Partilhar via

Criar uma auditoria de servidor e especificação de auditoria de servidor

Aplica-se a:SQL Server

Este tópico descreve como criar uma auditoria de servidor e uma especificação de auditoria de servidor no SQL Server usando o SQL Server Management Studio ou o Transact-SQL. Auditar uma instância do SQL Server ou uma base de dados do SQL Server envolve a monitorização e o registo de eventos que ocorrem no sistema. O objeto SQL Server Audit coleta uma única instância de ações no nível de servidor ou banco de dados e grupos de ações a serem monitoradas. A auditoria está no nível da instância do SQL Server. Você pode ter várias auditorias por instância do SQL Server. O objeto Server Audit Specification pertence a uma auditoria. Você pode criar uma especificação de auditoria de servidor por auditoria, porque ambas são criadas no escopo da instância do SQL Server. Para obter mais informações, consulte Auditoria do SQL Server (Mecanismo de Banco de Dados).

Neste tópico

Antes de começar

Limitações e Restrições

  • Uma auditoria deve existir antes de criar uma especificação de auditoria de servidor para ela. Quando uma especificação de auditoria de servidor é criada, ela está em um estado desativado.

  • A instrução CREATE SERVER AUDIT encontra-se no âmbito de uma transação. Se a transação for revertida, a instrução também será revertida.

Segurança

Permissões

  • Para criar, alterar ou eliminar uma auditoria de servidor, os principais exigem a permissão ALTER ANY SERVER AUDIT ou CONTROL SERVER.

  • Os usuários com a permissão ALTER ANY SERVER AUDIT podem criar especificações de auditoria do servidor e vinculá-las a qualquer auditoria.

  • Depois que uma especificação de auditoria de servidor é criada, ela pode ser visualizada por entidades com as permissões CONTROL SERVER ou ALTER ANY SERVER AUDIT, a conta sysadmin ou entidades com acesso explícito à auditoria.

Usando o SQL Server Management Studio

Para criar uma auditoria de servidor

  1. No Pesquisador de Objetos, expanda a pasta Security.

  2. Clique com o botão direito do rato na pasta Auditorias e selecione Nova Auditoria....

    As opções a seguir estão disponíveis na página Geral da caixa de diálogo Criar de Auditoria.

    Nome da auditoria
    O nome da auditoria. Isso é gerado automaticamente quando você cria uma nova auditoria, mas é editável.

    Atraso na fila (em milissegundos)
    Especifica a quantidade de tempo, em milissegundos, que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas. Um valor 0 indica entrega síncrona. O valor mínimo padrão é 1000 (1 segundo). O máximo é de 2.147.483.647 (2.147.483,647 segundos ou 24 dias, 20 horas, 31 minutos, 23,647 segundos).

    Falha no log de auditoria:
    Continuar
    As operações do SQL Server continuam. Os registos de auditoria não são conservados. A auditoria continua a tentar registrar eventos e será retomada se a condição de falha for resolvida. Selecionar a opção continuar pode permitir atividades não auditadas que podem violar suas políticas de segurança. Selecione essa opção quando continuar a operação do Mecanismo de Banco de Dados for mais importante do que manter uma auditoria completa. Esta é a seleção padrão.

    Desligue o servidor
    Força o desligamento do servidor quando a instância do servidor que grava no destino não consegue gravar dados para o destino de auditoria. O login que emite isso deve ter a permissão SHUTDOWN. Se o logon não tiver essa permissão, essa função falhará e uma mensagem de erro será gerada. Não ocorrem eventos auditados. Selecione esta opção quando uma falha de auditoria puder comprometer a segurança ou a integridade do sistema.

    Falha na operação
    Nos casos em que a Auditoria do SQL Server não consegue gravar no registo de auditoria, esta opção faz com que as ações de banco de dados falhem caso possam provocar eventos auditados. Não ocorrem eventos auditados. As ações que não causam eventos auditados podem continuar. A auditoria continua a tentar registrar eventos e será retomada se a condição de falha for resolvida. Selecione essa opção quando a manutenção de uma auditoria completa for mais importante do que o acesso total ao Mecanismo de Banco de Dados.

    Importante

    Quando a auditoria está em um estado de falha, a Conexão de Administrador Dedicado pode continuar a executar eventos auditados.

    Lista de de destino da auditoria
    Especifica o destino dos dados de auditoria. As opções disponíveis são um arquivo binário, o log de aplicativos do Windows ou o log de segurança do Windows. O SQL Server não pode gravar no log de Segurança do Windows sem definir configurações adicionais no Windows. Para obter mais informações, consulte Gravar Eventos de Auditoria do SQL Server no Log de Segurança.

    Caminho do arquivo
    Especifica o local da pasta onde os dados de auditoria são gravados quando o destino de Auditoria é um ficheiro.

    Elipse (...)
    Abre a caixa de diálogo Localizar pasta -server_name para especificar um caminho de arquivo ou criar uma pasta onde o arquivo de auditoria é gravado.

    Limite máximo do arquivo de auditoria :
    Máximo de arquivos de sobreposição
    Especifica que, quando o número máximo de arquivos de auditoria é atingido, os arquivos de auditoria mais antigos são substituídos pelo novo conteúdo do arquivo.

