonsági szabályzat eszközt.

Lásd még:

• SQL Server Audit (Adatbázismotor)