SQL Server 建立伺服器和資料庫級別審計

pursuer.chen發表於2018-01-16

一、概述

在上一篇文章中已經介紹了審計的概念;本篇文章主要介紹如何建立審計,以及該收集哪些稽核規範。

 

二、常用的稽核物件

2.1、伺服器稽核物件

1.FAILED_LOGIN_GROUP( Audit Login Failed Event Class)

指示主體嘗試登入到 SQL Server,等效於 Audit Login Failed Event Class,
比如:登入失敗的操作

2.SERVER_OBJECT_CHANGE_GROUP(Audit Server Object Management)

針對伺服器物件執行 CREATE、ALTER 或 DROP 操作時將引發此事件。等效於 Audit Server Object Management 事件類。
比如:刪除連結伺服器物件等凌駕於資料庫級別以上的物件(許可權除外)。

3.SERVER_ROLE_MEMBER_CHANGE_GROUP

向固定伺服器角色新增登入名或從中刪除登入名時將引發此事件, 此事件由 sp_addsrvrolemember 和 sp_dropsrvrolemember 儲存過程引發。 等效於 Audit Add Login to Server Role Event Class。
比如:授予、撤銷伺服器角色等

4.SERVER_PRINCIPAL_CHANGE_GROUP

建立、更改或刪除伺服器主體時將引發此事件
比如:建立刪除登入名等

5.SUCCESSFUL_LOGIN_GROUP

指示主體已成功登入到 SQL Server。 此類中的事件由新連線引發或由連線池中重用的連線引發。 等效於 Audit Login Event Class。
注意:每一個連線會話都會記錄,開啟SUCCESSFUL_LOGIN_GROUP會產生很多的記錄

6.USER_CHANGE_PASSWORD_GROUP

使用 ALTER USER 語句更改包含資料庫使用者的密碼時,測試發現無效

2.2、稽核自身稽核物件

AUDIT_CHANGE_GROUP

2.3、資料庫稽核物件

DDL相關

1.DATABASE_PRINCIPAL_CHANGE_GROUP

在資料庫中建立、更改或刪除主體(如使用者)時,將引發此事件。 等效於 Audit Database Principal Management Event Class。
比如:建立刪除登入名等

2.DATABASE_ROLE_MEMBER_CHANGE_GROUP

向資料庫角色新增登入名或從中刪除登入名時將引發此事件。 此事件類與 sp_addrolemember、sp_changegroup 和 sp_droprolemember 儲存過程一起使用。等效於 Audit Add Member to DB Role 事件類
比如:授予、撤銷伺服器角色等

3.DATABASE_CHANGE_GROUP(Audit Database Management 事件)

建立、更改或刪除資料庫時將引發此事件。建立、更改或刪除任何資料庫時均將引發此事件。等效於 Audit Database Management 事件類。
比如:刪除建立資料庫、修改資料庫屬性等資料庫本身的修改操作

4.DATABASE_OBJECT_CHANGE_GROUP(Audit Database Object Management 事件)

針對資料庫物件(如架構)執行 CREATE、ALTER 或 DROP 語句時將引發此事件。建立、更改或刪除任何資料庫物件時均將引發此事件。等效於 Audit Database Object Management 事件類。
比如:Serive Broker相關物件、儲存、安全等凌駕於使用者建立的物件以上的物件(許可權除外)。

5.SCHEMA_OBJECT_CHANGE_GROUP( Audit Schema Object Management Event Class)

針對架構執行 CREATE、ALTER 或 DROP 操作時將引發此事件。等效於 Audit Schema Object Management 事件類。此事件針對架構物件引發。等效於 Audit Object Derived Permission 事件類。任何資料庫的任何架構發生更改時,均將引發此事件。等效於 Audit Statement Permission 事件類。
比如:表、儲存過程、檢視、函式、架構等物件。

DML相關

SELECT、DELETE、INSERT、UPDATE

三、建立服務稽核

1.建立稽核

USE [master]
GO
----建立稽核,命名規範AuditServer_描述
CREATE SERVER AUDIT [AuditServer_All]
TO FILE 
(    FILEPATH = N'D:\Audit\AuditServer_All'  ----檔案路徑
    ,MAXSIZE = 2 GB                     ----檔案最大大小,單位可以是MB、GB、TB
    ,MAX_FILES = 2147483647             ----最大檔案數,最大2147483647也就是無限制
-----,MAX_ROLLOVER_FILES = 2147483647   ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置
    ,RESERVE_DISK_SPACE = ON            ----保留磁碟空間
)
WITH
(    QUEUE_DELAY = 1000                  ----佇列延時,預設1S
    ,ON_FAILURE = CONTINUE              ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權
)

