Aracılığıyla paylaş

  • Makale

SQL Server denetim anlama

Denetim bir örnek , SQL Server veya bir SQL Server veritabanı içerir izleme ve günlüğe kaydetme, olayları oluşan sistem.Denetleme için birkaç yöntem kullanabilirsiniz SQL Servergibi anlatılan, Denetim (veritabanı altyapısı).İçinde başlayan SQL Server 2008 Enterprise, de küme kullanarak otomatik denetim kurma SQL Server Denetim.

Denetim için birden fazla düzeyi vardır SQL Server, bağlı, devlet veya standartları gereksinimlerini yükleme.SQL Server Denetim araçları ve işlemleri etkinleştirmek, depolamak ve denetimleri çeşitli sunucu ve veritabanı nesneleri görüntülemek için olmalıdır sağlar.

Sunucu denetim eylem grupları her örnek, veritabanı denetim eylem grupları veya veritabanı başına database denetim eylemleri kaydedebilir.Denetim olay denetlenebilir eylem karşılaşılan her saat ortaya çıkar.

sql Server denetim bileşenleri

Bir Denetim birkaç öğeleri tek bir paket sunucu eylemleri veya veritabanı eylemleri belirli bir grubun birleşimidir.Bileşenleri SQL Server Denetim birleştiren bir denetim adlı bir çıktı üretmek için olduğu gibi bir rapor tanımı grafik ve veri öğeleri ile birleştiğinde üreten bir rapor.

SQL ServerKullandığı denetleme Genişletilmiş olayları denetim oluşturmaya yardımcı olmak için.Genişletilmiş olayları hakkında daha fazla bilgi için bkz: Olayları genişletilmiş SQL Server ile tanışın.

sql Server Denetim

The SQL Server Audit object collects a single instance of server or database-level actions and groups of actions to monitor.Denetim alır SQL Server örnek düzey.Başına birden fazla denetimleri olabilir SQL Server örnek.

Bir denetim tanımladığınızda, sonuçlar çıkış konumunu belirtin.Denetim hedef budur.Denetim içinde oluşturulan bir devre dışı durumu ve otomatik olarak herhangi bir eylem denetlemek değil.Denetim etkinleştirildikten sonra Denetim hedef denetim veriyi alır.

Sunucu denetim belirtimi

The Server Audit Specification object belongs to an audit.Her ikisi de en çünkü denetim, her bir sunucu denetim belirtimi oluşturmak SQL Server örnek kapsam.

Sunucu denetim belirtimi birçok sunucu - toplardüzey eylem grupları olayları genişletilmiş özelliği tarafından oluşturuldu.Dahil edebilirsiniz Denetim eylem grupları bir sunucu denetim belirtimi.Denetim eylem grupları önceden tanımlı gruplar Atomik olayların içinde gerçekleşen eylemleri olan Veritabanı Altyapısı.Bu eylemleri onları hedef kaydeden denetim gönderilir.

Server -düzey denetim eylem grupları aşağıdaki konuda açıklanan SQL Server denetim eylem grupları ve Eylemler.

Veritabanı denetim belirtimi

The Database Audit Specification object also belongs to a SQL Server audit.Her bir veritabanı denetim belirtimi oluşturmak SQL Server veritabanı başına denetim.

Veritabanı denetim belirtimi veritabanı - toplardüzey olayları genişletilmiş özelliği tarafından harekete geçirilen eylemleri denetleme.Veritabanı denetim belirtimi olaylarını ya da ya da Denetim eylem grupları ekleyin.Denetim olayları tarafından denetlenen Atomik eylemlerdir SQL Server motoru.Denetim eylem grupları önceden tanımlanmış eylemler gruplarıdır.Her ikisi de etkilenir SQL Server veritabanı kapsam.Bu eylemleri onları hedef kaydeden denetim gönderilir.

Veritabanı -düzey denetim eylem grupları ve eylemler Denetim konusunda açıklanmıştır SQL Server denetim eylem grupları ve Eylemler.

Hedef

Denetim sonuçlarnı gönderilen bir hedef, hangi dosya, Windows Güvenlik olay günlüğüne veya Windows uygulama olay günlüğüne olabilir.(Güvenlik günlüğüne yazma Windows XP'de kullanılamaz.) Günlükleri incelenmeli ve hedef ek kayıtlar yazmak için yeterli boş alan olduğundan emin olmak için düzenli olarak arşivlendi.

