Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server Управляемый экземпляр SQL Azure
Аудит экземпляра СУБД Microsoft SQL Server или отдельной базы данных включает в себя отслеживание и журналирование событий, происходящих в СУБД. Подсистема аудита SQL Server позволяет проводить аудит сервера, который может предусматривать спецификации аудита серверов для событий на уровне сервера и спецификации аудита баз данных для событий на уровне базы данных. События аудита могут записываться в журналы событий или файлы аудита.
Внимание
В Управляемом экземпляре SQL Azure эта функция T-SQL имеет определенные изменения в поведении. Подробные сведения обо всех изменениях поведения T-SQL см. в статье Различия T-SQL между Управляемым экземпляром SQL Azure и SQL Server.
Для SQL Server есть несколько уровней аудита в зависимости от нормативных или стандартных требований для вашей установки. Подсистема аудита SQL Server предоставляет средства и процессы, необходимые для включения, хранения и просмотра аудитов на различных объектах серверов и баз данных.
Группы действий аудита сервера можно записывать по отдельному экземпляру, а группы действий аудита базы данных или действия аудита базы данных — для каждой базы данных. Событие аудита возникает при каждом обнаружении действия, допускающего аудит.
Все выпуски SQL Server поддерживают аудиты на уровне сервера. В SQL Server 2016 (13.x) с пакетом обновления 1 и более поздними версиями все выпуски поддерживают аудит на уровне базы данных. Перед этим аудит на уровне базы данных был ограничен выпусками Enterprise, Developer и Evaluation. Дополнительные сведения см. в выпусках и поддерживаемых функциях SQL Server 2016.
Примечание.
Эта статья относится к SQL Server. См. аудит базы данных Azure SQL и Azure Synapse Analytics.
Компоненты аудита SQL Server
Аудит — это сочетание в едином пакете нескольких элементов для определенной группы действий сервера или базы данных. Компоненты аудита SQL Server объединяются для создания выходных данных, которые называются аудитом, так же, как определение отчета в сочетании с графическими элементами и элементами данных создает отчет.
Аудит SQL Server использует расширенные события для создания аудита. Дополнительные сведения о расширенных событиях см. в обзоре расширенных событий.
Аудит SQL Server
Объект Подсистема аудита SQL Server объединяет отдельные экземпляры действий или групп действий уровня сервера или базы данных, за которыми нужно проводить наблюдение. Аудит выполняется на уровне экземпляра SQL Server. Для каждого экземпляра SQL Server можно выполнить несколько аудитов.
При определении аудита задается место для вывода результатов. Это пункт назначения аудита. Аудит создается в отключенном состоянии и не выполняет автоматический аудит каких-либо действий. После включения аудита пункт назначения аудита начинает получать от него данные.
Спецификация аудита сервера
Объект Спецификация аудита сервера принадлежит аудиту. Вы можете создать только одну спецификацию аудита сервера на каждый аудит, поскольку оба создаются в контексте экземпляра SQL Server.
Спецификация аудита сервера собирает множество групп действий уровня сервера, вызываемых компонентом расширенных событий. В спецификацию аудита сервера можно включить группы действий аудита . Группы действий аудита — это предопределенные группы операций, которые являются атомарными событиями, происходящими в ядре СУБД. Эти действия передаются аудиту, который регистрирует их в целевом объекте.
Группы действий аудита на уровне сервера описаны в статье группы действий аудита SQL Server и действия.
Примечание.
Из-за ограничений производительности мы не проверяем tempdb и временные таблицы. Хотя пакетная завершенная группа действий фиксирует инструкции во временных таблицах, они могут неправильно заполнять имена объектов. Однако исходная таблица всегда проверяется, обеспечивая запись всех вставок из исходной таблицы во временные таблицы.
Спецификация аудита базы данных
Объект спецификации аудита базы данных также принадлежит аудиту SQL Server. Для аудита вы можете создать одну спецификацию аудита базы данных для каждой базы данных SQL Server.