GO

注意:預設建立稽核是禁用的,必須手動啟用,同樣修改稽核之前也必須先禁用然後再修改。路徑‘D:\Audit\AuditServer_All’必須事先建立好。

 

2.啟用和禁用稽核

---啟用
USE [master]
GO
ALTER SERVER AUDIT AuditServer_All WITH(STATE=ON);
---禁用
USE [master]
GO
ALTER SERVER AUDIT AuditServer_All WITH(STATE=OFF);

3.建立稽核規範

----建立伺服器稽核規範,命名規範:AuditSpecification_描述(和稽核描述保持一致)
USE [master]
GO
CREATE SERVER AUDIT SPECIFICATION AuditSpecification_All
FOR SERVER AUDIT AuditServer_All
    ADD (FAILED_LOGIN_GROUP),
    ADD (SERVER_OBJECT_CHANGE_GROUP),
    ADD (SERVER_PRINCIPAL_CHANGE_GROUP),
    ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP),
    ADD (AUDIT_CHANGE_GROUP)
GO

稽核的事件包括:登入失敗的操作、伺服器級別物件的操作、建立刪除登入使用者、伺服器角色的授予和撤銷、對稽核配置的操作。還有一些其它的稽核型別暫時不做審計。其實這裡也可以將將資料庫級別的稽核操作建立到伺服器級別下,這樣的話

4.啟用和禁用稽核規範

--啟用
GO
ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=ON);
GO
---禁用,注意作業會影響禁用
ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=OFF);

5.測試

----建立登入名,並授予sysadmin角色
USE [master]
GO
CREATE LOGIN [test] WITH PASSWORD=N'123456', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
ALTER SERVER ROLE [sysadmin] ADD MEMBER [test]
GO

四、建立資料庫稽核

1.建立資料庫稽核 

USE [master]
GO
----建立稽核,稽核只能建立在伺服器級別,命名規範AuditDatabase_資料庫名_描述
CREATE SERVER AUDIT [AuditDatabase_chenmh_AllObjectChange]
TO FILE 
(    FILEPATH = N'D:\Audit\AuditDatabase_chenmh_AllObjectChange'    ----檔案路徑
    ,MAXSIZE = 2 GB                     ----檔案最大大小,單位可以是MB、GB、TB
    ,MAX_FILES = 2147483647             ----最大檔案數,最大2147483647也就是無限制
-----,MAX_ROLLOVER_FILES = 2147483647   ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置
    ,RESERVE_DISK_SPACE = ON            ----保留磁碟空間
)
WITH
(    QUEUE_DELAY = 1000                  ----佇列延時,預設1S
    ,ON_FAILURE = CONTINUE              ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權
)

GO
---啟用
USE [master]
GO
ALTER SERVER AUDIT AuditDatabase_chenmh_AllObjectChange WITH(STATE=ON);
---禁用
USE [master]
GO
--ALTER SERVER AUDIT AuditDatabase_chenmh_AllObjectChange WITH(STATE=OFF);

注意:資料庫稽核也是建立在伺服器級別,資料庫稽核規範是建立在具體的資料庫下。

2.建立資料庫稽核規範

CREATE DATABASE Audit;
GO
----建立資料庫稽核規範,命名規範:AuditSpecification_描述(和稽核描述保持一致) USE [Audit] GO CREATE DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange FOR SERVER AUDIT AuditDatabase_Audit_AllObjectChange ---DDL相關操作 ADD (DATABASE_CHANGE_GROUP), ADD (DATABASE_OBJECT_CHANGE_GROUP), ADD (SCHEMA_OBJECT_CHANGE_GROUP), ADD (DATABASE_PRINCIPAL_CHANGE_GROUP), ADD (DATABASE_ROLE_MEMBER_CHANGE_GROUP), ---DML相關操作,PUBLIC代表所有使用者 -----ADD (SELECT ON SCHEMA::[dbo] BY PUBLIC), ADD (DELETE ON SCHEMA::[dbo] BY PUBLIC), ADD (INSERT ON SCHEMA::[dbo] BY PUBLIC), ADD (UPDATE ON SCHEMA::[dbo] BY PUBLIC); GO --啟用 USE [Audit] GO ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=ON); ---禁用,注意作業會影響禁用 USE [Audit] GO --ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=OFF);