Önemli notÖnemli

Kimliği doğrulanmış herhangi bir kullanıcı, okuyun ve Windows uygulama olay günlüğüne yaz.Uygulama olay günlüğüne Windows Güvenlik olay günlüğüne daha düşük izinler gerektirir ve Windows Güvenlik olay günlüğüne az güvenlidir.

Günlük yazma Windows Güvenlik gerektiren SQL Server hizmet hesabı eklenecek Güvenlik denetimleri üretme ilkesi.Bu ilke, varsayılan, yerel sistem, yerel hizmet ve ağ hizmeti tarafından parçasıdır. Bu ayar, Güvenlik İlkesi ek bileşenini (secpol.msc) kullanılarak yapılandırılabilir.Ayrıca, Nesne erişimini denetleme güvenlik ilkesi etkinleştirilmiş olmalıdır her ikisi için de Başarı ve hata.Bu ayar, Güvenlik İlkesi ek bileşenini (secpol.msc) kullanılarak yapılandırılabilir.In Windows Vista or Windows Server 2008, you can set the more granular application generated policy from the command line by using the audit policy program (AuditPol.exe).For more information about the steps to enable writing to the Windows Security log, see Nasıl yapılır: Sunucu denetim olayları güvenlik günlüğüne yazma.Auditpol.exe programı hakkında daha fazla bilgi için bkz: Bilgi Bankası makale 921469, ayrıntılı güvenlik denetimini yapılandırmak için Grup İlkesi kullanma. Windows işletim sistemi için Windows olay günlüklerini geneldir.Windows olay günlükleri hakkında daha fazla bilgi için bkz: Olay Görüntüleyicisi'ne genel bakış. Daha kesin bir denetim izinlerini gerekiyorsa, ikili dosya hedef kullanın.

Denetim bilgilerini bir dosyaya kaydederken, izinsiz Yardım için erişim dosya konumunu aşağıdaki yollarla sınırlayabilirsiniz:

  • The SQL Server Service Account must have both Read and Write permission.

  • Denetim Yöneticiler genellikle okuma ve yazma izni gerektirir.Bu denetim yöneticilerin yönetim Denetim dosyalarını Windows hesapları gibi varsayılmaktadır: bunları, bunları yedekleme kadar vb. farklı paylaşımlara kopyalanıyor.

  • Denetim dosyalarını okumak için yetkili denetim okuyucular okuma izni gerekir.

Hatta, yazma bir dosyaya diğer Windows kullanıcıları denetim dosyası okuyabilir, sahip oldukları izin.The Veritabanı Altyapısı does not take an exclusive lock that prevents read operations.

Çünkü Veritabanı Altyapısı dosya erişim SQL Server control server izni olan oturumları kullanabilirsiniz Veritabanı Altyapısı için erişim denetim dosyaları.Denetim dosyası okunurken herhangi bir kullanıcı kaydetmek için üzerinde bir denetim tanımlayın master.sys.fn_get_audit_file.Bu denetim dosyası üzerinden eriştiğiniz control server izni olan oturumların kaydeder SQL Server.

Dosya denetim yönetici (için arşiv amacıyla vb.) farklı bir konuma kopyalar, yeni konumu ACL'lerin aşağıdaki izinleri sınırlı:

  • Yönetici – denetim okuma / yazma

  • Okuyucu – denetim okuma

Denetim raporları ayrı bir örneğinden oluşturmak öneririz SQL Server, örnek gibi SQL Server Express, hangi yalnızca yöneticiler denetlemek veya okuyucuların denetlemek zorunda erişim.Ayrı örnek kullanarak Veritabanı Altyapısı bildirdiği, size yardımcı olabilir önlemek yetkisiz kullanıcıların alma erişim denetim kaydı.

Windows BitLocker Sürücü Şifrelemesi veya Windows dosya şifreleme sistemi kullanarak Denetim dosyasının saklanacağı klasörü şifreleyerek yetkisiz erişime karşı ek koruma sağlayabilir.

Hedef için yazılmış denetim kayıtları hakkında daha fazla bilgi için bkz: SQL Server denetim kayıtları.

sql Server denetim kullanarak genel bakış

Kullanabileceğiniz SQL Server Management Studio veya Transact-SQL tanımlama bir denetim.Denetim oluşturup etkin sonra hedef girişleri alırsınız.

