SQL Server審計功能入門:SQL Server審核 (SQL Server Audit)介紹 Audit是SQL Server 2008之后才有的功能,它能告訴你“誰什么時候做了什么事情”��。具體是指審核SQL Server 數據庫引擎實例或單獨的數據庫涉及到跟蹤和記錄數據庫引擎中發生的事件����。它的底層是基于擴展事件(Extented Event)��,所以其性能和靈活性相對較好。審核數據可以輸出到審核文件��、Windows安全日志和應用程序日志����。
Audit都需要創建一個實例級的“SQL Server審核”��,然后可以創建從屬于它“服務器審核規范”和“數據庫審核規范”����。可以理解“SQL Server審核”是審核的頂級容器�,這兩個“規范”是定義要審核的具體內容。
創建和使用審核的一般過程:
1. 創建審核并定義目標�。
2. 創建映射到審核的服務器審核規范或數據庫審核規范,并啟用審核規范�。
3. 啟用審核。
4. 通過使用 Windows“事件查看器”����、“日志文件查看器”或 fn_get_audit_file 函數來讀取審核事件�。
實現 創建測試數據庫和數據:
use mastergocreate database AuditTestgouse AuditTestgocreate table tb(ID int PRimary key ,name varchar(20),weight decimal(10,2));insert into tb values(1,'John',70.2),(2,'Ted',80.8),(3,'Clark',75.1)go
1. 創建審核和定義目標�。
創建審核可以用SSMS或者語句實現�。所謂目標�,就是審核輸出存到哪里����,與擴展事件的Target差不多。
對應的語句創建:
--create Server AuditUSE [master]GOCREATE SERVER AUDIT [Audit-AuditTest]TO FILE( FILEPATH = N'D:/share' ,MAXSIZE = 50 MB ,MAX_FILES = 10 ,RESERVE_DISK_SPACE = ON)WITH( QUEUE_DELAY = 1000 ,ON_FAILURE = CONTINUE --AUDIT_GUID=uniqueidentifier )--WHERE object_name='tb'GO--Enable Server Auditalter server audit [Audit-AuditTest] with (state=on)
簡單說明一下相關參數:
TO FILE:指定輸出到審核文件��,也可以指定為Security Log和application Log�。 FILEPATH:審核文件的目錄地址��。
MaxSize:單個審核文件的最大容量��。 MAXSIZE:類似于Trace,指定Rollover允許最多文件數����。 RESERVE_DISK_SPACE:預先分配審核文件到MaxSize。個人推薦啟用�。 QUEUE_DELAY:指定事件發生到被強制審核的毫秒間隔��。指定為0則為同步審核�。 ON_FAILURE :當審核向上檔寫入數據失敗時,接下來會采取的行為:CONTINUE | SHUTDOWN | FAIL_OperaTION�。 AUDIT_GUID:用于數據庫鏡像��。類似Login的SID作用�,鏡像會話的主庫如果有審核����,則在鏡像庫創建對應的審核需要指定同樣GUID。
WHERE:相當于擴展事件中Predicate�,用于指定過濾條件�。
2. 創建數據庫審核規范并啟用之
指定從屬于哪個SQL Server審核和定義出要審核的內容?���?梢酝ㄟ^SSM或者語句創建之��。下面針對測試表tb創建審核規范:任何人對tb表的DML和表結構修改操作都被審核��。
對應的語句:
--Create and enable Database Audit SpecificationUSE [AuditTest]GOCREATE DATABASE AUDIT SPECIFICATION [DatabaseAuditSpecification-AuditTest]FOR SERVER AUDIT [Audit-AuditTest]ADD (SCHEMA_OBJECT_CHANGE_GROUP),ADD (SELECT,DELETE,INSERT,UPDATE ON OBJECT::[dbo].[tb] BY [public])WITH (STATE=ON)GO
對照SSMS��,參數的意義就很明白了。更詳細內容參考:CREATE DATABASE AUDIT SPECIFICATION
審核活動類型(Audit Action Type)參考:SQL Server 審核操作組和操作
3. 啟用審核
SQL Server在創建審核和審核規范時����,默認是不啟用��,需要顯式啟用。在前面兩步��,我已經顯式啟用了�。
4. 測試和查看審核數據
use AuditTestgoselect * from dbo.tbwhere ID=1;update dbo.tbset name='Ted_New'where ID=2;alter table dbo.tb alter column name varchar(30);alter table dbo.tb add newCol varchar(20);go
在前面目標定義的文件中會生成一個審核文件�,文件名:[SQL Server審核名稱]_[審核的GUID]_*.sqlaudit。
這個文件也可以用其它文字編輯器打�,但是不便閱讀��。通常使用系統函數sys.fn_get_audit_file讀取它��。
SELECT event_time , action_id , succeeded , session_id , session_server_principal_name , object_name , statement , file_name , audit_file_offsetfrom sys.fn_get_audit_file('d:/share/*',default,default)
從結果可以得到:誰在什么時候做了什么�。Select和Alter語句只有一條記錄��。Update有兩條記錄��,一條Select和一條Update����。將audit_file_offset的值傳遞給fn_get_audit_file作為第三個參數值��,可以實現從指定的offset讀取審核文件。注意:event_time輸出為UTC時間了�。
當然也可以直接查看:
5. 嘗試服務器審核規范
審核創建和刪除登錄,并將審核內容記錄到應用程序日志����。
USE [master]GOCREATE SERVER AUDIT [Audit-AuditTest]TO APPLICATION_LOGWITH( QUEUE_DELAY = 1000,ON_FAILURE = CONTINUE)GOAlter SERVER AUDIT [Audit-AuditTest] With(State=On)goCreate Server Audit Specification SAS_CreateDropLoginFor Server Audit [Audit-AuditTest]Add (SERVER_PRINCIPAL_CHANGE_GROUP)With (State=On)gocreate login xx with passWord='P@ssW0rd';drop login xx ;
通過Windows的事件查看器����,可以查看到33205事件。個人覺得在查看數據詳細事件時��,使用xml格式更好理解一些����。
總結- SQL Server審核相對而言性能影響較少��,審核粒度也非常靈活�。
- 審核是針對“事件“��,回答”誰什么時候干了什么“�,但對數據本身變化的跟蹤力度較弱。
- 審核的目標結果,無論是審核文件或者應用程序日志��,都需要另外處理和分析才能得想要的內容��。