注意:1.一個伺服器稽核可以對應多個資料庫稽核規範。

2.暫時不支援RPC呼叫的稽核事件。

3.測試

USE [Audit]
GO
CREATE TABLE a(id int not null);
GO
ALTER TABLE a ADD name varchar(10);
GO
INSERT INTO a values(1,'a')
GO
DELETE FROM a WHERE id=1;
GO
DROP TABLE a;

備註:審計記錄的日期和使用GETDATE()查詢的時間8個小時

五、查詢

----查詢稽核日誌
select * from  sys.fn_get_audit_file('D:\Audit\AuditServerFile_66D8F97A-B495-4CB4-83EA-564D1ECF9988_0_131604628132230000.sqlaudit',DEFAULT, DEFAULT) AS a


--伺服器稽核相關檢視
SELECT * FROM SYS.server_audits
SELECT * FROM sys.server_audit_specifications
SELECT * FROM sys.server_audit_specification_details

SELECT sa.name as AuditName,
sa.type_desc AS StoreType,
sas.name AS AuditSpecificationsName,
sasd.audit_action_id,
sasd.audit_action_name,
sasd.class_desc as AuditGrade
FROM SYS.server_audits sa INNER JOIN sys.server_audit_specifications sas ON sa.audit_guid=sas.audit_guid
INNER JOIN  sys.server_audit_specification_details sasd ON sas.server_specification_id=sasd.server_specification_id
LEFT JOIN sys.dm_audit_actions daa ON sasd.audit_action_id=daa.action_id AND sasd.class_desc=daa.class_desc


--資料庫稽核規範檢視
SELECT * FROM chenmh.sys.database_audit_specifications
SELECT * FROM chenmh.sys.database_audit_specification_details

SELECT sa.name as AuditName,
sa.type_desc AS StoreType,
sas.name AS AuditSpecificationsName,
sasd.audit_action_id,
sasd.audit_action_name,
sasd.class_desc as AuditGrade
FROM SYS.server_audits sa INNER JOIN chenmh.sys.database_audit_specifications sas ON sa.audit_guid=sas.audit_guid
INNER JOIN  chenmh.sys.database_audit_specification_details sasd ON sas.database_specification_id=sasd.database_specification_id
LEFT JOIN sys.dm_audit_actions daa ON sasd.audit_action_id=daa.action_id AND sasd.class_desc=daa.class_desc

----
SELECT * FROM  sys.dm_audit_actions  WHERE action_id='DL'

六、刪除

--刪除伺服器稽核規範,先禁用才能刪除
USE [master]
GO
ALTER SERVER  AUDIT SPECIFICATION AuditSpecification_All WITH (STATE=OFF)
GO
DROP SERVER AUDIT SPECIFICATION AuditSpecification_All
GO

--刪除伺服器稽核物件,先禁用才能刪除
USE [master]
ALTER SERVER AUDIT AuditServer_All WITH (STATE=OFF)
GO
DROP SERVER AUDIT AuditServer_All;

七、在AlwaysOn中建立稽核

1.建立伺服器級別稽核

和在單例項上建立稽核一樣,主副本和輔助副本都需要建立。

2.建立資料庫級別稽核

先在主副本中執行

USE [master]
GO
----建立稽核,稽核只能建立在伺服器級別,命名規範AuditDatabase_資料庫名_描述
CREATE SERVER AUDIT [AuditDatabase_Audit_AllObjectChange]
TO FILE 
(    FILEPATH = N'C:\Audit\AuditDatabase_Audit_AllObjectChange'    ----檔案路徑
    ,MAXSIZE = 2 GB                     ----檔案最大大小,單位可以是MB、GB、TB
    ,MAX_FILES = 2147483647             ----最大檔案數,最大2147483647也就是無限制
-----,MAX_ROLLOVER_FILES = 2147483647   ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置
    ,RESERVE_DISK_SPACE = ON            ----保留磁碟空間
)
WITH
(    QUEUE_DELAY = 1000                  ----佇列延時,預設1S
    ,ON_FAILURE = CONTINUE              ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權
)

GO
---啟用
USE [master]
GO
ALTER SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH(STATE=ON);
---禁用
USE [master]
GO
--ALTER SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH(STATE=OFF);