Windows olay günlüklerini kullanarak okuma Olay Görüntüleyicisi'ni Windows yardımcı programı.Dosya hedefleri için kullanabilirsiniz Günlük dosyası Görüntüleyici , SQL Server Management Studio veya fn_get_audit_file hedef dosyayı okumak için işlev.

Oluşturmak ve bir denetim kullanarak genel işlem aşağıdaki gibidir.

  1. Bir denetim oluşturun ve hedef tanımlayın.

  2. Bir sunucu denetim belirtimi veya eşler için Denetim veritabanı denetim belirtimi oluşturmak.Denetim belirtimi etkinleştirin.

  3. Denetim etkinleştirin.

  4. Windows'u kullanarak denetim olayları okumak Olay Görüntüleyicisi'ni, Günlük dosyası Viewer, veya fn_get_audit_file işlev.

The SQL Server denetim nasıl yapılır konuları topic provides SQL Server Management Studio and Transact-SQL examples for using the auditing feature.

Dikkate Alınacak Noktalar

De durum hata denetim başlatma sırasında sunucu başlatılmaz.Bu durum, sunucu kullanılarak başlatılabilir –f komut satırı seçeneği.

Neden ne zaman Denetim başarısız olan sunucu kapatmak kapalı veya çünkü başlatmak için ON_FAILURE bilgisayarı =kapalı denetim için belirtilen MSG_AUDIT_FORCED_SHUTDOWN olay Kütük'ü yazılırBu ayarın ilk encounter kapatma nedeni, olayın bir yazılır saat.Bu olay sonrasında kapatma neden denetim için hata iletisi yazılır.Yönetici denetim indirgenen kapatmalar başlatarak atlayabilirsiniz SQL Server tek kullanıcı modu kullanarak –m bayrak.Tek kullanıcı modunda başlatmak, herhangi bir denetim indirgemesine nereye ON_FAILURE = kapatma olarak çalıştırmak için belirtilen oturum ON_FAILURE = devam et. Zaman SQL Server kullanarak başladı –m bayrak, MSG_AUDIT_SHUTDOWN_BYPASSED hata Kütük'ü ileti yazılır

Hizmet başlatma seçenekleri hakkında daha fazla bilgi için bkz: SQL Server hizmeti başlangıç seçeneklerini kullanma.

Bir veritabanı ile tanımlanan bir denetim ekleme

Denetim belirtimi ve sunucuda yok bir GUID neden olur belirtir bir veritabanını iliştirmek bir artık denetim belirtimi.Eşleşen bir GUID ile bir denetim sunucu üzerinde var olmadığı için örnek, denetim olayları kaydedilir.Bu durumu düzeltmek için varolan bir sunucu denetim için artık Denetim belirtimi bağlamak için alter veritabanı denetim BELİRTİMİ komutunu kullanın.Veya belirtilen GUID'ye yeni bir sunucu denetim oluşturmak için sunucu denetim Oluştur komutunu kullanın.

Başka bir sürümüne tanımlanmış bir denetim belirtimi içeren bir veritabanını iliştirebilirsiniz SQL Server , desteklemiyor SQL Server denetlemek, gibi SQL Server Express ama onu kaydedilmeyecek denetim olayları.

Veritabanı ikizleme ve sql Server Denetim

Bir veritabanının tanımlanmış belirtimi denetleme sahiptir ve veritabanı kullanan bir veritabanı yansıtması veritabanı denetim belirtimi içerecektir.Yansıtılmış sql üzerinde düzgün çalışması için örnek, aşağıdaki öğeleri yapılandırılmış olması gerekir:

  • Denetim veritabanı denetim belirtimi denetim kayıtları yazmanıza olanak sağlamak için aynı GUID ile yansıtma sunucusu olması gerekir.This can be configured by using the command CREATE AUDIT WITH GUID=<GUID from source Server Audit>.

  • İçin ikili dosya hedefler, yansıtma sunucusu hizmet hesabı uygun yere denetim izi yazılmaktadır konumu izinleriniz olmalıdır.

  • Windows olay günlüğü hedeflerin, bilgisayardaki güvenlik ilkesi nerede yansıtma sunucusu bulunan hizmet hesabı erişimi güvenlik ve uygulama olay günlüğüne izin vermeniz gerekir.