數(shù)據(jù)庫的審核

1、數(shù)據(jù)庫的審核功能SQL Server 2008之前的版本只能是通過觸發(fā)器或SQL 跟蹤來實(shí)現(xiàn)審核，沒有專門的管理工具來管理審核。到了SQL Server 2008的時候，新增了數(shù)據(jù)庫審核功能，相比較于觸發(fā)器，數(shù)據(jù)庫審核不需要編寫語句，并且不依賴與具體的表或數(shù)據(jù)庫，而是獨(dú)立存在的。利用SQL Server所提供的全面的數(shù)據(jù)審核功能，可以幫助企業(yè)不論是在服務(wù)器級別還是在數(shù)據(jù)庫級別都可以監(jiān)控所有的事件。SQL Server 2012的 審核功能，可以對服務(wù)器級別和數(shù)據(jù)庫級別的事件組或者是單個事件進(jìn)行審核。SQL Server 審核可以是一組操作，例如 Server_Object_Change_Gro

2、up，也可以是單個操作，例如對表的 SELECT 操作。Server_Object_Change_Group 包括對任何服務(wù)器對象的 CREATE、ALTER 和 DROP 操作。通過 SQL Server 審核，用戶可以創(chuàng)建針對服務(wù)器級別的審核規(guī)范和針對數(shù)據(jù)庫級別事件的數(shù)據(jù)庫審核規(guī)范。經(jīng)過審核的事件以及結(jié)果將發(fā)送到目標(biāo)，目標(biāo)可以是文件、Windows 安全事件日志或 Windows 應(yīng)用程序事件日志。必須定期查看和歸檔這些日志，以確保目標(biāo)具有足夠的空間來寫入更多記錄。這些記錄項(xiàng)包括：觸發(fā)可審核操作的日期時間、操作會話ID、相關(guān)權(quán)限、發(fā)生審核的實(shí)體對象、當(dāng)前登錄名及用戶名等信息。但是需要注意的

3、是任何經(jīng)過身份驗(yàn)證的用戶都可以讀取和寫入Windows 應(yīng)用程序事件日志。因此，在將審核信息保存到某一文件時，為了避免信息被篡改，用戶可以考慮限制對文件位置的訪問，并對SQL Server帳戶設(shè)置適當(dāng)?shù)臋?quán)限，例如審核管理員將目標(biāo)進(jìn)行存檔時，新目標(biāo)路徑的權(quán)限一般定義為審核管理員具有讀寫權(quán)限，一般的審核讀取者具有讀權(quán)限。建立審核的過程是：創(chuàng)建審核并且定義目標(biāo)文件、創(chuàng)建服務(wù)器審核規(guī)范和數(shù)據(jù)庫審核規(guī)范、將創(chuàng)建好的審核規(guī)范映射到審核、啟用審核。經(jīng)過以上簡單幾步，在創(chuàng)建并啟用審核功能后，目標(biāo)文件將接收各項(xiàng)的輸出。實(shí)驗(yàn)：創(chuàng)建審核首先在安全性審核中創(chuàng)建一個默認(rèn)的審核規(guī)范，此審核規(guī)范目的是將審核的結(jié)果輸出到Wi

4、ndows應(yīng)用程序事件日志。操作方法是，在對象資源管理器中，打開“安全性”節(jié)點(diǎn)下的“審核”，右鍵即可新建審核，選擇將結(jié)果輸出到Windows應(yīng)用程序事件日志中后就不能定義審核文件的個數(shù)以及審核文件的最大大小，如下圖所示：接下來需要創(chuàng)建服務(wù)器審核規(guī)范并映射到剛才創(chuàng)建的默認(rèn)審核上，創(chuàng)建服務(wù)器審核規(guī)范的方法是：在對象資源管理器中，右鍵單擊“服務(wù)器審核規(guī)范”，然后單擊“新建服務(wù)器審核規(guī)范”。這將打開“創(chuàng)建服務(wù)器審核規(guī)范”頁。在名稱中使用默認(rèn)設(shè)置，用戶可以根據(jù)需要進(jìn)行更改，審核項(xiàng)中選擇剛才新建的默認(rèn)審核名?！皩徍瞬僮黝愋汀边x項(xiàng)，根據(jù)需要選擇相應(yīng)的操作組，在此選取 FAILED_LOGIN_GROUP。指

5、的是主體嘗試登錄到 SQL Server，但是失敗。此類中的事件由新連接引發(fā)或由連接池中重用的連接引發(fā)。說簡單點(diǎn)就是記錄嘗試登錄到 Microsoft SQL Server的失敗信息。審核創(chuàng)建完成后，默認(rèn)為禁用狀態(tài)，接下來就分別啟用服務(wù)器審核規(guī)范和審核，如下圖所示：測試下面來測試剛才創(chuàng)建的審核能否生效，我們使用SA用戶，故意使其登錄失敗。如下圖所示：查看審核日志用戶可以使用 Windows 中的“事件查看器”實(shí)用工具來讀取 Windows 事件。對于文件目標(biāo)，可以使用 SQL Server Management Studio 中的“日志文件查看器”或使用 fn_get_audit_file 函

6、數(shù)來讀取目標(biāo)文件。如下圖所示：下面再針對select查詢做一個審核。來記錄針對NorthwindCS數(shù)據(jù)庫中表的Select操作。首先還是創(chuàng)建審核，操作方法同上面相同，審核名為：查詢審核。在這里選擇審核目標(biāo)為文件，然后將文件存放在C:審核日志這個文件夾下面，在啟動審核之后，可以看到文件夾里增加了一個文件，這個就是審核日志。再針對數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)庫審核規(guī)范，操作方法是：在指定數(shù)據(jù)庫上找到“安全性”選項(xiàng)卡，在其中的“數(shù)據(jù)庫審核規(guī)范”上，點(diǎn)擊右鍵，彈出“新建數(shù)據(jù)庫審核規(guī)范”，如下圖所示：這里對應(yīng)選擇剛才新建的查詢審核規(guī)范，審核操作類型選擇select，對象類型選擇Object可以看到，對象名稱這里可以選擇要審核的對象類型，可以是表、視圖、存儲過程等。還可以具體到對應(yīng)的哪一張表、哪一個視圖等。在主體名稱中，可以選擇審核對應(yīng)的數(shù)據(jù)庫角色或者某個用戶創(chuàng)建好之后全部啟用，然后隨便查詢兩個，不過查詢的范圍必須在剛才定義的對象名稱和主體名稱之內(nèi)，否則無法審核到查看審核結(jié)果如下：除了右鍵審核查看審核日志以外，還可以用SQL語句進(jìn)行查詢：SELECT * FR