一、概述
在上一篇文章中已經介紹了審計的概念;本篇文章主要介紹如何建立審計,以及該收集哪些稽核規範。
二、常用的稽核物件
2.1、伺服器稽核物件
1.FAILED_LOGIN_GROUP( Audit Login Failed Event Class)
指示主體嘗試登入到 SQL Server,等效於 Audit Login Failed Event Class,
比如:登入失敗的操作
2.SERVER_OBJECT_CHANGE_GROUP(Audit Server Object Management)
針對伺服器物件執行 CREATE、ALTER 或 DROP 操作時將引發此事件。等效於 Audit Server Object Management 事件類。
比如:刪除連結伺服器物件等凌駕於資料庫級別以上的物件(許可權除外)。
3.SERVER_ROLE_MEMBER_CHANGE_GROUP
向固定伺服器角色新增登入名或從中刪除登入名時將引發此事件, 此事件由 sp_addsrvrolemember 和 sp_dropsrvrolemember 儲存過程引發。 等效於 Audit Add Login to Server Role Event Class。
比如:授予、撤銷伺服器角色等
4.SERVER_PRINCIPAL_CHANGE_GROUP
建立、更改或刪除伺服器主體時將引發此事件
比如:建立刪除登入名等
5.SUCCESSFUL_LOGIN_GROUP
指示主體已成功登入到 SQL Server。 此類中的事件由新連線引發或由連線池中重用的連線引發。 等效於 Audit Login Event Class。
注意:每一個連線會話都會記錄,開啟SUCCESSFUL_LOGIN_GROUP會產生很多的記錄
6.USER_CHANGE_PASSWORD_GROUP
使用 ALTER USER 語句更改包含資料庫使用者的密碼時,測試發現無效
2.2、稽核自身稽核物件
AUDIT_CHANGE_GROUP
2.3、資料庫稽核物件
DDL相關
1.DATABASE_PRINCIPAL_CHANGE_GROUP
在資料庫中建立、更改或刪除主體(如使用者)時,將引發此事件。 等效於 Audit Database Principal Management Event Class。
比如:建立刪除登入名等
2.DATABASE_ROLE_MEMBER_CHANGE_GROUP
向資料庫角色新增登入名或從中刪除登入名時將引發此事件。 此事件類與 sp_addrolemember、sp_changegroup 和 sp_droprolemember 儲存過程一起使用。等效於 Audit Add Member to DB Role 事件類
比如:授予、撤銷伺服器角色等
3.DATABASE_CHANGE_GROUP(Audit Database Management 事件)
建立、更改或刪除資料庫時將引發此事件。建立、更改或刪除任何資料庫時均將引發此事件。等效於 Audit Database Management 事件類。
比如:刪除建立資料庫、修改資料庫屬性等資料庫本身的修改操作
4.DATABASE_OBJECT_CHANGE_GROUP(Audit Database Object Management 事件)
針對資料庫物件(如架構)執行 CREATE、ALTER 或 DROP 語句時將引發此事件。建立、更改或刪除任何資料庫物件時均將引發此事件。等效於 Audit Database Object Management 事件類。
比如:Serive Broker相關物件、儲存、安全等凌駕於使用者建立的物件以上的物件(許可權除外)。
5.SCHEMA_OBJECT_CHANGE_GROUP( Audit Schema Object Management Event Class)
針對架構執行 CREATE、ALTER 或 DROP 操作時將引發此事件。等效於 Audit Schema Object Management 事件類。此事件針對架構物件引發。等效於 Audit Object Derived Permission 事件類。任何資料庫的任何架構發生更改時,均將引發此事件。等效於 Audit Statement Permission 事件類。
比如:表、儲存過程、檢視、函式、架構等物件。
DML相關
SELECT、DELETE、INSERT、UPDATE
三、建立服務稽核
1.建立稽核
USE [master] GO ----建立稽核,命名規範AuditServer_描述 CREATE SERVER AUDIT [AuditServer_All] TO FILE ( FILEPATH = N'D:\Audit\AuditServer_All' ----檔案路徑 ,MAXSIZE = 2 GB ----檔案最大大小,單位可以是MB、GB、TB ,MAX_FILES = 2147483647 ----最大檔案數,最大2147483647也就是無限制 -----,MAX_ROLLOVER_FILES = 2147483647 ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置 ,RESERVE_DISK_SPACE = ON ----保留磁碟空間 ) WITH ( QUEUE_DELAY = 1000 ----佇列延時,預設1S ,ON_FAILURE = CONTINUE ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權 ) GO
注意:預設建立稽核是禁用的,必須手動啟用,同樣修改稽核之前也必須先禁用然後再修改。路徑‘D:\Audit\AuditServer_All’必須事先建立好。
2.啟用和禁用稽核
---啟用 USE [master] GO ALTER SERVER AUDIT AuditServer_All WITH(STATE=ON); ---禁用 USE [master] GO ALTER SERVER AUDIT AuditServer_All WITH(STATE=OFF);
3.建立稽核規範
----建立伺服器稽核規範,命名規範:AuditSpecification_描述(和稽核描述保持一致) USE [master] GO CREATE SERVER AUDIT SPECIFICATION AuditSpecification_All FOR SERVER AUDIT AuditServer_All ADD (FAILED_LOGIN_GROUP), ADD (SERVER_OBJECT_CHANGE_GROUP), ADD (SERVER_PRINCIPAL_CHANGE_GROUP), ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP), ADD (AUDIT_CHANGE_GROUP) GO
