Menulis peristiwa Audit SQL Server ke log Keamanan
Berlaku untuk: SQL Server - Hanya Windows
Di lingkungan keamanan tinggi, log Keamanan Windows adalah lokasi yang sesuai untuk menulis peristiwa yang merekam akses objek. Lokasi audit lain didukung tetapi lebih tunduk pada perubahan.
Ada tiga persyaratan utama untuk menulis audit server SQL Server ke log Keamanan Windows:
Pengaturan akses objek audit harus dikonfigurasi untuk mengambil peristiwa. Alat kebijakan audit (
auditpol.exe
) mengekspos berbagai pengaturan subpolitik dalam kategori akses objek audit. Untuk mengizinkan SQL Server mengaudit akses objek, konfigurasikan pengaturan yang dihasilkan aplikasi.Akun yang dijalankan layanan SQL Server harus memiliki izin hasilkan audit keamanan untuk menulis ke log Keamanan Windows. Secara default, LAYANAN LOKAL dan akun LAYANAN JARINGAN memiliki izin ini. Langkah ini tidak diperlukan jika SQL Server berjalan di bawah salah satu akun tersebut.
Berikan izin penuh untuk akun layanan SQL Server ke sarang
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
registri .Penting
Salah mengedit registri bisa sangat merusak sistem Anda. Sebelum membuat perubahan pada registri, kami sarankan Anda mencadangkan data bernilai apa pun di komputer.
Pembatasan dan batasan
Pengaturan lokal untuk log Keamanan dapat ditimpa oleh kebijakan domain. Dalam hal ini, kebijakan domain mungkin menimpa pengaturan subkataan (
auditpol /get /subcategory:"application generated"
). SQL Server tidak memiliki cara apa pun untuk mendeteksi bahwa peristiwa yang coba diaudit tidak akan direkam.Peristiwa dapat hilang jika kebijakan audit salah dikonfigurasi. Kebijakan audit Windows dapat memengaruhi audit SQL Server jika dikonfigurasi untuk menulis ke log Keamanan Windows. Biasanya, log Keamanan Windows diatur untuk menimpa peristiwa yang lebih lama. Ini mempertahankan peristiwa terbaru. Namun, jika log Keamanan Windows tidak diatur untuk menimpa peristiwa yang lebih lama, maka jika log Keamanan penuh, sistem mengeluarkan peristiwa Windows 1104 (Log penuh). Pada saat itu:
Tidak ada peristiwa keamanan lebih lanjut yang dicatat
SQL Server tidak dapat mendeteksi bahwa sistem tidak dapat merekam peristiwa di log Keamanan, yang mengakibatkan potensi hilangnya peristiwa audit
Setelah administrator kotak memperbaiki log Keamanan, perilaku pengelogan akan kembali normal.
Catatan audit SQL Server berisi lebih banyak data secara signifikan daripada entri log Peristiwa Windows reguler. Selain itu, tergantung pada konfigurasi spesifikasi audit, SQL Server dapat menghasilkan ribuan catatan audit dalam waktu singkat (ribuan per detik). Di bawah periode beban tinggi, ini dapat mengakibatkan kondisi buruk jika catatan audit ditulis ke log Aplikasi atau log Keamanan.
Kondisi yang merugikan ini dapat mencakup:
Bersepeda cepat dari log peristiwa (peristiwa ditimpa dengan sangat cepat karena file log mencapai batas ukurannya)
Aplikasi atau layanan lain yang membaca dari log peristiwa Windows mungkin terpengaruh secara negatif
Log peristiwa yang ditargetkan mungkin tidak dapat digunakan oleh administrator karena peristiwa yang ditimpa begitu cepat
Langkah-langkah yang mungkin dilakukan administrator untuk mengurangi kondisi buruk ini:
Tingkatkan ukuran log target (4 GB tidak masuk akal ketika spesifikasi audit sangat rinci).
Kurangi jumlah peristiwa yang diaudit.
Keluarkan rekaman audit ke file alih-alih Log Peristiwa.
Izin
Anda harus menjadi administrator Windows untuk mengonfigurasi setelan ini.
Mengonfigurasi pengaturan akses objek audit di Windows menggunakan auditpol
Buka prompt perintah dengan izin administratif.
Dari menu Mulai, navigasi ke Prompt Perintah, lalu pilih Jalankan sebagai administrator.
Jika kotak dialog Kontrol Akun Pengguna terbuka, pilih Lanjutkan.
Jalankan pernyataan berikut untuk mengaktifkan audit dari SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enable
Tutup jendela prompt perintah.
Memberikan izin hasilkan audit keamanan ke akun menggunakan secpol
Untuk sistem operasi Windows apa pun, pada menu Mulai , pilih Jalankan.
Ketik
secpol.msc
lalu pilih OK. Jika kotak dialog Kontrol Akses Pengguna muncul, pilih Lanjutkan.Di alat Kebijakan Keamanan Lokal, navigasikan ke Pengaturan Keamanan Penetapan >Hak Pengguna Kebijakan > Lokal.
Di panel hasil, buka Hasilkan audit keamanan.
Pada tab Pengaturan Keamanan Lokal, pilih Tambahkan Pengguna atau Grup.
Dalam kotak dialog Pilih Pengguna, Komputer, atau Grup , ketik nama akun pengguna, seperti domain1\user1 lalu pilih OK, atau pilih Tingkat Lanjut dan cari akun.
Pilih OK.
Tutup alat Kebijakan Keamanan.
Mulai ulang SQL Server untuk mengaktifkan pengaturan ini.
Mengonfigurasi pengaturan akses objek audit di Windows menggunakan secpol
Jika sistem operasi lebih lama dari Windows Vista atau Windows Server 2008, pada menu Mulai , pilih Jalankan.
Ketik
secpol.msc
lalu pilih OK. Jika kotak dialog Kontrol Akses Pengguna muncul, pilih Lanjutkan.Di alat Kebijakan Keamanan Lokal, buka Pengaturan > Keamanan Kebijakan > Lokal Kebijakan Audit.
Di panel hasil, buka Akses objek audit.
Pada tab Pengaturan Keamanan Lokal, di area Audit upaya ini, pilih Berhasil dan Gagal.
Pilih OK.
Tutup alat Kebijakan Keamanan.