Спецификация аудита базы данных включает действия аудита уровня базы данных, вызываемые компонентом расширенных событий. В спецификацию аудита базы данных можно добавлять либо группы действий аудита, либо события аудита. События аудита — это атомарные действия, которые могут быть проверены подсистемой SQL Server. Группы действий аудита — это стандартные группы действий. Оба находятся в пределах базы данных SQL Server. Эти действия передаются аудиту, который регистрирует их в целевом объекте. Не включать объекты с областью действия сервера, например системные представления, в спецификацию аудита пользовательской базы данных.
Группы действий аудита на уровне базы данных и действия аудита описаны в статье группы действий и действия аудита SQL Server.
Цель
Результаты аудита отправляются цели, которая может быть файлом, журналом событий безопасности Windows или журналом событий приложений Windows. Журналы должны периодически проверяться и архивироваться, чтобы убедиться, что целевой объект имеет достаточно места для записи дополнительных записей.
Внимание
Любой прошедший проверку пользователь может осуществлять чтение и запись в журнале событий приложений. Для работы с журналом событий приложений необходимо меньше разрешений, чем для работы с журналом событий безопасности Windows; журнал событий приложений менее защищен, чем журнал событий безопасности Windows.
Запись в журнал безопасности Windows требует добавления учетной записи службы SQL Server в политику Создание аудитов безопасности. По умолчанию в эту политику входят учетные записи «Локальная система», «Локальная служба» и «Сетевая служба». Этот параметр можно настроить с помощью оснастки политики безопасности (secpol.msc). Кроме того, политика безопасности Аудит доступа к объектам должна быть включена для регистрации как успешных , так и неуспешныхдействий. Этот параметр можно настроить с помощью оснастки политики безопасности (secpol.msc). В Windows Vista или Windows Server 2008 (и более поздних версиях) можно задать более детализированную политику, созданную в командной строке, с помощью программы политики аудита (AuditPol.exe). Дополнительные сведения о действиях, позволяющих записывать данные в журнал безопасности Windows, см. в разделе "Запись событий аудита SQL Server" в журнал безопасности. Дополнительные сведения о программе Auditpol.exe см. в статье базы знаний 921469 Использование групповой политики для детальной настройки аудита безопасности. Журналы событий Windows являются глобальными для операционной системы Windows. Дополнительные сведения о журналах событий Windows см. в разделе Общие сведения о средстве просмотра событий. Если вам нужны более точные разрешения для аудита, используйте двоичный файл в качестве цели.
При сохранении сведений аудита в файл, чтобы предотвратить изменение, вы можете ограничить доступ к расположению файла следующими способами:
Учетная запись службы SQL Server должна иметь разрешение на чтение и запись.
Администраторам аудита обычно требуется разрешение на чтение и запись. Здесь подразумевается, что администраторы аудита — это учетные записи Windows, предназначенные для администрирования файлов аудита, в том числе копирования их в другие общие папки, резервного копирования и других операций.
Читатели аудита, которым разрешено читать аудиторские файлы, должны иметь разрешение на чтение.
Даже если ядро СУБД записывается в файл, другие пользователи Windows могут считывать файл аудита, если у них есть разрешение. Ядро СУБД не принимает монопольную блокировку, которая предотвращает операции чтения.
Поскольку СУБД может получить доступ к файлу, учетные записи SQL Server при наличии CONTROL SERVER разрешения могут использовать СУБД для доступа к аудиторским файлам. Чтобы зарегистрировать каждого пользователя, который считывает файл аудита, настройте аудит на master.sys.fn_get_audit_file. В этой записи фиксируются входы с разрешением CONTROL SERVER, которые получили доступ к файлу аудита с помощью SQL Server.
