보안 로그에 SQL Server 감사 이벤트 쓰기

높은 보안 환경에서 Windows 보안 로그는 개체 액세스를 기록하는 이벤트를 작성하는 적절한 위치입니다. 다른 감사 위치는 지원되지만 변조될 수 있습니다.

Windows 보안 로그에 SQL Server 서버 감사를 작성하기 위한 두 가지 주요 요구 사항이 있습니다.

• 이벤트를 캡처하도록 감사 개체 액세스 설정을 구성해야 합니다. 감사 정책 도구(auditpol.exe)는 감사 개체 액세스 범주에 다양한 하위 정책 설정을 노출합니다. SQL Server에서 개체 액세스를 감사할 수 있도록 하려면 애플리케이션에서 생성된 설정을 구성합니다.

• SQL Server 서비스가 실행 중인 계정에는 Windows 보안 로그에 쓸 보안 감사 생성 권한이 있어야 합니다. 기본적으로 LOCAL SERVICE 및 NETWORK SERVICE 계정에는 이 권한이 있습니다. SQL Server가 해당 계정 중 하나에서 실행되는 경우에는 이 단계가 필요하지 않습니다.

Windows 감사 정책은 Windows 보안 로그에 쓰도록 구성된 경우 SQL Server 감사에 영향을 줄 수 있으며 감사 정책이 잘못 구성된 경우 이벤트가 손실될 수 있습니다. 일반적으로 Windows 보안 로그는 이전 이벤트를 덮어쓰도록 설정됩니다. 이렇게 하면 가장 최근 이벤트가 유지됩니다. 그러나 Windows 보안 로그가 이전 이벤트를 덮어쓰도록 설정되지 않은 경우 보안 로그가 가득 차면 시스템에서 Windows 이벤트 1104(로그가 가득 찼습니다)를 실행합니다. 그 시점에서

• 추가 보안 이벤트는 기록되지 않습니다.

• SQL Server는 시스템이 보안 로그에 이벤트를 기록할 수 없다는 것을 감지할 수 없으므로 감사 이벤트가 손실될 수 있습니다.

• 시스템 관리자가 보안 로그를 수정하면 로깅 동작이 정상으로 돌아옵니다.

이 항목에서

• 시작하기 전 주의 사항:

  제한 및 제약사항

  보안

• 보안 로그에 SQL Server 감사 이벤트를 쓰려면 다음을 수행합니다.

  auditpol을 사용하여 Windows에서 감사 개체 액세스 설정 구성

  secpol을 사용하여 Windows에서 감사 개체 액세스 설정 구성

  secpol을 사용하여 계정에 보안 감사 생성 권한 부여

시작하기 전에

한계 및 제한사항

SQL Server 컴퓨터의 관리자는 보안 로그에 대한 로컬 설정을 도메인 정책으로 덮어쓸 수 있음을 이해해야 합니다. 이 경우 도메인 정책은 하위 범주 설정(auditpol /get /subcategory:"application generated")을 덮어쓸 수 있습니다. 이는 SQL Server가 감사하려는 이벤트가 기록되지 않을 것임을 감지할 수 있는 방법 없이 이벤트를 기록하는 SQL Server 기능에 영향을 줄 수 있습니다.

안전

권한

이러한 설정을 구성하려면 Windows 관리자여야 합니다.

auditpol을 사용하여 Windows에서 감사 개체 액세스 설정을 구성하려면

1. 관리 사용 권한으로명령 프롬프트를 엽니다.

   1. 시작 메뉴에서 모든 프로그램을 가리키고, 보조 프로그램을 가리키고, 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

   2. 사용자 계정 컨트롤 대화 상자가 열리면 계속을 클릭합니다.

2. 다음 문을 실행하여 SQL Server에서 감사를 사용하도록 설정합니다.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
   

3. 명령 프롬프트 창을 닫습니다.

secpol을 사용하여 계정에 보안 감사 생성 권한을 부여하려면

1. Windows 운영 체제의 경우 시작 메뉴에서 실행을 클릭합니다.

2. secpol.msc를 입력한 다음 확인을 클릭합니다. 사용자 액세스 제어 대화 상자가 나타나면 [계속]을 클릭합니다.

3. 로컬 보안 정책 도구에서 보안 설정을 확장하고 로컬 정책을 확장한 다음 사용자 권한 할당을 클릭합니다.

4. 결과 창에서 보안 감사 생성을 두 번 클릭합니다.

5. 로컬 보안 설정 탭에서 사용자 또는 그룹 추가를 클릭합니다.

6. 사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 domain1\user1과 같은 사용자 계정의 이름을 입력한 다음 확인을 클릭하거나 고급을 클릭하고 계정을 검색합니다.

7. OK를 클릭합니다.

8. 보안 정책 도구를 닫습니다.

9. SQL Server를 다시 시작하여 이 설정을 사용하도록 설정합니다.

secpol을 사용하여 Windows에서 감사 개체 액세스 설정을 구성하려면

1. 운영 체제가 Windows Vista 또는 Windows Server 2008보다 이전인 경우 시작 메뉴에서 실행을 클릭합니다.

2. secpol.msc를 입력한 다음 확인을 클릭합니다. 사용자 액세스 제어 대화 상자가 나타나면 [계속]을 클릭합니다.

3. 로컬 보안 정책 도구에서 보안 설정을 확장하고 로컬 정책을 확장한 다음 감사 정책을 클릭합니다.

4. 결과 창에서 객체 액세스 감사를 두 번 클릭합니다.

5. 로컬 보안 설정 탭의 감사 시도 영역에서 성공 및 실패를 모두 선택합니다.

6. OK를 클릭합니다.

7. 보안 정책 도구를 닫습니다.

또한 참조하십시오

SQL Server Audit(데이터베이스 엔진)