Бөлісу құралы:


Действия и группы действий подсистемы аудита SQL Server

Область применения: SQL Server

Функция аудита SQL Server позволяет выполнять аудит групп событий и отдельных событий уровня сервера и баз данных. Дополнительные сведения см. в статье Аудит SQL Server (ядро СУБД).

Аудиты SQL Server состоят из нуля или нескольких элементов действия аудита. Эти элементы действий аудита могут быть как группами действий, например Server_Object_Change_Group, так и отдельными действиями, например операциями SELECT для таблицы.

Примечание.

Server_Object_Change_Group включает операции CREATE, ALTER и DROP для любого серверного объекта (базы данных или конечной точки).

У операций аудита могут быть следующие категории действий.

  • Уровня сервера. Эти действия включают серверные операции, например изменения управления и операции входа и выхода из системы.

  • Уровень базы данных. Эти действия включают в себя операции языка обработки данных (DML) и языка DDL.

  • Уровня аудита. Эти действия включают в себя действия, происходящие во время аудита.

Некоторые действия, выполняемые на компонентах аудита SQL Server, внутренне проверяются в определенном аудите, и в этих случаях события аудита происходят автоматически, так как событие произошло в родительском объекте.

Следующие действия подлежат аудиту по своей природе.

  • Изменение состояния подсистемы аудита сервера (включение или отключение)

Следующие события не проверяются встроенным образом.

  • CREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATION

Все операции аудита отключаются при первоначальном создании.

Группы действий аудита уровня сервера

Группы действий аудита на уровне сервера — это действия, аналогичные классам событий аудита безопасности SQL Server. Дополнительные сведения см. в разделе SQL Server Event Class Reference.

В следующей таблице приведены группы действий аудита уровня сервера и представлены эквивалентные классы событий SQL Server (если возможно).

Имя группы действий Description
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP Это событие появляется при изменении пароля для роли приложения. Эквивалентно Audit App Role Change Password Event Class.
AUDIT_CHANGE_GROUP Это событие возникает при каждом создании, изменении или удалении любого аудита. Это событие возникает при создании, изменении или удалении спецификации любого аудита. Аудит любых изменений в аудите производится в этом аудите. Эквивалентно Audit Change Audit Event Class.
BACKUP_RESTORE_GROUP Это событие вызывается командой резервного копирования или восстановления. Эквивалент класса событий Audit Backup и Restore.
BATCH_COMPLETED_GROUP; Это событие возникает каждый раз, когда завершается выполнение любой операции текстового пакета, хранимой процедуры или управления транзакциями. Он возникает после завершения пакета и будет проверять весь пакет или текст хранимой процедуры, как отправлено от клиента, включая результат. Добавлен в SQL Server 2022. Эквивалентен классу событий пакетной службы SQL.
BATCH_STARTED_GROUP Это событие возникает каждый раз, когда начинается выполнение любой операции текстового пакета, хранимой процедуры или управления транзакциями. Он вызывается перед выполнением и будет проверять весь пакет или текст хранимой процедуры, как отправлено от клиента. Добавлен в SQL Server 2022. Эквивалент класса событий пакетной службы SQL.
BROKER_LOGIN_GROUP Это событие вызывается для составления отчета о сообщениях аудита, связанных с механизмом обеспечения безопасности транспорта компонента Service Broker. Эквивалентно Audit Broker Login Event Class.
DATABASE_CHANGE_GROUP Это событие вызывается при создании, изменении или удалении базы данных. Это событие возникает всякий раз, когда любая база данных создается, изменяется или удаляется. Эквивалентно Audit Database Management Event Class.
DATABASE_LOGOUT_GROUP Это событие возникает, когда пользователь автономной базы данных выходит из базы данных. Эквивалентно Audit Logout Event Class.
DATABASE_MIRRORING_LOGIN_GROUP Это событие вызывается для составления отчета о сообщениях аудита, связанных с механизмом обеспечения безопасности транспорта зеркального отображения базы данных. Эквивалентно Audit Database Mirroring Login Event Class.
DATABASE_OBJECT_ACCESS_GROUP Это событие вызывается каждый раз при обращении к типам сообщений, сборкам и контрактам. Это событие возникает при любом доступе к любой базе данных. Примечание. Это может привести к появлению большого количества записей аудита.

Эквивалентно Audit Database Object Access Event Class.
DATABASE_OBJECT_CHANGE_GROUP Это событие вызывается в тот момент, когда для объекта базы данных (например, для схемы) выполняется инструкция CREATE, ALTER или DROP. Это событие возникает при каждом создании, изменении или удалении любого объекта базы данных. Примечание. Это может привести к большому количеству записей аудита.

