SQLServer Audit审核
对于一般的数据库系统审计可能不太会被重视,但是对于金融系统就不一样的。金融系统对审计要求会很高,除了了记录数据库各种操作记录还可能会需要开发报表来呈现这些行为数据。使用SQL Server Audit 功能,您可以对服务器级别和数据库级别事件组以及单个事件进行审核。
“审核”SQL Server 的实例或 SQL Server 数据库涉及到跟踪和记录系统中发生的事件,您可以记录每个实例的服务器审核操作组,或记录每个数据库的数据库审核操作组或数据库审核操作。在每次遇到可审核操作时,都将发生审核事件。
数据库表结构和数据有时会被无意或者恶意,或者需要追踪最近的数据结构变更记录,以往必须通过日志查询,SQL Server2008开始提供了 审核(Audit )功能,SQL2012有所升级,利用它可以实现对数据库的变更记录
这里介绍如何创建Audit:
第一步:打开数据库管理器 安全性 => 审核 (Audit)
右键 新建审核
新建的时候 一切默认,选择日志文件存储路径即可
点击“确认”创建成功
注意:创建后默认是未开启状态 右键开启即可。
第二步: 创建审核规则
如果需要对某个数据库进行审核需要 到数据库=》安全=》数据库审核规范中 新建规范
如上图所示这里创建了对表th的 select 监控 和结构变更监控,常见监控参数
第三步:查看审核日志
通过日志可以清楚的看到数据库修改的内容
注意:
SCHEMA_Object_Change_Group:可以监控表结构变更
SQL Server 审核包括零个或多个审核操作项目。这些审核操作项目可以是一组操作,例如 Server_Object_Change_Group,也可以是单个操作,例如对表的 SELECT 操作。
注意:Server_Object_Change_Group 包括对任何服务器对象(数据库或端点)的 CREATE、ALTER 和 DROP 操作。
审核可以有以下类别的操作:
- 服务器级别。这些操作包括服务器操作,例如管理更改以及登录和注销操作。
- 数据库级别。这些操作包括数据操作语言 (DML) 和数据定义语言 (DDL) 操作。
- 审核级别。这些操作包括审核过程中的操作。
针对 SQL Server 审核组件执行的某些操作本质上是在特定审核中进行审核的,在这些情况下,由于事件发生在父对象上,因此将自动发生审核事件。
服务器级别审核操作组
服务器级别审核操作组是类似于 SQL Server 安全审核事件类的操作。有关详细信息,请参阅 SQL Server 事件类参考。
下表介绍了服务器级审核操作组,并提供了适用的等效 SQL Server 事件类。
|
操作组名称 |
说明 |
|
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP |
更改应用程序角色的密码时将引发此事件。 等效于 Audit App Role Change Password Event Class。 |
|
AUDIT_CHANGE_GROUP |
创建、修改或删除任何审核时,均将引发此事件。 创建、修改或删除任何审核规范时,均将引发此事件。 任何针对某审核的更改均将在该审核中审核。 等效于 Audit Change Audit Event Class。 |
|
BACKUP_RESTORE_GROUP |
发出备份或还原命令时,将引发此事件。 等效于 审核备份和还原事件类。 |
|
BROKER_LOGIN_GROUP |
引发此事件的目的是为了报告与 Service Broker 传输安全性相关的审核消息。 等效于 Audit Broker Login Event Class。 |
|
DATABASE_CHANGE_GROUP |
创建、更改或删除数据库时将引发此事件。 创建、更改或删除任何数据库时均将引发此事件。 等效于 Audit Database Management Event Class。 |
|
DATABASE_LOGOUT_GROUP |
在包含数据库用户注销某一数据库时,会引发此事件。 等效于 Audit Database Logout 事件类。 |
|
DATABASE_MIRRORING_LOGIN_GROUP |
引发此事件的目的是为了报告与数据库镜像传输安全性相关的审核消息。 等效于 Audit Database Mirroring Login Event Class。 |
|
DATABASE_OBJECT_ACCESS_GROUP |
访问数据库对象(如消息类型、程序集和协定)时将引发此事件。 此事件由对任何数据库的任何访问而引发。 注意:这可能导致生成大量审核记录。 |
|
DATABASE_OBJECT_CHANGE_GROUP |
针对数据库对象(如架构)执行 CREATE、ALTER 或 DROP 语句时将引发此事件。 创建、更改或删除任何数据库对象时均将引发此事件。 注意:这可能会导致生成大量审核记录。 |
|
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
在数据库范围内更改对象所有者时,将引发此事件。 服务器上任意数据库的任意对象所有权发生更改时,均将引发此事件。 等效于 Audit Database Object Take Ownership Event Class。 |
|
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
针对数据库对象(例如,程序集和架构)发出 GRANT、REVOKE 或 DENY 语句时将引发此事件。 服务器上任意数据库的任意对象权限发生更改时,均将引发此事件。 等效于 Audit Database Object GDR Event Class。 |
|
DATABASE_OPERATION_GROUP |
数据库中发生操作(如检查点或订阅查询通知)时将引发此事件。 对于任何数据库的任何操作都将引发此事件。 等效于 Audit Database Operation Event Class。 |
|
DATABASE_OWNERSHIP_CHANGE_GROUP |
使用 ALTER AUTHORIZATION 语句更改数据库的所有者时,将引发此事件,并将检查执行该操作所需的权限。 服务器上任意数据库的任意数据库所有权发生更改时,均将引发此事件。 等效于 Audit Change Database Owner Event Class。 |
|
DATABASE_PERMISSION_CHANGE_GROUP |
SQL Server 中的任何主体针对某语句权限发出 GRANT、REVOKE 或
DENY 语句时均将引发此事件(仅适用于数据库事件,例如授予对某数据库的权限)。 |
|
DATABASE_PRINCIPAL_CHANGE_GROUP |
在数据库中创建、更改或删除主体(如用户)时,将引发此事件。 等效于 Audit Database Principal Management Event Class。 (还等效于 Audit Add DB Principal 事件类,该事件类针对不推荐使用的 sp_grantdbaccess、sp_revokedbaccess、sp_addPrincipal 和 sp_dropPrincipal 存储过程时发生。) |
|
DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
数据库范围内存在模拟操作(如 EXECUTE AS <主体> 或 SETPRINCIPAL)时将引发此事件。 此事件针对任何数据库中完成的模拟引发。 等效于 Audit Database Principal Impersonation Event Class。 |
|
DATABASE_ROLE_MEMBER_CHANGE_GROUP |
向数据库角色添加登录名或从中删除登录名时将引发此事件。 此事件类由 sp_addrolemember、sp_changegroup 和 sp_droprolemember 存储过程引发。 任何数据库的任何数据库角色成员发生更改时,均将引发此事件。 等效于 Audit Add Member to DB Role Event Class。 |
|
DBCC_GROUP |
主体发出任何 DBCC 命令时,将引发此事件。 等效于 Audit DBCC Event Class。 |
|
FAILED_DATABASE_AUTHENTICATION_GROUP |
指示某个主体尝试登录到包含数据库并且失败。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Login Failed Event Class。 |
|
FAILED_LOGIN_GROUP |
指示主体尝试登录到 SQL Server ,但是失败。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Login Failed Event Class。 |
|
FULLTEXT_GROUP |
指示发生了全文事件。 等效于 Audit Fulltext Event Class。 |
|
LOGIN_CHANGE_PASSWORD_GROUP |
通过 ALTER LOGIN 语句或 sp_password 存储过程更改登录密码时,将引发此事件。 等效于 Audit Login Change Password Event Class。 |
|
LOGOUT_GROUP |
指示主体已注销 SQL Server。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Logout Event Class。 |
|
SCHEMA_OBJECT_ACCESS_GROUP |
每次在架构中使用对象权限时,都将引发此事件。 等效于 Audit Schema Object Access Event Class。 |
|
SCHEMA_OBJECT_CHANGE_GROUP |
针对架构执行 CREATE、ALTER 或 DROP 操作时将引发此事件。 等效于 Audit Schema Object Management Event Class。 |
|
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
检查更改架构对象(例如表、过程或函数)的所有者的权限时,会引发此事件。 使用 ALTER AUTHORIZATION 语句指定对象所有者时会引发此事件。 服务器上任意数据库的任意架构所有权发生更改时,均将引发此事件。 等效于 Audit Schema Object Take Ownership Event Class。 |
|
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
对架构对象执行 GRANT、DENY 或 REVOKE 语句时将引发此事件。 等效于 Audit Schema Object GDR Event Class。 |
|
SERVER_OBJECT_CHANGE_GROUP |
针对服务器对象执行 CREATE、ALTER 或 DROP 操作时将引发此事件。 等效于 Audit Server Object Management Event Class。 |
|
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP |
服务器范围中的对象的所有者发生更改时将引发此事件。 等效于 Audit Server Object Take Ownership Event Class。 |
|
SERVER_OBJECT_PERMISSION_CHANGE_GROUP |
SQL Server中的任何主体针对某服务器对象权限发出 GRANT、REVOKE、或 DENY 语句时,将引发此事件。 等效于 Audit Server Object GDR Event Class。 |
|
SERVER_OPERATION_GROUP |
使用安全审核操作(如使更改设置、资源、外部访问或授权)时将引发此事件。 等效于 Audit Server Operation Event Class。 |
|
SERVER_PERMISSION_CHANGE_GROUP |
为获取服务器范围内的权限(例如,创建登录名)而发出 GRANT、REVOKE 或 DENY 语句时,将引发此事件。 等效于 Audit Server Scope GDR Event Class。 |
|
SERVER_PRINCIPAL_CHANGE_GROUP |
创建、更改或删除服务器主体时将引发此事件。 等效于 Audit
Server Principal Management Event Class。 |
|
SERVER_PRINCIPAL_IMPERSONATION_GROUP |
服务器范围内发生模拟(如 EXECUTE AS <登录名>)时将引发此事件。 等效于 Audit Server Principal Impersonation Event Class。 |
|
SERVER_ROLE_MEMBER_CHANGE_GROUP |
向固定服务器角色添加登录名或从中删除登录名时将引发此事件。 此事件由 sp_addsrvrolemember 和 sp_dropsrvrolemember 存储过程引发。 等效于 Audit Add Login to Server Role Event Class。 |
|
SERVER_STATE_CHANGE_GROUP |
修改 SQL Server 服务状态时将引发此事件。 等效于 Audit Server Starts and Stops Event Class。 |
|
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
指示主体已成功登录到包含数据库。 等效于 Audit Successful Database Authentication 事件类。 |
|
SUCCESSFUL_LOGIN_GROUP |
指示主体已成功登录到 SQL Server。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Login Event Class。 |
|
TRACE_CHANGE_GROUP |
对于检查 ALTER TRACE 权限的所有语句,都会引发此事件。 等效于 Audit Server Alter Trace Event Class。 |
|
TRANSACTION_GROUP |
此事件由 BEGIN TRANSACTION、ROLLBACK TRANSACTION 和 COMMIT TRANSACTION 操作引发(无论是对这些语句的显式调用还是隐式事务操作)。 此外,因事务回退导致的各个事件的 UNDO 操作也会引发此事件。 |
|
USER_CHANGE_PASSWORD_GROUP |
每当使用 ALTER USER 语句更改包含数据库用户的密码时,都会引发此事件。 |
|
USER_DEFINED_AUDIT_GROUP |
此组监视器事件通过使用 sp_audit_write (Transact-SQL) 引发。 通常,触发器或存储过程包括对 sp_audit_write 的调用以便实现对重要事件的审核。 |
注意事项
服务器级别操作组涵盖了整个 SQL Server 实例中的操作。例如,如果将相应操作组添加到服务器审核规范中,则将记录任何数据库中的任何架构对象访问检查。在数据库审核规范中,仅记录该数据库中的架构对象访问。
服务器级别的操作不允许对数据库级别的操作进行详细筛选。实现详细操作筛选需要数据库级别的审核,例如,对 Employee 组中登录名的 Customers 表执行的 SELECT 操作进行的审核。在用户数据库审核规范中不要包括服务器范围的对象,例如系统视图。
数据库级别审核操作组
数据库级别审核操作组是类似于 SQL Server 安全审核事件类的操作。有关事件类的详细信息,请参阅 SQL Server 事件类参考。
下表介绍了数据库级别审核操作组,并提供了适用的等效 SQL Server 事件类。
|
操作组名称 |
说明 |
|
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP |
更改应用程序角色的密码时将引发此事件。 等效于 Audit App Role Change Password Event Class。 |
|
AUDIT_CHANGE_GROUP |
创建、修改或删除任何审核时,均将引发此事件。 创建、修改或删除任何审核规范时,均将引发此事件。 任何针对某审核的更改均将在该审核中审核。 等效于 Audit Change Audit Event Class。 |
|
BACKUP_RESTORE_GROUP |
发出备份或还原命令时,将引发此事件。 等效于 审核备份和还原事件类。 |
|
DATABASE_CHANGE_GROUP |
创建、更改或删除数据库时将引发此事件。 等效于 Audit Database Management Event Class。 |
|
DATABASE_LOGOUT_GROUP |
在包含数据库用户注销某一数据库时,会引发此事件。 等效于 审核备份和还原事件类。 |
|
DATABASE_OBJECT_ACCESS_GROUP |
访问数据库对象(如证书和非对称密钥)时将引发此事件。 等效于 Audit Database Object Access Event Class。 |
|
DATABASE_OBJECT_CHANGE_GROUP |
针对数据库对象(如架构)执行 CREATE、ALTER 或 DROP 语句时将引发此事件。 等效于 Audit Database Object Management Event Class。 |
|
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
数据库范围中的对象的所有者发生更改时将引发此事件。 等效于 Audit Database Object Take Ownership Event Class。 |
|
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
