Menulis Peristiwa Audit SQL Server ke Log Keamanan

Di lingkungan keamanan tinggi, log Keamanan Windows adalah lokasi yang sesuai untuk menulis peristiwa yang merekam akses objek. Lokasi audit lain didukung tetapi lebih tunduk pada perubahan.

Ada dua persyaratan utama untuk menulis audit server SQL Server ke log Keamanan Windows:

• Pengaturan akses objek audit harus dikonfigurasi untuk mengambil peristiwa. Alat kebijakan audit (auditpol.exe) mengekspos berbagai pengaturan sub-kebijakan dalam kategori akses objek audit . Untuk mengizinkan SQL Server mengaudit akses objek, konfigurasikan pengaturan yang dihasilkan aplikasi.

• Akun yang menjalankan layanan SQL Server harus memiliki izin untuk menghasilkan audit keamanan agar dapat menulis ke log Keamanan Windows. Secara default, LAYANAN LOKAL dan akun LAYANAN JARINGAN memiliki izin ini. Langkah ini tidak diperlukan jika SQL Server berjalan di bawah salah satu akun tersebut.

Kebijakan audit Windows dapat memengaruhi audit SQL Server jika dikonfigurasi untuk menulis ke log Keamanan Windows, dengan potensi kehilangan peristiwa jika kebijakan audit salah dikonfigurasi. Biasanya, log Keamanan Windows diatur untuk menggantikan peristiwa lama. Ini menyimpan peristiwa terbaru. Namun, jika log Keamanan Windows tidak diatur untuk mengganti peristiwa yang lebih lama, dan jika log Keamanan penuh, sistem akan mengeluarkan peristiwa Windows 1104 (Log penuh). Pada saat itu:

• Tidak ada peristiwa keamanan lebih lanjut yang akan direkam

• SQL Server tidak akan dapat mendeteksi bahwa sistem tidak dapat merekam peristiwa di log Keamanan, yang mengakibatkan potensi hilangnya peristiwa audit

• Setelah administrator kotak memperbaiki log Keamanan, perilaku pengelogan akan kembali normal.

Dalam Topik Ini

• Sebelum Anda mulai:

  Batasan dan Pembatasan

  Keamanan

• Untuk menulis peristiwa audit SQL Server ke Log Keamanan:

  Mengonfigurasi pengaturan akses objek audit di Windows menggunakan auditpol

  Mengonfigurasi pengaturan akses objek audit di Windows menggunakan secpol

  Memberikan izin hasilkan audit keamanan ke akun menggunakan secpol

Sebelum Anda mulai

Batasan dan Pembatasan

Administrator-administrator komputer SQL Server harus memahami bahwa pengaturan lokal untuk log keamanan dapat digantikan oleh kebijakan domain. Dalam hal ini, kebijakan domain mungkin menimpa pengaturan subkategori (auditpol /get /subcategory:"application generated"). Ini dapat memengaruhi kemampuan SQL Server untuk mencatat peristiwa tanpa memiliki cara untuk mendeteksi bahwa peristiwa yang coba diaudit SQL Server tidak akan direkam.

Keamanan

Hak akses

Anda harus menjadi administrator Windows untuk mengonfigurasi setelan ini.

Untuk mengonfigurasi pengaturan akses objek audit di Windows menggunakan auditpol

1. Buka prompt perintah dengan izin administratif.

   1. Pada menu Mulai , arahkan ke Semua Program, arahkan ke Aksesori, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator.

   2. Jika kotak dialog Kontrol Akun Pengguna terbuka, klik Lanjutkan.

2. Jalankan pernyataan berikut untuk mengaktifkan audit dari SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
   

3. Tutup jendela perintah.

Untuk memberikan izin menjalankan audit keamanan pada akun dengan menggunakan secpol

1. Untuk sistem operasi Windows apa pun, pada menu Mulai , klik Jalankan.

2. Ketik secpol.msc lalu klik OK. Jika kotak dialog Kontrol Akses Pengguna muncul, klik Lanjutkan.

3. Di alat Kebijakan Keamanan Lokal, perluas Pengaturan Keamanan, perluas Kebijakan Lokal, lalu klik Penetapan Hak Pengguna.

4. Di panel hasil, klik dua kali Buat audit keamanan.

5. Pada tab Pengaturan Keamanan Lokal , klik Tambahkan Pengguna atau Grup.

6. Dalam kotak dialog Pilih Pengguna, Komputer, atau Grup , ketik nama akun pengguna, seperti domain1\user1 lalu klik OK, atau klik Tingkat Lanjut dan cari akun.

7. Klik OK.

8. Tutup alat Kebijakan Keamanan.

9. Mulai ulang SQL Server untuk mengaktifkan pengaturan ini.

Untuk mengonfigurasi pengaturan akses objek audit di Windows menggunakan secpol

1. Jika sistem operasi lebih lama dari Windows Vista atau Windows Server 2008, pada menu Mulai , klik Jalankan.

2. Ketik secpol.msc lalu klik OK. Jika kotak dialog Kontrol Akses Pengguna muncul, klik Lanjutkan.

3. Di alat Kebijakan Keamanan Lokal, perluas Pengaturan Keamanan, perluas Kebijakan Lokal, lalu klik Kebijakan Audit.

4. Di panel hasil, klik dua kali Akses objek audit.

5. Pada tab Pengaturan Keamanan Lokal, di area Audit upaya ini, pilih Berhasil dan Gagal.

6. Klik OK.

7. Tutup alat Kebijakan Keamanan.

Lihat Juga

Audit SQL Server (Mesin Basis Data)