CREATE DATABASE Audit;
GO
----建立資料庫稽核規範,命名規範:AuditSpecification_描述(和稽核描述保持一致)
USE [audit]
GO
CREATE DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange
FOR SERVER AUDIT AuditDatabase_Audit_AllObjectChange
    ---DDL相關操作
    ADD (DATABASE_CHANGE_GROUP),
    ADD (DATABASE_OBJECT_CHANGE_GROUP),
    ADD (SCHEMA_OBJECT_CHANGE_GROUP),
    ADD (DATABASE_PRINCIPAL_CHANGE_GROUP),
    ADD (DATABASE_ROLE_MEMBER_CHANGE_GROUP),
    ---DML相關操作,PUBLIC代表所有使用者
    -----ADD (SELECT ON SCHEMA::[dbo] BY PUBLIC),
    ADD (DELETE ON SCHEMA::[dbo] BY PUBLIC),
    ADD (INSERT ON SCHEMA::[dbo] BY PUBLIC),
    ADD (UPDATE ON SCHEMA::[dbo] BY PUBLIC);
GO

--啟用
USE [audit]
GO
ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=ON);

在輔助副本執行

-------========================建立伺服器稽核=======================
USE [master]
GO
----建立稽核,命名規範AuditServer_描述
CREATE SERVER AUDIT [AuditServer_All]
TO FILE 
(    FILEPATH = N'C:\Audit\AuditServer_All\'  ----檔案路徑
    ,MAXSIZE = 2 GB                     ----檔案最大大小,單位可以是MB、GB、TB
    ,MAX_FILES = 2147483647             ----最大檔案數,最大2147483647也就是無限制
-----,MAX_ROLLOVER_FILES = 2147483647   ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置
    ,RESERVE_DISK_SPACE = ON            ----保留磁碟空間
)
WITH
(    QUEUE_DELAY = 1000                  ----佇列延時,預設1S
    ,ON_FAILURE = CONTINUE              ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權
)

GO

---啟用伺服器稽核
USE [master]
GO
ALTER SERVER AUDIT AuditServer_All WITH(STATE=ON);

---------================建立伺服器稽核規範====================
USE [master]
GO
CREATE SERVER AUDIT SPECIFICATION AuditSpecification_All
FOR SERVER AUDIT AuditServer_All
    ADD (FAILED_LOGIN_GROUP),
    ADD (SERVER_OBJECT_CHANGE_GROUP),
    ADD (SERVER_PRINCIPAL_CHANGE_GROUP),
    ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP),
    ADD (AUDIT_CHANGE_GROUP)
GO

--啟用
GO
ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=ON);
GO

------------============================建立資料庫基本稽核規範=====================================================
USE [master]
GO
----建立稽核,稽核只能建立在伺服器級別,命名規範AuditDatabase_資料庫名_描述
CREATE SERVER AUDIT [AuditDatabase_Audit_AllObjectChange]
TO FILE 
(    FILEPATH = N'C:\Audit\AuditDatabase_Audit_AllObjectChange'    ----檔案路徑
    ,MAXSIZE = 2 GB                     ----檔案最大大小,單位可以是MB、GB、TB
    ,MAX_FILES = 2147483647             ----最大檔案數,最大2147483647也就是無限制
-----,MAX_ROLLOVER_FILES = 2147483647   ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置
    ,RESERVE_DISK_SPACE = ON            ----保留磁碟空間
)
WITH
(    QUEUE_DELAY = 1000                  ----佇列延時,預設1S
    ,ON_FAILURE = CONTINUE              ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權
)

GO
---啟用
USE [master]
GO
ALTER SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH(STATE=ON);


-----===============關聯資料庫稽核規範與伺服器稽核====================
USE [audit]
GO
----禁用資料庫稽核規範
ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=OFF);
GO
---將資料庫稽核規範關聯伺服器稽核
ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange
FOR SERVER AUDIT AuditDatabase_Audit_AllObjectChange
WITH (STATE =ON)
GO
----啟用資料庫稽核規範
ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=ON);

八、總結

稽核是資料庫規範的一部分,在安全審計方面也非常的重要,建議生產系統都必須建立稽核。

 

 

參考:https://docs.microsoft.com/zh-cn/sql/relational-databases/system-functions/sys-fn-get-audit-file-transact-sql

 

 

 

備註:

    作者:pursuer.chen

    部落格:http://www.cnblogs.com/chenmh

本站點所有隨筆都是原創,歡迎大家轉載;但轉載時必須註明文章來源,且在文章開頭明顯處給明連結,否則保留追究責任的權利。

《歡迎交流討論》

 

相關文章