Эквивалентно Audit Database Object Management Event Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при изменении владельца объекта в области базы данных. Это событие возникает при любом изменении владельца объекта в любой базе данных на сервере. Эквивалентно Audit Database Object Take Ownership Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает в тот момент, когда для объекта базы данных (например, сборки или схемы) выполняется инструкция GRANT, REVOKE или DENY. Это событие возникает при любом изменении разрешения на объект для любой базы данных на сервере. Эквивалентно Audit Database Object GDR Event Class.
DATABASE_OPERATION_GROUP Это событие вызывается при выполнении различных операций в базе данных, например при создании контрольной точки или уведомлении о запросе подписки. Это событие возникает при любой операции с базой данных в любой базе данных. Эквивалентно Audit Database Operation Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUP Это событие вызывается при смене владельца базы данных инструкцией ALTER AUTHORIZATION в момент проверки разрешений на эту операцию. Это событие возникает при любом изменении владельца базы данных в любой базе данных на сервере. Эквивалентно Audit Change Database Owner Event Class.
DATABASE_PERMISSION_CHANGE_GROUP Это событие возникает всякий раз, когда для разрешения инструкции в SQL Server выдано разрешение GRANT, REVOKE или DENY (это относится к событиям только базы данных, таким как предоставление разрешений в базе данных).

Это событие возникает при любом изменении разрешения базы данных (GDR) для любой базы данных на сервере. Эквивалентно Audit Database Scope GDR Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUP Это событие создается при создании, изменении или удалении из базы данных участников, таких как пользователи. Эквивалентно Audit Database Principal Management Event Class. (Также эквивалентно классу событий подсистемы аудита «Add DB Principal», вызываемому устаревшими хранимыми процедурами sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal и sp_dropPrincipal).

Это событие возникает при создании или удалении роли базы данных с помощью хранимых процедур sp_addrole или sp_droprole. Это событие возникает при создании, изменении или удалении любых участников базы данных из любой базы данных. Эквивалентно Класс событий Audit Add Role.
DATABASE_PRINCIPAL_IMPERSONATION_GROUP Это событие возникает при наличии операции олицетворения в области базы данных, такой как субъект> EXECUTE AS <или SETPRINCIPAL. Это событие возникает при использовании олицетворения в любой базе данных. Эквивалентно Audit Database Principal Impersonation Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUP Это событие вызывается каждый раз, когда имя входа добавляется в роль базы данных или удаляется из нее. Этот класс событий вызывается хранимыми процедурами sp_addrolemember, sp_changegroup и sp_droprolemember. Это событие появляется при изменении члена любой роли базы данных в любой базе данных. Эквивалентно Audit Add Member to DB Role, класс событий.
DBCC_GROUP Это событие появляется при вызове участником любой команды DBCC. Эквивалентно Audit DBCC Event Class.
EXTGOV_OPERATION_GROUP Это событие вызывается при включении функций внешнего управления, отключении функции внешнего управления, синхронизации политик внешнего управления и принудительном применении разрешений на основе внешних политик управления.
FAILED_DATABASE_AUTHENTICATION_GROUP. Указывает, что попытка участника войти в автономную базу данных завершилась ошибкой. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Audit Login Failed Event Class.
FAILED_LOGIN_GROUP Указывает, что субъект пытался войти в SQL Server и завершился сбоем. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Audit Login Failed Event Class. Этот аудит не применяется к База данных SQL Azure.
FULLTEXT_GROUP Указывает, что произошло полнотекстовое событие. Эквивалентно Audit Fulltext Event Class.
LOGIN_CHANGE_PASSWORD_GROUP Это событие появляется при изменении пароля входа с помощью инструкции ALTER LOGIN или хранимой процедуры sp_password. Эквивалентно Audit Login Change Password Event Class.
LOGOUT_GROUP Указывает, что субъект вышел из SQL Server. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Audit Logout Event Class.
SCHEMA_OBJECT_ACCESS_GROUP Это событие возникает при применении разрешения на объект в схеме. Эквивалентно Audit Schema Object Access Event Class.
SCHEMA_OBJECT_CHANGE_GROUP Это событие вызывается в момент выполнения для схемы операции CREATE, ALTER или DROP. Эквивалентно Audit Schema Object Management Event Class.

