Record di SQL Server Audit

Articolo
06/25/2013

La caratteristica SQL Server Audit consente di controllare gruppi di eventi ed eventi a livello di server e di database. Per ulteriori informazioni, vedere SQL Server Audit (Database Engine). SQL Server.

I controlli sono costituiti da zero o più elementi rappresentati da azioni di controllo, registrati in una destinazione del controllo. La destinazione del controllo può essere un file binario, il registro eventi applicazioni di Windows o il registro eventi di sicurezza di Windows. I record inviati alla destinazione possono contenere gli elementi descritti nella tabella seguente.

event_time

Data e ora di generazione dell'azione controllabile.

datetime2

Sì

sequence_no

Viene tenuta traccia della sequenza dei record all'interno di un singolo record di controllo con dimensioni troppo elevate per il buffer di scrittura dei controlli.

int

Sì

action_id

ID dell'azione.

Suggerimento
Per utilizzare action_id come predicato, è necessario convertirlo da stringa di caratteri in un valore numerico. Per ulteriori informazioni, vedere la pagina relativa al filtro di SQL Server Audit sul predicato action_id / class_type.

varchar(4)

Sì

succeeded

Indica se l'azione che ha generato l'evento ha avuto esito positivo

bit - 1 = Esito positivo, 0 = Esito negativo

Sì

permission_bitmask

Se applicabile, visualizza le autorizzazioni concesse, negate o revocate.

bigint

is_column_permission

Flag indicante un'autorizzazione a livello di colonna.

bit - 1 = True, 0 = False

session_id

ID della sessione in cui si è verificato l'evento.

int

Sì

server_principal_id

ID del contesto dell'account di accesso utilizzato per eseguire l'azione.

int

Sì

database_principal_id

ID del contesto dell'utente del database in cui viene eseguita l'azione.

int

object_id

ID primario dell'entità in cui si è verificato il controllo. Sono inclusi gli elementi seguenti:

oggetti server
database
oggetti di database
oggetti dello schema

int

target_server_principal_id

Entità server cui si applica l'azione controllabile.

int

Sì

target_database_principal_id

Entità di database cui si applica l'azione controllabile.

int

class_type

Tipo di entità controllabile in cui si verifica il controllo.

varchar(2)

Sì

session_server_principal_name

Entità server per la sessione.

sysname

Sì

server_principal_name

Account di accesso corrente.

sysname

Sì

server_principal_sid

SID dell'account di accesso corrente.

varbinary

Sì

database_principal_name

Utente corrente.

sysname

target_server_principal_name

Account di accesso di destinazione dell'azione.

sysname

target_server_principal_sid

SID dell'account di accesso di destinazione.

varbinary

target_database_principal_name

Utente di destinazione dell'azione.

sysname

server_instance_name

Nome dell'istanza del server in cui si è verificato il controllo. Viene utilizzato il formato standard computer\istanza.

nvarchar(120)

Sì

database_name

Contesto del database in cui si è verificata l'azione.

sysname

schema_name

Contesto dello schema in cui si è verificata l'azione.

sysname

object_name

Nome dell'entità in cui si è verificato il controllo. Sono inclusi gli elementi seguenti:

oggetti server
database
oggetti di database
oggetti dello schema
istruzione TSQL (se presente)

sysname

statement

istruzione TSQL (se presente)

nvarchar(4000)

additional_information

Qualsiasi informazione aggiuntiva sull'evento, archiviata in formato XML.

nvarchar(4000)

Osservazioni

Alcune azioni non consentono l'inserimento di un valore di colonna perché il valore potrebbe non essere valido per l'azione.

In SQL Server Audit vengono archiviati 4000 caratteri di dati per ogni campo di tipo carattere in un record di controllo. Quando i valori additional_information e statement restituiti da un'azione controllabile sono costituiti da più di 4.000 caratteri, viene utilizzata la colonna sequence_no per scrivere più record nel report del controllo in modo che i dati vengano registrati da una singola azione di controllo. Il processo è il seguente:

La colonna statement viene divisa in 4000 caratteri.
SQL Server Audit scrive i dati parziali come prima riga del record di controllo. Tutti gli altri campi vengono duplicati in ogni riga.
Viene incrementato il valore sequence_no.
Questo processo viene ripetuto fino a registrare tutti i dati.

È possibile connettere i dati leggendo le righe in sequenza tramite il valore sequence_no e le colonne event_Time, action_id e session_id per identificare l'azione.