CREATE SERVER AUDIT (Transact-SQL)

  • Articolo

Si applica a:SQL Server Istanza gestita di SQL di Azure

Crea un oggetto controllo server usando SQL Server Audit. Per altre informazioni, vedere SQL Server Audit (Motore di database).

Convenzioni di sintassi Transact-SQL

Sintassi

CREATE SERVER AUDIT audit_name
{
    TO { [ FILE (<file_options> [ , ...n ] ) ] | APPLICATION_LOG | SECURITY_LOG | URL | EXTERNAL_MONITOR }
    [ WITH ( <audit_options> [ , ...n ] ) ]
    [ WHERE <predicate_expression> ]
}
[ ; ]

<file_options>::=
{
    FILEPATH = 'os_file_path'
    [ , MAXSIZE = { max_size { MB | GB | TB } | UNLIMITED } ]
    [ , { MAX_ROLLOVER_FILES = { integer | UNLIMITED } } | { MAX_FILES = integer } ]
    [ , RESERVE_DISK_SPACE = { ON | OFF } ]
}

<audit_options> ::=
{
    [ QUEUE_DELAY = integer ]
    [ , ON_FAILURE = { CONTINUE | SHUTDOWN | FAIL_OPERATION } ]
    [ , AUDIT_GUID = uniqueidentifier ]
    [ , OPERATOR_AUDIT = { ON | OFF } ]
}

<predicate_expression> ::=
{
    [ NOT ] <predicate_factor>
    [ { AND | OR } [ NOT ] { <predicate_factor> } ]
    [ , ...n ]
}

<predicate_factor>::=
    event_field_name { = | < > | != | > | >= | < | <= | LIKE } { number | ' string ' }

Nota

Per visualizzare la sintassi Transact-SQL per SQL Server 2014 (12.x) e versioni precedenti, vedere la documentazione delle versioni precedenti.

Argomenti

TO { FILE | APPLICATION_LOG | edizione StandardCURITY_LOG | URL | EXTERNAL_MONITOR }

Determina la posizione della destinazione del controllo. Le opzioni possibili sono un file binario, il registro applicazioni di Windows o il registro di sicurezza di Windows. SQL Server non può scrivere nel log di Sicurezza di Windows senza configurare impostazioni aggiuntive in Windows. Per altre informazioni, vedere Scrivere eventi di CONTROLLO di SQL Server nel log di sicurezza.

La URL destinazione non è supportata per SQL Server.

Importante

In Istanza gestita di SQL di Azure il controllo SQL opera a livello di server. Le uniche posizioni possibili sono URL o EXTERNAL_MONITOR.

FILEPATH = 'os_file_path'

Percorso del log di controllo. Il nome del file viene generato in base al nome e al GUID del controllo. Se questo percorso non è valido, il controllo non viene creato.

FILEPATHtarget non è supportato per Istanza gestita di SQL di Azure. È invece necessario usare PATH .

MAXSIZE = max_size

Specifica le dimensioni massime consentite per il file di controllo. Il valore max_size deve essere un numero intero seguito da MB, GB, TB o UNLIMITED. Il valore minimo che è possibile specificare per max_size è 2 MB, mentre il valore massimo è 2.147.483.647 TB. Quando UNLIMITED viene specificato, il file aumenta fino a quando il disco non è pieno. (0 indica UNLIMITEDanche .) Se si specifica un valore inferiore a 2 MB, viene generato l'errore MSG_MAXSIZE_TOO_SMALL. Il valore predefinito è UNLIMITED.

MAXSIZEtarget non è supportato per Istanza gestita di SQL di Azure.

MAX_ROLLOVER_FILES = { integer | UNLIMITED }

Indica il numero massimo di file da mantenere nel file system oltre al file corrente. Il MAX_ROLLOVER_FILES valore deve essere un numero intero o UNLIMITED. Il valore predefinito è UNLIMITED. Questo parametro viene valutato ogni volta che il controllo viene riavviato (che può verificarsi quando l'istanza del motore di database viene riavviata o quando il controllo viene disattivato e quindi riattivato) o quando è necessario un nuovo file perché MAXSIZE viene raggiunto . Quando MAX_ROLLOVER_FILES viene valutato, se il numero di file supera l'impostazione MAX_ROLLOVER_FILES , il file meno recente viene eliminato. Di conseguenza, quando l'impostazione di MAX_ROLLOVER_FILES è 0 viene creato un nuovo file ogni volta che viene valutata l'impostazione MAX_ROLLOVER_FILES . Quando viene valutata l'impostazione viene eliminato MAX_ROLLOVER_FILES automaticamente un solo file, quindi quando il valore di MAX_ROLLOVER_FILES viene ridotto, il numero di file non viene compattato a meno che i file precedenti non vengano eliminati manualmente. Il numero massimo di file specificabili è 2.147.483.647.