Это событие вызывается для объектов схемы. Эквивалентно Audit Object Derived Permission Event Class.
Это событие возникает при изменении любой схемы любой базы данных. Эквивалентно Audit Statement Permission Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при проверке разрешений на смену владельца объекта схемы (таблицы, процедуры, функции и т. д.). Возникает, когда объекту назначается владелец при помощи инструкции ALTER AUTHORIZATION. Это событие возникает при любом изменении владельца схемы в любой базе данных на сервере. Эквивалентно Audit Schema Object Take Ownership Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает при выполнении инструкции GRANT, REVOKE или DENY для объекта схемы. Эквивалентно Audit Schema Object GDR Event Class.
SERVER_OBJECT_CHANGE_GROUP Это событие возникает при выполнении операций CREATE, ALTER или DROP с объектами сервера. Эквивалентно Audit Server Object Management Event Class.
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при изменении владельца объектов в области сервера. Эквивалентно Audit Server Object Take Ownership Event Class.
SERVER_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает всякий раз, когда для разрешения объекта сервера в SQL Server выдано разрешение GRANT, REVOKE или DENY. Эквивалентно Audit Server Object GDR Event Class.
SERVER_OPERATION_GROUP Это событие возникает при использовании таких операций аудита безопасности, как изменение параметров, ресурсов, внешнего доступа или авторизации. Эквивалентно Audit Server Operation Event Class.
SERVER_PERMISSION_CHANGE_GROUP Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешений в области действия сервера. Эквивалентно Audit Server Scope GDR Event Class.
SERVER_PRINCIPAL_CHANGE_GROUP Это событие возникает при создании, изменении и удалении участников на уровне сервера. Эквивалентно Audit Server Principal Management Event Class.

Это событие возникает при вызове участником хранимых процедур sp_defaultdb или sp_defaultlanguage или инструкций ALTER LOGIN. Эквивалентно Audit Addlogin Event Class.
Это событие вызывается хранимыми процедурами sp_addlogin и sp_droplogin. Также эквивалентно Audit Login Change Property Event Class.
Это событие вызывается хранимыми процедурами sp_grantlogin или sp_revokelogin. Эквивалентно Audit Login GDR Event Class.
SERVER_PRINCIPAL_IMPERSONATION_GROUP Это событие возникает при наличии олицетворения в области сервера, например имени входа> EXECUTE AS<. Эквивалентно Audit Server Principal Impersonation Event Class.
SERVER_ROLE_MEMBER_CHANGE_GROUP Это событие появляется при добавлении или удалении имени входа из предопределенной роли сервера. Это событие вызывается хранимыми процедурами sp_addsrvrolemember и sp_dropsrvrolemember. Эквивалентно Класс событий Audit Add Login to Server Role.
SERVER_STATE_CHANGE_GROUP Это событие возникает при изменении состояния службы SQL Server. Эквивалентно Audit Server Starts and Stops Event Class.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP; Указывает, что участник успешно выполнил вход в автономную базу данных.
SUCCESSFUL_LOGIN_GROUP Указывает, что субъект успешно вошел в SQL Server. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Audit Login Event Class.
TRACE_CHANGE_GROUP Это событие вызывается для всех инструкций, выполняющих проверку на разрешение ALTER TRACE. Эквивалентно Audit Server Alter Trace Event Class.
TRANSACTION_GROUP Это событие вызывается для операций BEGIN TRANSACTION, ROLLBACK TRANSACTION и COMMIT TRANSACTION как при явных вызовах этих инструкций, так и при неявных операциях с транзакциями. Это событие также вызывается для операций UNDO при использовании отдельных инструкций, вызванных откатом транзакции.
USER_CHANGE_PASSWORD_GROUP Это событие возникает при изменении пароля пользователя автономной базы данных с помощью инструкции ALTER USER.
USER_DEFINED_AUDIT_GROUP Эта группа отслеживает события, создаваемые с помощью sp_audit_write (Transact-SQL). Как правило, триггеры или хранимые процедуры включают вызовы процедуры sp_audit_write для включения аудита важных событий.
LEDGER_OPERATION_GROUP Это событие вызывается для следующих действий GENERATE LEDGER DIGEST . При создании дайджеста реестра VERIFY LEDGER — при проверке дайджеста реестра. Применимо к База данных SQL Azure.

Рекомендации

Группы действий уровня сервера охватывают действия в экземпляре SQL Server. Например, если соответствующая группа будет возвращена в спецификацию аудита сервера, то будет производиться запись любой проверки доступа к объекту схемы в любой базе данных. В спецификации аудита базы данных производится запись доступа только к объектам схемы этой базе данных.

Действия на уровне сервера не позволяют детализировать фильтрацию по действиям на уровне базы данных. Для точной фильтрации действий необходим аудит уровня базы данных, например аудит действий SELECT в таблице Customers, производимых от лица имен входа в группе Employee. Не включать объекты с областью действия сервера, например системные представления, в спецификацию аудита пользовательской базы данных.