Если администратор аудита копирует файл в другое расположение (для архивных целей и т. д.), списки управления доступом (ACL) в новом расположении должны быть сокращены до следующих разрешений:
- Администратор аудита — чтение и запись
- Просмотрщик аудита — только для чтения.
Рекомендуется создавать отчеты аудита из отдельного экземпляра SQL Server, например, экземпляра SQL Server Express, к которому имеют доступ только администраторы аудита или читатели аудита. Используя отдельный экземпляр ядро СУБД для создания отчетов, вы можете предотвратить доступ несанкционированных пользователей к записи аудита.
Вы можете обеспечить дополнительную защиту от несанкционированного доступа, зашифровав папку, в которой хранится файл аудита с помощью шифрования диска Windows BitLocker или файловой системы Windows Encrypting.
Для получения дополнительной информации о записях аудита, записываемых в целевой объект, см. раздел Записи подсистемы аудита SQL Server.
Общие сведения об использовании аудита SQL Server
Для определения аудита можно использовать SQL Server Management Studio или Transact-SQL. После создания и включения аудита целевой объект получает записи.
Просматривать журналы событий Windows можно с помощью программы Средство просмотра событий в Windows. Для целевых объектов файлов можно использовать средство просмотра файлов журнала в SQL Server Management Studio или функцию fn_get_audit_file для чтения целевого файла.
Обычно процесс создания и использования аудита происходит следующим образом.
- Создайте аудит и определите цель.
- Создайте либо спецификацию аудита сервера, либо спецификацию аудита базы данных, которая связана с аудитом. Включить спецификацию аудита.
- Включите аудит.
- Чтите события аудита с помощью средства просмотра событий Windows, просмотра файлов журнала или функции
fn_get_audit_file.
Дополнительные сведения см. в разделе "Создание спецификации аудита сервера и аудита сервера" и"Создание спецификации аудита сервера" и "Аудит базы данных".
Рекомендации
В случае сбоя во время запуска аудита сервер не запускается. В этом случае сервер можно запустить с помощью -f параметра в командной строке.
Когда сбой аудита приводит к остановке сервера или его невозможности запуска из-за того, что для аудита указан параметр ON_FAILURE = SHUTDOWN, событие MSG_AUDIT_FORCED_SHUTDOWN записывается в журнал. Так как завершение работы происходит при первом обнаружении этого параметра, событие записывается один раз. Это событие записывается после получения сообщения об ошибке, означающего, что аудит вызвал отключение. Администратор может обойти завершение работы, вызванное аудитом, путем запуска SQL Server в режиме отдельного пользователя с помощью флага -m . Если вы начнете в режиме одного пользователя, то любые аудиты, где указано ON_FAILURE = SHUTDOWN для выполнения в этой сессии, будут понижены до уровня ON_FAILURE = CONTINUE. При запуске SQL Server с флагом -mMSG_AUDIT_SHUTDOWN_BYPASSED сообщение записывается в журнал ошибок.
Дополнительные сведения о параметрах запуска службы см. в разделе "Параметры запуска службы ядра СУБД".
Присоедините базу данных с заданным аудитом
Присоединение базы данных с спецификацией аудита и указание GUID, который не существует на сервере, приводит к осиротевшей спецификации аудита. Поскольку аудит с соответствующим идентификатором GUID не существует на экземпляре сервера, события аудита не записываются. Чтобы исправить эту ситуацию, используйте команду ALTER DATABASE AUDIT SPECIFICATION для подключения потерянной спецификации аудита к существующему аудиту сервера. Также используйте CREATE SERVER AUDIT команду для создания нового аудита сервера с указанным ИДЕНТИФИКАТОРом GUID.
Вы можете подключить базу данных с спецификацией аудита, определенной в другом выпуске SQL Server, который не поддерживает аудит SQL Server, например SQL Server Express, но не записывает события аудита.
Зеркалирование базы данных и аудит SQL Server
База данных с определенной спецификацией аудита базы данных, которая использует зеркальное отображение базы данных, включает спецификацию аудита базы данных. Для правильной работы на зеркальном экземпляре SQL необходимо выполнить настройку следующих элементов.