    Número máximo de ficheiros
    Especifica que, quando o número máximo de arquivos de auditoria for atingido, qualquer ação que faça com que eventos de auditoria adicionais sejam gerados falhará com um erro.

    caixa de seleção ilimitado
    Quando a caixa de seleção Ilimitado sob Número máximo de ficheiros de substituição estiver marcada, não há limite imposto ao número de ficheiros de auditoria que serão criados. A caixa de seleção ilimitado é marcada por padrão e aplica-se tanto à opção Número máximo de arquivos de substituição como à opção Número máximo de arquivos.

    Número de ficheiros caixa
    Especifica o número de arquivos de auditoria a serem criados, até 2.147.483.647. Esta opção só está disponível se Ilimitado estiver desmarcado.

    Tamanho máximo do ficheiro
    Especifica o tamanho máximo de um arquivo de auditoria em megabytes (MB), gigabytes (GB) ou terabytes (TB). Você pode especificar um número de até 2.147.483.647 TB. Marcar a caixa de seleção Ilimitado não coloca um limite no tamanho do arquivo. A caixa de seleção ilimitado está marcada por padrão.

    Reservar espaço em disco caixa de seleção
    Especifica que o espaço é pré-alocado no disco igual ao tamanho máximo de arquivo especificado. Essa configuração só poderá ser usada se a caixa de seleção Unlimited em tamanho máximo de arquivo não estiver marcada. Esta caixa de seleção não está marcada por padrão.

  3. Opcionalmente, na página de filtro , insira um predicado ou uma cláusula WHERE para a auditoria do servidor, a fim de especificar opções adicionais não disponíveis na página geral . Coloque o predicado entre parênteses; por exemplo: (object_name = 'EmployeesTable').

  4. Quando terminar de selecionar as opções, clique em OK.

Para criar uma especificação de auditoria de servidor

  1. No Explorador de Objetos, clique no sinal de adição para expandir a pasta Segurança.

  2. Clique com o botão direito do rato na pasta Server Audit Specifications e selecione Nova Especificação de Auditoria de Servidor....

    As opções a seguir estão disponíveis na caixa de diálogo Criar especificação de auditoria do servidor.

    Nome
    O nome da especificação de auditoria do servidor. Isso é gerado automaticamente quando você cria uma nova especificação de auditoria do servidor, mas é editável.

    Auditoria
    O nome de uma auditoria de servidor existente. Digite o nome da auditoria ou selecione-o na lista.

    Tipo de ação de auditoria
    Especifica os grupos de ações de auditoria no nível do servidor e as ações de auditoria a serem capturadas. Para obter a lista de grupos de ações de auditoria no nível de servidor e ações de auditoria e uma descrição dos eventos que eles contêm, consulte SQL Server Audit Action Groups and Actions.

    Esquema de objeto
    Exibe o esquema para o Nome do objeto especificado .

    Nome do objeto
    O nome do objeto a ser auditado. Isso só está disponível para ações de auditoria; não se aplica aos grupos de auditoria.

    Elipse (...)
    Abre a caixa de diálogo Selecionar Objetos para procurar e selecionar um objeto disponível, com base no Tipo de Ação de Auditoria especificado.

    Nome principal
    A conta pela qual filtrar a auditoria para o objeto que está sendo auditado.

    Elipse (...)
    Abre a caixa de diálogo Selecionar Objetos para procurar e selecionar um objeto disponível, com base no Nome do Objeto especificado.

  3. Quando terminar, clique em OK.

Usando Transact-SQL

Para criar uma auditoria de servidor

  1. No Pesquisador de Objetos , conecte-se a uma instância do Mecanismo de Banco de Dados.

  2. Na barra Padrão, clique em Nova Consulta.

  3. Copie e cole o exemplo a seguir na janela de consulta e clique em Executar.

    -- Creates a server audit called "HIPAA_Audit" with a binary file as the target and no options.  
CREATE SERVER AUDIT HIPAA_Audit  
    TO FILE ( FILEPATH ='E:\SQLAudit\' );

Observação

Mesmo que você possa usar um caminho UNC como o destino do arquivo de auditoria, tenha cuidado. Se houver latência de rede para esse compartilhamento de arquivos, você pode experimentar degradação de desempenho no SQL Server, pois os threads estariam aguardando a conclusão de uma gravação de auditoria antes de prosseguir. Você pode observar várias mensagens de erro no log de erros do SQL Server, como 17894:

2020-02-07 12:21:35.100 Server Dispatcher (0x7954) do pool de dispatcher 'XE Engine main dispatcher pool' O trabalhador 0x00000058E7300000 parece não estar processando no Nó 0.

Para criar uma especificação de auditoria de servidor

  1. No Pesquisador de Objetos , conecte-se a uma instância do Mecanismo de Banco de Dados.

  2. Na barra padrão, clique em Nova Consulta.

  3. Copie e cole o exemplo a seguir na janela de consulta e clique em Executar.

    /*Creates a server audit specification called "HIPAA_Audit_Specification" that audits failed logins for the SQL Server audit "HIPAA_Audit" created above.  
*/  

CREATE SERVER AUDIT SPECIFICATION HIPAA_Audit_Specification  
FOR SERVER AUDIT HIPAA_Audit  
    ADD (FAILED_LOGIN_GROUP);  
GO  
-- Enables the audit.   

ALTER SERVER AUDIT HIPAA_Audit  
WITH (STATE = ON);  
GO

Para obter mais informações, consulte CREATE SERVER AUDIT (Transact-SQL) e CREATE SERVER AUDIT SPECIFICATION (Transact-SQL).