Действия и группы действий подсистемы аудита SQL Server
Подсистема аудита SQL Server позволяет производить аудит групп событий или отдельных событий на уровне сервера или базы данных. Дополнительные сведения см. в статье Подсистема аудита SQL Server (ядро СУБД).
SQL Server может содержать ноль или более элементов действий аудита. Эти элементы действий аудита могут быть как группами действий, например Server_Object_Change_Group, так и отдельными действиями, например операциями SELECT для таблицы.
Server_Object_Change_Group включает операции CREATE, ALTER и DROP для любого серверного объекта (базы данных или конечной точки).
У операций аудита могут быть следующие категории действий.
Уровня сервера. Эти действия включают серверные операции, например изменения управления и операции входа и выхода из системы.
Уровень базы данных. Эти действия включают в себя операции языка обработки данных (DML) и языка DDL.
Уровня аудита. Эти действия включают в себя действия, происходящие во время аудита.
Некоторые действия, выполняемые в компонентах подсистемы аудита SQL Server , подлежат внутреннему аудиту; в этом случае действия аудита происходят автоматически, поскольку событие происходит в родительском объекте.
Следующие действия подлежат аудиту по своей природе.
- Изменение состояния подсистемы аудита сервера (включение или отключение)
Это событие по своей природе не подлежат аудиту.
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Все операции аудита отключаются при первоначальном создании.
Группы действий аудита уровня сервера
Группы действий аудита уровня сервера — это действия, похожие на классы событий аудита безопасности SQL Server . Дополнительные сведения см. в разделе SQL Server Event Class Reference.
В следующей таблице приведены группы действий аудита уровня сервера и представлены эквивалентные классы событий SQL Server (если возможно).
Это событие вызывается для объектов схемы. Эквивалентно Audit Object Derived Permission Event Class.
Это событие возникает при вызове участником хранимых процедур sp_defaultdb или sp_defaultlanguage или инструкций ALTER LOGIN. Эквивалентно Audit Addlogin Event Class.
Это событие вызывается хранимыми процедурами sp_addlogin и sp_droplogin. Также эквивалентно Audit Login Change Property Event Class.
РекомендацииГруппы действий уровня сервера охватывают действия, происходящие на всем экземпляре SQL Server . Например, если соответствующая группа будет возвращена в спецификацию аудита сервера, то будет производиться запись любой проверки доступа к объекту схемы в любой базе данных. В спецификации аудита базы данных производится запись доступа только к объектам схемы этой базе данных.
Действия уровня сервера не позволяют проводить подробную фильтрацию действий уровня базы данных. Для точной фильтрации действий необходим аудит уровня базы данных, например аудит действий SELECT в таблице Customers, производимых от лица имен входа в группе Employee. Не включайте объекты области сервера, такие как системные представления, в пользовательскую спецификацию аудита базы данных.
Из-за дополнительной нагрузки, связанной с включением аудита уровня транзакций, начиная с SQL Server 2016 (13.x); SP2 CU3 и SQL Server 2017 (14.x); CU4, аудит на уровне транзакций отключен по умолчанию, если у вас не включено соответствие стандарту Common Criteria. При отключении соответствия стандарту Common Criteria вы по-прежнему сможете добавить действие из TRANSACTION_GROUP в спецификацию аудита, но оно фактически не будет собирать какие-либо действия транзакции. Если вы собираетесь настроить какие-либо действия аудита из TRANSACTION_GROUP, убедитесь, что инфраструктура аудита уровня транзакций включена, включив соответствие стандарту Common Criteria начиная с SQL Server 2016 (13.x); SP2 CU3 и SQL Server 2017 (14.x); CU4 и в более поздних версиях. Обратите внимание, что в SQL Server 2016 (13.x); аудит на уровне транзакций может также быть отключен с помощью флага трассировки 3427, начиная с SP1 CU2.
Группы действий аудита уровня базы данных
Группы действий аудита уровня базы данных — это действия, похожие на классы событий аудита безопасности SQL Server . Дополнительные сведения о классах событий см. в разделе SQL Server Event Class Reference.
В следующей таблице описываются группы действий аудита уровня базы данных и предоставляются эквивалентные классы событий SQL Server (где возможно).
Действия аудита уровня базы данных
Действия аудита уровня базы данных поддерживают аудит напрямую в базе данных, схеме или в объектах схемы, например в таблицах, представлениях, хранимых процедурах, функциях, расширенных хранимых процедурах, очередях, синонимах. Не подлежат аудиту типы, коллекции схем XML, база данных и схема. Аудит объектов схемы можно настроить для схемы и базы данных. Это означает, что будет выполнен аудит событий всех объектов схемы, содержащихся в указанной схеме или базе данных. В следующей таблице описываются действия аудита уровня базы данных.
Действие Описание SELECT Это событие возникает при вызове инструкции SELECT. UPDATE Это событие возникает при вызове инструкции UPDATE. INSERT Это событие возникает при вызове инструкции INSERT. DELETE Это событие возникает при вызове инструкции DELETE. EXECUTE Это событие возникает при вызове инструкции EXECUTE. RECEIVE Это событие возникает при вызове инструкции RECEIVE. REFERENCES Это событие возникает при проверке разрешения REFERENCES.
РекомендацииДействия аудита уровня базы данных не применяются к столбцам.
Если обработчик запросов параметризует запрос, параметр может отображаться в журнале событий аудита вместо значений столбца запроса.
Группы действий аудита уровня аудита
Также можно производить аудит действий, происходящих во время аудита. Это можно осуществлять как в области сервера, так и в области базы данных. В области базы данных это справедливо только для спецификаций аудита базы данных. В следующей таблице описываются группы действий аудита уровня аудита.