Примечание.

Из-за накладных расходов, связанных с включением аудита уровня транзакций, начиная с SQL Server 2016 (13.x) с пакетом обновления 2 (SP2) и SQL Server 2017 (14.x) CU4, аудит уровня транзакций отключен по умолчанию, если вы не включили соответствие общим критериям. При отключении соответствия стандарту Common Criteria вы по-прежнему сможете добавить действие из TRANSACTION_GROUP в спецификацию аудита, но оно фактически не будет собирать какие-либо действия транзакции. Если вы планируете настроить любые действия аудита из TRANSACTION_GROUP, убедитесь, что инфраструктура аудита на уровне транзакций включена путем включения общего соответствия критериям, начиная с SQL Server 2016 (13.x) с пакетом обновления 2 (SP2) и SQL Server 2017 (14.x) CU4 и более поздних версий. В SQL Server 2016 (13.x) аудит уровня транзакций также может быть отключен с флагом трассировки 3427, начиная с накопительного пакета обновления 1 (SP1) с накопительным пакетом обновления 2 (CU2).

Группы действий аудита уровня базы данных

Группы действий аудита уровня базы данных похожи на классы событий аудита безопасности SQL Server. Дополнительные сведения о классах событий см. в разделе SQL Server Event Class Reference.

В следующей таблице описываются группы действий аудита уровня базы данных и предоставляются эквивалентные классы событий SQL Server (где возможно).

Имя группы действий Description
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP Это событие появляется при изменении пароля для роли приложения. Эквивалентно Audit App Role Change Password Event Class.
AUDIT_CHANGE_GROUP Это событие возникает при каждом создании, изменении или удалении любого аудита. Это событие возникает при создании, изменении или удалении спецификации любого аудита. Аудит любых изменений в аудите производится в этом аудите. Эквивалентно Audit Change Audit Event Class.
BACKUP_RESTORE_GROUP Это событие вызывается командой резервного копирования или восстановления. Эквивалент класса событий Audit Backup и Restore.
BATCH_COMPLETED_GROUP; Это событие возникает каждый раз, когда завершается выполнение любой операции текстового пакета, хранимой процедуры или управления транзакциями. Он возникает после завершения пакета и будет проверять весь пакет или текст хранимой процедуры, как отправлено от клиента, включая результат. Добавлено в SQL Server 2019.
BATCH_STARTED_GROUP Это событие возникает каждый раз, когда начинается выполнение любой операции текстового пакета, хранимой процедуры или управления транзакциями. Он вызывается перед выполнением и будет проверять весь пакет или текст хранимой процедуры, как отправлено от клиента. Добавлено в SQL Server 2019.
DATABASE_CHANGE_GROUP Это событие вызывается при создании, изменении или удалении базы данных. Эквивалентно Audit Database Management Event Class.
DATABASE_LOGOUT_GROUP Это событие возникает при выходе пользователя автономной базы данных из базы данных.
DATABASE_OBJECT_ACCESS_GROUP Это событие вызывается каждый раз, когда производится доступ к сертификатам, асимметричным ключам и другим объектам базы данных. Эквивалентно Audit Database Object Access Event Class.
DATABASE_OBJECT_CHANGE_GROUP Это событие вызывается в тот момент, когда для объекта базы данных (например, для схемы) выполняется инструкция CREATE, ALTER или DROP. Эквивалентно Audit Database Object Management Event Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при изменении владельца объектов в области базы данных. Эквивалентно Audit Database Object Take Ownership Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает в тот момент, когда для объекта базы данных (например, сборки или схемы) выполняется инструкция GRANT, REVOKE или DENY. Эквивалентно Audit Database Object GDR Event Class.
DATABASE_OPERATION_GROUP Это событие вызывается при выполнении различных операций в базе данных, например при создании контрольной точки или уведомлении о запросе подписки. Эквивалентно Audit Database Operation Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUP Это событие вызывается при смене владельца базы данных инструкцией ALTER AUTHORIZATION в момент проверки разрешений на эту операцию. Эквивалентно Audit Change Database Owner Event Class.
DATABASE_PERMISSION_CHANGE_GROUP Это событие возникает всякий раз, когда выдается разрешение grant, REVOKE или DENY для разрешения на инструкцию любого пользователя в SQL Server для событий только для базы данных, таких как предоставление разрешений на базу данных. Эквивалентно Audit Database Scope GDR Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUP Это событие создается при создании, изменении или удалении из базы данных участников, таких как пользователи. Эквивалентно Audit Database Principal Management Event Class. Также эквивалентно классу событий Audit Add DB User, вызываемому устаревшими хранимыми процедурами sp_grantdbaccess, sp_revokedbaccess, sp_adduser и sp_dropuser.