稽核的事件包括:登入失敗的操作、伺服器級別物件的操作、建立刪除登入使用者、伺服器角色的授予和撤銷、對稽核配置的操作。還有一些其它的稽核型別暫時不做審計。其實這裡也可以將將資料庫級別的稽核操作建立到伺服器級別下,這樣的話
4.啟用和禁用稽核規範
--啟用 GO ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=ON); GO ---禁用,注意作業會影響禁用 ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=OFF);
5.測試
----建立登入名,並授予sysadmin角色 USE [master] GO CREATE LOGIN [test] WITH PASSWORD=N'123456', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF GO ALTER SERVER ROLE [sysadmin] ADD MEMBER [test] GO
四、建立資料庫稽核
1.建立資料庫稽核
USE [master] GO ----建立稽核,稽核只能建立在伺服器級別,命名規範AuditDatabase_資料庫名_描述 CREATE SERVER AUDIT [AuditDatabase_chenmh_AllObjectChange] TO FILE ( FILEPATH = N'D:\Audit\AuditDatabase_chenmh_AllObjectChange' ----檔案路徑 ,MAXSIZE = 2 GB ----檔案最大大小,單位可以是MB、GB、TB ,MAX_FILES = 2147483647 ----最大檔案數,最大2147483647也就是無限制 -----,MAX_ROLLOVER_FILES = 2147483647 ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置 ,RESERVE_DISK_SPACE = ON ----保留磁碟空間 ) WITH ( QUEUE_DELAY = 1000 ----佇列延時,預設1S ,ON_FAILURE = CONTINUE ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權 ) GO ---啟用 USE [master] GO ALTER SERVER AUDIT AuditDatabase_chenmh_AllObjectChange WITH(STATE=ON); ---禁用 USE [master] GO --ALTER SERVER AUDIT AuditDatabase_chenmh_AllObjectChange WITH(STATE=OFF);
注意:資料庫稽核也是建立在伺服器級別,資料庫稽核規範是建立在具體的資料庫下。
2.建立資料庫稽核規範
CREATE DATABASE Audit;
GO ----建立資料庫稽核規範,命名規範:AuditSpecification_描述(和稽核描述保持一致) USE [Audit] GO CREATE DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange FOR SERVER AUDIT AuditDatabase_Audit_AllObjectChange ---DDL相關操作 ADD (DATABASE_CHANGE_GROUP), ADD (DATABASE_OBJECT_CHANGE_GROUP), ADD (SCHEMA_OBJECT_CHANGE_GROUP), ADD (DATABASE_PRINCIPAL_CHANGE_GROUP), ADD (DATABASE_ROLE_MEMBER_CHANGE_GROUP), ---DML相關操作,PUBLIC代表所有使用者 -----ADD (SELECT ON SCHEMA::[dbo] BY PUBLIC), ADD (DELETE ON SCHEMA::[dbo] BY PUBLIC), ADD (INSERT ON SCHEMA::[dbo] BY PUBLIC), ADD (UPDATE ON SCHEMA::[dbo] BY PUBLIC); GO --啟用 USE [Audit] GO ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=ON); ---禁用,注意作業會影響禁用 USE [Audit] GO --ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=OFF);
注意:1.一個伺服器稽核可以對應多個資料庫稽核規範。
2.暫時不支援RPC呼叫的稽核事件。
3.測試
USE [Audit] GO CREATE TABLE a(id int not null); GO ALTER TABLE a ADD name varchar(10); GO INSERT INTO a values(1,'a') GO DELETE FROM a WHERE id=1; GO DROP TABLE a;
備註:審計記錄的日期和使用GETDATE()查詢的時間8個小時
五、查詢
----查詢稽核日誌 select * from sys.fn_get_audit_file('D:\Audit\AuditServerFile_66D8F97A-B495-4CB4-83EA-564D1ECF9988_0_131604628132230000.sqlaudit',DEFAULT, DEFAULT) AS a --伺服器稽核相關檢視 SELECT * FROM SYS.server_audits SELECT * FROM sys.server_audit_specifications SELECT * FROM sys.server_audit_specification_details SELECT sa.name as AuditName, sa.type_desc AS StoreType, sas.name AS AuditSpecificationsName, sasd.audit_action_id, sasd.audit_action_name, sasd.class_desc as AuditGrade FROM SYS.server_audits sa INNER JOIN sys.server_audit_specifications sas ON sa.audit_guid=sas.audit_guid INNER JOIN sys.server_audit_specification_details sasd ON sas.server_specification_id=sasd.server_specification_id LEFT JOIN sys.dm_audit_actions daa ON