MAX_ROLLOVER_FILESnon è supportato per Istanza gestita di SQL di Azure.

MAX_FILES = integer

Si applica a: SQL Server 2012 (11.x) e versioni successive.

Viene specificato il numero massimo di file di controllo che possono essere creati. Non esegue il rollover al primo file quando viene raggiunto il limite. Quando viene raggiunto il MAX_FILES limite, qualsiasi azione che causa la generazione di eventi di controllo aggiuntivi ha esito negativo e viene generato un errore.

RESERVE_DISK_SPACE = { ON | OFF }

Questa opzione prealloca il file sul disco al MAXSIZE valore . Si applica solo se MAXSIZE non è uguale a UNLIMITED. Il valore predefinito è OFF.

RESERVE_DISK_SPACEtarget non è supportato per Istanza gestita di SQL di Azure.

QUEUE_DELAY = integer

Specifica la quantità di tempo in millisecondi che può trascorrere prima che venga forzata l'esecuzione delle azioni di controllo. Il valore 0 indica un recapito sincrono. Il valore minimo di ritardo della query impostabile è 1000 (1 secondo), ovvero l'impostazione predefinita. Il valore massimo è 2147483647 (2.147.483.647 secondi o 24 giorni, 20 ore, 31 minuti, 23,647 secondi). Se si specifica un numero non valido, viene generato l'errore MSG_INVALID_QUEUE_DELAY .

ON_FAILURE = { CONTINUE | SHUTDOWN | FAIL_OPERATION }

Indica se l'istanza di scrittura nella destinazione deve avere esito negativo, continuare o arrestare SQL Server se la destinazione non può scrivere nel log di controllo. Il valore predefinito è CONTINUE.

CONTINUE

Le operazioni di SQL Server continuano. I record di controllo non vengono conservati. Il controllo continua nel tentativo di registrare gli eventi e riprende se la condizione di errore viene risolta. Scegliendo di continuare, è possibile consentire un'attività che non è controllata e che quindi potrebbe violare i criteri di sicurezza. Usare questa opzione quando il funzionamento del motore di database è più importante della gestione di un controllo completo.

SHUTDOWN

Forza l'arresto dell'istanza di SQL Server se, per qualsiasi motivo, SQL Server non è in grado di scrivere dati nella destinazione di controllo. L'account di accesso che esegue l'istruzione CREATE SERVER AUDIT deve avere l'autorizzazione SHUTDOWN in SQL Server. Il comportamento di arresto persiste anche se l'autorizzazione SHUTDOWN viene revocata in un secondo momento dall'account di accesso che esegue l'istruzione. Se l'utente non dispone di questa autorizzazione, l'istruzione non riesce e il controllo non viene creato. Utilizzare l'opzione quando un errore a livello di controllo potrebbe compromettere la sicurezza o l'integrità del sistema. Per altre informazioni, vedere SHUTDOWN.

FAIL_OPERATION

Si applica a: SQL Server 2012 (11.x) e versioni successive.

Le azioni del database non vengono completate se provocano eventi controllati. Le azioni che non causano eventi controllati possono continuare, ma non possono verificarsi eventi controllati. Il controllo continua nel tentativo di registrare gli eventi e riprende se la condizione di errore viene risolta. Usare questa opzione quando la gestione di un controllo completo è più importante dell'accesso completo al motore di database.

AUDIT_GUID = uniqueidentifier

Per supportare alcuni tipi di scenari, ad esempio il mirroring del database, a un controllo deve essere associato un GUID specifico corrispondente a quello presente nel database con mirroring. Il GUID non può essere modificato dopo la creazione del controllo.

OPERATOR_AUDIT

Si applica solo a: Istanza gestita di SQL di Azure.

Indica se il controllo acquisisce le operazioni del tecnico del supporto Tecnico Microsoft quando devono accedere al server durante una richiesta di supporto.

predicate_expression

Si applica a: SQL Server 2012 (11.x) e versioni successive.

Viene specificata l'espressione del predicato utilizzata per determinare se un evento deve essere o meno elaborato. Le espressioni di predicato sono limitate a 3.000 caratteri, che limitano gli argomenti stringa.

event_field_name

Si applica a: SQL Server 2012 (11.x) e versioni successive.

Nome del campo dell'evento che identifica l'origine del predicato. I campi del controllo sono descritti in sys.fn_get_audit_file (Transact-SQL). È possibile filtrare tutti i campi eccetto file_name, audit_file_offset e event_time.