Это событие возникает при создании или удалении роли базы данных с помощью устаревших хранимых процедур sp_addrole и sp_droprole. Эквивалентно Класс событий Audit Add Role.
DATABASE_PRINCIPAL_IMPERSONATION_GROUP Это событие возникает при наличии олицетворения в области базы данных, такой как пользователь> EXECUTE AS<. Эквивалентно Audit Database Principal Impersonation Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUP Это событие вызывается каждый раз, когда имя входа добавляется в роль базы данных или удаляется из нее. Этот класс событий используется с хранимыми процедурами sp_addrolemember, sp_changegroupи sp_droprolemember . Эквивалентен классу событий "Аудит добавления участника в роль базы данных"
DBCC_GROUP Это событие появляется при вызове участником любой команды DBCC. Эквивалентно Audit DBCC Event Class.
FAILED_DATABASE_AUTHENTICATION_GROUP. Указывает, что попытка участника войти в автономную базу данных завершилась ошибкой. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Вызывается событие.
SCHEMA_OBJECT_ACCESS_GROUP Это событие возникает при применении разрешения на объект в схеме. Эквивалентно Audit Schema Object Access Event Class.
SCHEMA_OBJECT_CHANGE_GROUP Это событие вызывается в момент выполнения для схемы операции CREATE, ALTER или DROP. Эквивалентно Audit Schema Object Management Event Class.

Это событие вызывается для объектов схемы. Эквивалентно Audit Object Derived Permission Event Class. Также эквивалентно Audit Statement Permission Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP Это событие возникает при проверке разрешений на смену владельца объекта схемы (таблицы, процедуры, функции и т. д.). Возникает, когда объекту назначается владелец при помощи инструкции ALTER AUTHORIZATION. Эквивалентно Audit Schema Object Take Ownership Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP Это событие возникает при вызове инструкции GRANT, REVOKE или DENY для объекта схемы. Эквивалентно Audit Schema Object GDR Event Class.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP; Указывает, что участник успешно выполнил вход в автономную базу данных.
USER_CHANGE_PASSWORD_GROUP Это событие возникает при изменении пароля пользователя автономной базы данных с помощью инструкции ALTER USER.
USER_DEFINED_AUDIT_GROUP Эта группа отслеживает события, создаваемые с помощью sp_audit_write (Transact-SQL).
LEDGER_OPERATION_GROUP Это событие создается для следующих действий ENABLE LEDGER . При создании новой таблицы реестра ALTER LEDGER — при удалении таблицы реестра и настройки ALTER LEDGER применяется к База данных SQL Azure.

Действия аудита уровня базы данных

Действия аудита уровня базы данных поддерживают аудит напрямую в базе данных, схеме или в объектах схемы, например в таблицах, представлениях, хранимых процедурах, функциях, расширенных хранимых процедурах, очередях, синонимах. Типы, коллекция схем XML, база данных и схема не проверяются. Аудит объектов схемы можно настроить в схеме и базе данных, что означает, что события для всех объектов схемы, содержащихся в указанной схеме или базе данных, будут проверены. В следующей таблице описываются действия аудита уровня базы данных.

Действие Description
SELECT Это событие возникает при вызове инструкции SELECT.
UPDATE Это событие возникает при вызове инструкции UPDATE.
ВСТАВИТЬ Это событие возникает при вызове инструкции INSERT.
DELETE Это событие возникает при вызове инструкции DELETE.
Выполнение  Это событие возникает при вызове инструкции EXECUTE.
ПРИЕМ Это событие возникает при вызове инструкции RECEIVE.
ССЫЛКИ Это событие возникает при проверке разрешения REFERENCES.

Рекомендации

  • Действия аудита на уровне базы данных не применяются к столбцам.

  • Если обработчик запросов параметризует запрос, параметр может отображаться в журнале событий аудита вместо значений столбца запроса.

Группы действий аудита уровня аудита

Также можно производить аудит действий, происходящих во время аудита. Это можно осуществлять как в области сервера, так и в области базы данных. В области базы данных это справедливо только для спецификаций аудита базы данных. В следующей таблице описываются группы действий аудита уровня аудита.

Имя группы действий Description
AUDIT_CHANGE_GROUP Это событие возникает всякий раз, когда выдается одна из следующих команд:

CREATE SERVER AUDIT
ALTER SERVER AUDIT
DROP SERVER AUDIT
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION