Udostępnij za pośrednictwem

  • Artykuł

How to: Write Server Audit Events to the Security Log

W środowisku wysokiego poziomu zabezpieczeń w dzienniku zabezpieczeń systemu Windows jest odpowiednią lokalizację do zapisania zdarzenia dostępu do tego rekordu obiektu.Inne lokalizacje inspekcji są obsługiwane, ale są podlegających manipulacjom.

Istnieją dwa klucz wymagania dotyczące pisania SQL Server Serwer inspekcji w dzienniku zabezpieczeń systemu Windows:

  • Ustawianie dostępu do obiektów inspekcji należy tak skonfigurować, aby przechwytywać zdarzenia.Najlepszym sposobem, w tym celu może się różnić w zależności od używanego systemu operacyjnego.

    • W Windows Vista i Windows Server 2008, należy użyć (narzędzie Zasady inspekcjiauditpol.exe). Program zasad inspekcji udostępnia różne ustawienia sub-policies Inspekcja dostępu do obiektów kategorii.Aby zezwolić na SQL Server Aby prowadzić inspekcję dostępu do obiektów, należy skonfigurować generowane aplikacji ustawienie.

    • We wcześniejszych wersjach systemu Windows narzędzie Zasady inspekcji nie jest dostępna.Za pomocą zasad zabezpieczeń przystawki (secpol.msc) zamiast niego. Jeśli to możliwe, zasad inspekcji jest preferowany, ponieważ można konfigurować bardziej szczegółowe ustawienia.

  • Konto, SQL Server Usługa jest uruchomiona w musi mieć Generowanie inspekcji zabezpieczeń uprawnień do zapisu w dzienniku zabezpieczeń systemu Windows.Domyślnie usługa lokalnej i kont usług w sieci mają to uprawnienie.Ten krok nie jest wymagany, jeżeli SQL Server jest uruchomiona w ramach jednego z tych kont.

Zasady inspekcji systemu Windows może mieć wpływ na SQL Server Inspekcja, jeśli jest ono skonfigurowane do zapisu w dzienniku zabezpieczeń systemu Windows, o możliwości utraty zdarzenia, jeśli zasady inspekcji jest niepoprawnie skonfigurowany. Zazwyczaj w dzienniku zabezpieczeń systemu Windows jest ustawiona na Zastąp zdarzenia starsze.Pozwala to zachować ostatnich zdarzeń.Jednak jeśli w dzienniku zabezpieczeń systemu Windows nie jest ustawiona na Zastąp zdarzenie starsze, następnie jeśli dziennik zabezpieczeń jest pełny, system wystawia zdarzeń systemu Windows 1104 (dziennik jest zapełniony).W tym punkcie:

  • Będą rejestrowane żadne dalsze zdarzenia zabezpieczeń

  • SQL Server nie będą mogli wykrywać że system nie będzie mógł rejestrować zdarzenia w dzienniku zabezpieczeń, co utratę zdarzenia inspekcji

  • Po polu dziennik zabezpieczeń rozwiązuje administratora zachowanie rejestrowania powróci do normalnego.

Administratorzy SQL Server komputer powinien wiedzieć, że ustawień lokalnych w dzienniku zabezpieczeń mogą zostać zastąpione przez zasady domena. W takim wypadku zasady domena może zastąpić (ustawienie podkategoriiauditpol /subcategory/Get: "generowane aplikacji").Może to wpłynąć na SQL Server możliwość rejestrowania zdarzeń bez potrzeby sposobem wykrył, że zdarzenia, SQL Server jest próba inspekcji nie będą rejestrowane.

Musisz być administratorem systemu Windows, aby skonfigurować te ustawienia.

Aby skonfigurować ustawienia w systemie Windows za pomocą auditpol dostępu do obiektów inspekcji

  1. Jeśli system operacyjny Windows Vista lub Windows Server 2008, otwórz wiersz polecenia z uprawnieniami administracyjnymi.

    1. Na Rozpocznij wskaż menuWszystkie programy, point to Akcesoria, kliknij prawym przyciskiem myszy Wiersz polecenia, a następnie kliknij przycisk Uruchom jako administrator.

    2. Jeśli Kontrola konta użytkownika Otwiera okno dialogowe , kliknij przycisk W dalszym ciągu.

  2. Wykonać następującą instrukcję, aby włączyć inspekcję z SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Zamknij okno wiersz polecenia.

    To ustawienie zostanie uwzględnione natychmiast.

Aby skonfigurować ustawienia w systemie Windows za pomocą secpol dostępu do obiektów inspekcji

  1. Jeśli system operacyjny jest wcześniejsza niż Windows Vista lub Windows Server 2008, na Rozpocznij menu kliknijUruchamianie.

  2. Typ secpol.msc , a następnie kliknij przycisk OK.Jeśli Kontrola dostępu użytkownika Kliknij, zostanie wyświetlone okno dialogowe W dalszym ciągu.

  3. Za pomocą narzędzie Zasady zabezpieczeń lokalnych rozwiń węzeł Ustawienia zabezpieczeń, expand Zasady lokalne, a następnie kliknij przycisk Zasady inspekcji.

  4. W okienku wyniki kliknij dwukrotnie Inspekcja dostępu do obiektów.

  5. Na Ustawianie zabezpieczeń lokalnych karcie w Inspekcji tych prób obszaru, zaznacz obie SUKCES and Błąd.

  6. Click OK.

  7. Zamknij narzędzie zasady zabezpieczeń.

    To ustawienie zostanie uwzględnione natychmiast.

Aby udzielić generują uprawnień do konta przy użyciu secpol inspekcji zabezpieczeń

  1. Dla dowolnego systemu Windows, działających w systemie, Rozpocznij menu kliknijUruchamianie.

  2. Typ secpol.msc , a następnie kliknij przycisk OK.Jeśli Kontrola dostępu użytkownika Kliknij, zostanie wyświetlone okno dialogowe W dalszym ciągu.

  3. Za pomocą narzędzie Zasady zabezpieczeń lokalnych rozwiń węzeł Ustawienia zabezpieczeń, expand Zasady lokalne, a następnie kliknij przycisk Przypisywanie praw użytkownika.

  4. W okienku wyniki kliknij dwukrotnie Generowanie inspekcji zabezpieczeń.

  5. Na Ustawianie zabezpieczeń lokalnych karcie, kliknij przycisk Dodawanie użytkownika lub grupy.

  6. W Wybierz użytkowników, komputery lub grupy -okno dialogowe, albo wpisz nazwę użytkownika konta, na przykład domain1\user1, a następnie kliknij przycisk OK, or click Zaawansowane i wyszukiwania dla konta.

  7. Click OK.

  8. Zamknij narzędzie zasady zabezpieczeń.

    To ustawienie ma wpływ, kiedy SQL Server ponownego uruchomienia.