针对数据库对象(例如,程序集和架构)发出 GRANT、REVOKE 或 DENY 语句时将引发此事件。 等效于 Audit Database Object GDR Event Class。 |
|
DATABASE_OPERATION_GROUP |
数据库中发生操作(如检查点或订阅查询通知)时将引发此事件。 等效于 Audit Database Operation Event Class。 |
|
DATABASE_OWNERSHIP_CHANGE_GROUP |
使用 ALTER AUTHORIZATION 语句更改数据库的所有者时,将引发此事件,并将检查执行该操作所需的权限。 等效于 Audit Change Database Owner Event Class。 |
|
DATABASE_PERMISSION_CHANGE_GROUP |
SQL Server 中的任何用户针对某语句权限发出 GRANT、REVOKE 或 DENY 语句时均将引发此事件(仅适用于数据库事件,例如授予对数据库的权限)。 等效于 Audit Database Scope GDR Event Class。 |
|
DATABASE_PRINCIPAL_CHANGE_GROUP |
在数据库中创建、更改或删除主体(如用户)时,将引发此事件。 等效于 Audit Database Principal Management Event Class。 还等效于 Audit Add DB User 事件类,该事件类针对不推荐使用的 sp_grantdbaccess、sp_revokedbaccess、sp_adduser 和 sp_dropuser 存储过程发生。 |
|
DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
数据库范围内发生模拟(如 EXECUTE AS <用户>)时将引发此事件。 等效于 Audit Database Principal Impersonation Event Class。 |
|
DATABASE_ROLE_MEMBER_CHANGE_GROUP |
向数据库角色添加登录名或从中删除登录名时将引发此事件。 此事件类与 sp_addrolemember、sp_changegroup 和 sp_droprolemember 存储过程一起使用。等效于 Audit Add Member to DB Role 事件类 |
|
DBCC_GROUP |
主体发出任何 DBCC 命令时,将引发此事件。 等效于 Audit DBCC Event Class。 |
|
FAILED_DATABASE_AUTHENTICATION_GROUP |
指示某个主体尝试登录到包含数据库并且失败。 此类中的事件由新连接引发或由连接池中重用的连接引发。 引发此事件。 |
|
SCHEMA_OBJECT_ACCESS_GROUP |
每次在架构中使用对象权限时,都将引发此事件。 等效于 Audit Schema Object Access Event Class。 |
|
SCHEMA_OBJECT_CHANGE_GROUP |
针对架构执行 CREATE、ALTER 或 DROP 操作时将引发此事件。 等效于 Audit Schema Object Management Event Class。 |
|
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
检查更改架构对象(例如表、过程或函数)的所有者的权限时,将引发此事件。 使用 ALTER AUTHORIZATION 语句指定对象所有者时会引发此事件。 等效于 Audit Schema Object Take Ownership Event Class。 |
|
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
每次对架构对象发出 GRANT、DENY 或 REVOKE 时,均会引发此事件。 等效于 Audit Schema Object GDR Event Class。 |
|
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
指示主体已成功登录到包含数据库。 等效于 Audit Successful Database Authentication 事件类。 |
|
USER_CHANGE_PASSWORD_GROUP |
每当使用 ALTER USER 语句更改包含数据库用户的密码时,都会引发此事件。 |
|
USER_DEFINED_AUDIT_GROUP |
此组监视器事件通过使用 sp_audit_write (Transact-SQL) 引发。 |
数据库级别审核操作
数据库级别的操作支持直接对数据库架构以及架构对象(例如表、视图、存储过程、函数、扩展存储过程、队列、同义词)进行的特定操作进行审核。不审核类型、XML 架构集合、数据库和架构。架构对象的审核可以在架构和数据库上配置,这意味着指定架构或数据库包含的所有架构对象上的事件都将被审核。下表介绍了数据库级别的审核操作。
|
操作 |
说明 |
|
SELECT |
发出 SELECT 语句时将引发此事件。 |
|
UPDATE |
发出 UPDATE 语句时将引发此事件。 |
|
INSERT |
发出 INSERT 语句时将引发此事件。 |
|
DELETE |
发出 DELETE 语句时将引发此事件。 |
|
EXECUTE |
发出 EXECUTE 语句时将引发此事件。 |
|
RECEIVE |
发出 RECEIVE 语句时将引发此事件。 |
|
REFERENCES |
检查 REFERENCES 权限时将引发此事件。 |
注意事项
- 数据库级别的审核操作不适用于列。
- 当查询处理器对查询进行参数化时,审核事件日志中会出现参数而不是查询的列值。
- 不会记录 RPC 语句。
审核级别的审核操作组
您也可以对审核过程中的操作进行审核。这些操作可以是服务器范围或数据库范围的操作。如果在数据库范围内,则仅针对数据库审核规范而进行。下表介绍了审核级别的审核操作组。
|
操作组名称 |
说明 |
|
AUDIT_ CHANGE_GROUP |
发出以下命令之一时将引发此事件:
|