Чтобы спецификация аудита базы данных могла создавать записи аудита, на зеркальном сервере должен присутствовать аудит с тем же идентификатором GUID. Это можно настроить с помощью команды
CREATE AUDIT WITH GUID = <guid-from-source-server-audit>.При использовании в качестве цели двоичного файла учетная запись службы зеркального сервера должна обладать необходимыми разрешениями на место назначения, куда производится запись аудиторского следа.
Для целевых объектов журнала событий Windows политика безопасности на компьютере, на котором находится зеркальный сервер, должна разрешать доступ учетной записи службы к журналу событий безопасности или приложения.
Аудит администраторов
Члены предопределенной роли сервера sysadmin определены как пользователь dbo в каждой базе данных. Действия администраторов можно проверить, аудируя действия пользователя dbo.
Создание аудита и управление ими с помощью Transact-SQL
Для реализации всех аспектов аудита SQL Server можно использовать инструкции DDL, динамические административные представления и функции и представления каталога.
Операторы языка определения данных
Чтобы создать, изменить или удалить спецификацию аудита, можно использовать следующие инструкции DDL.
| Инструкции DDL | Описание |
|---|---|
| ИЗМЕНИТЬ АВТОРИЗАЦИЮ | Изменяет владельца защищаемого объекта. |
| ИЗМЕНИТЬ СПЕЦИФИКАЦИЮ АУДИТА БАЗЫ ДАННЫХ | Изменяет объект спецификации аудита базы данных с помощью компонента аудита SQL Server. |
| Изменение аудита сервера | Изменяет объект аудита сервера с помощью компонента аудита SQL Server. |
| ИЗМЕНИТЬ СПЕЦИФИКАЦИЮ АУДИТА СЕРВЕРА | Изменяет объект спецификации аудита сервера с помощью компонента аудита SQL Server. |
| СОЗДАТЬ СПЕЦИФИКАЦИЮ АУДИТА БАЗЫ ДАННЫХ | Создает объект спецификации аудита базы данных с помощью компонента аудита SQL Server. |
| СОЗДАЙТЕ АУДИТ СЕРВЕРА | Создает объект аудита сервера с помощью компонента аудита SQL Server. |
| СОЗДАТЬ СПЕЦИФИКАЦИЮ АУДИТА СЕРВЕРА | Создает объект спецификации аудита сервера с помощью компонента аудита SQL Server. |
| УДАЛЕНИЕ СПЕЦИФИКАЦИИ АУДИТА БАЗЫ ДАННЫХ | Удаляет объект спецификации аудита базы данных с помощью компонента аудита SQL Server. |
| DROP SERVER AUDIT | Удаляет объект аудита сервера с использованием подсистемы аудита SQL Server. |
| УДАЛИТЬ СПЕЦИФИКАЦИЮ АУДИТА СЕРВЕРА | Удаляет объект спецификации аудита сервера с помощью компонента аудита SQL Server. |
Динамические представления и функции
В следующей таблице перечислены динамические представления и функции, которые можно использовать для аудита SQL Server.
| Динамические представления и функции | Описание |
|---|---|
| sys.dm_audit_actions | Возвращает строку для каждого действия аудита, которое может быть зарегистрировано в журнале аудита, и каждой группы действий аудита, которую можно настроить в рамках аудита SQL Server. |
| sys.dm_server_audit_status | Предоставляет сведения о текущем состоянии аудита. |
| sys.dm_audit_class_type_map | Возвращает таблицу, которая сопоставляет поле class_type в журнале аудита с полем class_desc в sys.dm_audit_actions. |
| fn_get_audit_file | Возвращает сведения из файла аудита, созданного в результате аудита сервера. |
Представления каталога
В следующей таблице перечислены представления каталога, которые можно использовать для аудита SQL Server.
| Представления каталога | Описание |
|---|---|
| sys.database_audit_specifications | Содержит информацию о спецификациях аудита базы данных в SQL Server на экземпляре сервера. |
| sys.database_audit_specification_details - детали спецификации аудита базы данных | Содержит сведения о спецификациях аудита базы данных в аудите SQL Server на экземпляре сервера для всех баз данных. |
| sys.server_audits (аудиты серверов) | Содержит одну строку для каждого аудита SQL Server в экземпляре сервера. |
| sys.server_audit_specifications | Содержит сведения о спецификациях аудита сервера в подсистеме аудита SQL Server на экземпляре сервера. |
| sys.server_audit_specifications_details | Содержит информацию о деталях спецификации аудита сервера и действиях в аудите SQL Server на экземпляре сервера. |
| sys.server_file_audits | Содержит расширенные сведения о типе проверки файлов в аудите SQL Server на экземпляре сервера. |
Разрешения
Каждая функция и команда аудита SQL Server имеют отдельные требования к разрешениям.
Чтобы создать, изменить или удалить аудит сервера или спецификацию аудита сервера, принципы сервера должны иметь разрешение ALTER ANY SERVER AUDIT или CONTROL SERVER. Чтобы создать, изменить или удалить спецификацию аудита базы данных, субъекты базы данных должны иметь ALTER ANY DATABASE AUDIT разрешение или ALTER или CONTROL разрешение на базу данных. Кроме того, руководители должны иметь разрешение на подключение к базе данных или разрешения ALTER ANY SERVER AUDIT или CONTROL SERVER.
Разрешение VIEW ANY DEFINITION предоставляет доступ к просмотру представлений аудита на уровне сервера и VIEW DEFINITION предоставляет доступ к просмотру представлений аудита на уровне базы данных. Отказ этих разрешений переопределяет возможность просмотра представлений каталога, даже если у субъекта имеются ALTER ANY SERVER AUDIT или ALTER ANY DATABASE AUDIT разрешения.
Дополнительные сведения о предоставлении прав и разрешений см. в разделе GRANT.
Внимание
Субъекты в роли sysadmin могут изменить любой компонент аудита, а субъекты в роли db_owner могут изменить спецификации аудита в базе данных. Аудит SQL Server проверяет, что логин, создающий или изменяющий спецификацию аудита, имеет как минимум разрешение ALTER ANY DATABASE AUDIT. Однако при присоединении базы данных проверка не производится. Предполагается, что все спецификации аудита базы данных являются надежными только в той степени, насколько надежны субъекты с полномочиями роли sysadmin или db_owner.
Связанные задачи
- Создание аудита сервера и спецификации аудита сервера
- Создание спецификации аудита сервера и аудита базы данных
- Просмотр журнала подсистемы аудита SQL Server
- Запись событий аудита SQL Server в журнал безопасности
Статьи, связанные с аудитом
| Статья | Описание |
|---|---|
| Свойства сервера — страница безопасности | Описание включения аудита входа для SQL Server. Записи аудита хранятся в журнале приложений Windows. |
| Конфигурация сервера: режим аудита c2 | Объясняет режим аудита соответствия безопасности C2 в SQL Server. |
| Категория событий Аудита Безопасности (приложение SQL Server Profiler) | Объясняет события аудита, которые можно использовать в SQL Server Profiler. Дополнительные сведения см. в разделе SQL Server Profiler. |
| Трассировка SQL | Рассказывает о том, как можно использовать трассировку SQL в ваших собственных приложениях для создания трасс вручную, а не с помощью SQL Server Profiler. |
| Триггеры DDL | Объясняется, как можно использовать триггеры языка DDL для отслеживания изменения в базах данных. |
| Microsoft TechNet, технический центр SQL Server: "SQL Server 2005 — безопасность и защита" | Предоставляет актуальные сведения о безопасности SQL Server. |