Nota

Mentre i action_id campi e class_type sono di tipo varchar in sys.fn_get_audit_file, possono essere usati solo con i numeri quando sono un'origine predicato per il filtro. Per ottenere l'elenco di valori da usare con class_type, eseguire la query seguente:

SELECT spt.[name], spt.[number]
FROM   [master].[dbo].[spt_values] spt
WHERE  spt.[type] = N'EOD'
ORDER BY spt.[name];

number

Si applica a: SQL Server 2012 (11.x) e versioni successive.

Qualsiasi tipo numerico incluso decimale. Le limitazioni sono la mancanza di memoria fisica disponibile o un numero troppo grande per essere rappresentato come un numero intero a 64 bit.

'string'

Si applica a: SQL Server 2012 (11.x) e versioni successive.

Stringa ANSI o Unicode come richiesto dal paragone del predicato. Non viene eseguita alcuna conversione del tipo di stringa implicita per le funzioni del paragone del predicato. Il passaggio del tipo non corretto comporta un errore.

Osservazioni:

Quando viene creato un controllo server, si trova in uno stato disabilitato.

L'istruzione CREATE SERVER AUDIT si trova nell'ambito di una transazione. L'esecuzione del rollback della transazione comporta il rollback anche per l'istruzione.

Autorizzazioni

Per creare, modificare o eliminare un controllo del server, le entità richiedono l'autorizzazione ALTER ANY SERVER AUDITCONTROL SERVER o .

Quando si salvano le informazioni di controllo in un file, per evitare manomissioni, limitare l'accesso al percorso del file.

Esempi

R. Creare un controllo del server con una destinazione file

Nell'esempio seguente viene creato un controllo del server denominato HIPAA_Audit con un file binario come destinazione e nessuna opzione.

CREATE SERVER AUDIT HIPAA_Audit
    TO FILE ( FILEPATH ='\\SQLPROD_1\Audit\' );

B. Creare un controllo del server con una destinazione del log applicazioni di Windows con opzioni

Nell'esempio seguente viene creato un controllo del server denominato HIPAA_Audit con il registro applicazioni di Windows come destinazione. Nella coda viene eseguita un'operazione di scrittura al secondo e il motore di SQL Server viene arrestato in caso di errore.

CREATE SERVER AUDIT HIPAA_Audit
    TO APPLICATION_LOG
    WITH ( QUEUE_DELAY = 1000,  ON_FAILURE = SHUTDOWN);

C. Creare un controllo server contenente una clausola WHERE

Nell'esempio seguente vengono creati un database, uno schema e due tabelle per l'esempio. Nella tabella denominata DataSchema.SensitiveData sono contenuti i dati riservati mentre l'accesso alla tabella deve essere registrato nel controllo. La tabella denominata DataSchema.GeneralData non contiene dati riservati. La specifica del controllo del database consente di controllare l'accesso a tutti gli oggetti nello schema DataSchema. Il controllo del server viene creato con una clausola WHERE che consente di limitare il controllo del server solo alla tabella SensitiveData. Per il controllo del server si presuppone l'esistenza di una cartella del controllo in C:\SQLAudit.

CREATE DATABASE TestDB;
GO
USE TestDB;
GO
CREATE SCHEMA DataSchema;
GO
CREATE TABLE DataSchema.GeneralData (ID int PRIMARY KEY, DataField varchar(50) NOT NULL);
GO
CREATE TABLE DataSchema.SensitiveData (ID int PRIMARY KEY, DataField varchar(50) NOT NULL);
GO
-- Create the server audit in the master database
USE master;
GO
CREATE SERVER AUDIT AuditDataAccess
    TO FILE ( FILEPATH ='C:\SQLAudit\' )
    WHERE object_name = 'SensitiveData' ;
GO
ALTER SERVER AUDIT AuditDataAccess WITH (STATE = ON);
GO
-- Create the database audit specification in the TestDB database
USE TestDB;
GO
CREATE DATABASE AUDIT SPECIFICATION [FilterForSensitiveData]
FOR SERVER AUDIT [AuditDataAccess]
ADD (SELECT ON SCHEMA::[DataSchema] BY [public])
WITH (STATE = ON);
GO
-- Trigger the audit event by selecting from tables
SELECT ID, DataField FROM DataSchema.GeneralData;
SELECT ID, DataField FROM DataSchema.SensitiveData;
GO
-- Check the audit for the filtered content
SELECT * FROM fn_get_audit_file('C:\SQLAudit\AuditDataAccess_*.sqlaudit',default,default);
GO

Contenuto correlato