sasd.audit_action_id=daa.action_id AND sasd.class_desc=daa.class_desc --資料庫稽核規範檢視 SELECT * FROM chenmh.sys.database_audit_specifications SELECT * FROM chenmh.sys.database_audit_specification_details SELECT sa.name as AuditName, sa.type_desc AS StoreType, sas.name AS AuditSpecificationsName, sasd.audit_action_id, sasd.audit_action_name, sasd.class_desc as AuditGrade FROM SYS.server_audits sa INNER JOIN chenmh.sys.database_audit_specifications sas ON sa.audit_guid=sas.audit_guid INNER JOIN chenmh.sys.database_audit_specification_details sasd ON sas.database_specification_id=sasd.database_specification_id LEFT JOIN sys.dm_audit_actions daa ON sasd.audit_action_id=daa.action_id AND sasd.class_desc=daa.class_desc ---- SELECT * FROM sys.dm_audit_actions WHERE action_id='DL'
六、刪除
--刪除伺服器稽核規範,先禁用才能刪除 USE [master] GO ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH (STATE=OFF) GO DROP SERVER AUDIT SPECIFICATION AuditSpecification_All GO --刪除伺服器稽核物件,先禁用才能刪除 USE [master] ALTER SERVER AUDIT AuditServer_All WITH (STATE=OFF) GO DROP SERVER AUDIT AuditServer_All;
七、在AlwaysOn中建立稽核
1.建立伺服器級別稽核
和在單例項上建立稽核一樣,主副本和輔助副本都需要建立。
2.建立資料庫級別稽核
先在主副本中執行
USE [master] GO ----建立稽核,稽核只能建立在伺服器級別,命名規範AuditDatabase_資料庫名_描述 CREATE SERVER AUDIT [AuditDatabase_Audit_AllObjectChange] TO FILE ( FILEPATH = N'C:\Audit\AuditDatabase_Audit_AllObjectChange' ----檔案路徑 ,MAXSIZE = 2 GB ----檔案最大大小,單位可以是MB、GB、TB ,MAX_FILES = 2147483647 ----最大檔案數,最大2147483647也就是無限制 -----,MAX_ROLLOVER_FILES = 2147483647 ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置 ,RESERVE_DISK_SPACE = ON ----保留磁碟空間 ) WITH ( QUEUE_DELAY = 1000 ----佇列延時,預設1S ,ON_FAILURE = CONTINUE ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權 ) GO ---啟用 USE [master] GO ALTER SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH(STATE=ON); ---禁用 USE [master] GO --ALTER SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH(STATE=OFF); CREATE DATABASE Audit; GO ----建立資料庫稽核規範,命名規範:AuditSpecification_描述(和稽核描述保持一致) USE [audit] GO CREATE DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange FOR SERVER AUDIT AuditDatabase_Audit_AllObjectChange ---DDL相關操作 ADD (DATABASE_CHANGE_GROUP), ADD (DATABASE_OBJECT_CHANGE_GROUP), ADD (SCHEMA_OBJECT_CHANGE_GROUP), ADD (DATABASE_PRINCIPAL_CHANGE_GROUP), ADD (DATABASE_ROLE_MEMBER_CHANGE_GROUP), ---DML相關操作,PUBLIC代表所有使用者 -----ADD (SELECT ON SCHEMA::[dbo] BY PUBLIC), ADD (DELETE ON SCHEMA::[dbo] BY PUBLIC), ADD (INSERT ON SCHEMA::[dbo] BY PUBLIC), ADD (UPDATE ON SCHEMA::[dbo] BY PUBLIC); GO --啟用 USE [audit] GO ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=ON);
在輔助副本執行
-------========================建立伺服器稽核======================= USE [master] GO ----建立稽核,命名規範AuditServer_描述 CREATE SERVER AUDIT [AuditServer_All] TO FILE ( FILEPATH = N'C:\Audit\AuditServer_All\' ----檔案路徑 ,MAXSIZE = 2 GB ----檔案最大大小,單位可以是MB、GB、TB ,MAX_FILES = 2147483647 ----最大檔案數,最大2147483647也就是無限制 -----,MAX_ROLLOVER_FILES = 2147483647 ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置 ,RESERVE_DISK_SPACE = ON ----保留磁碟空間 ) WITH ( QUEUE_DELAY = 1000 ----佇列延時,預設1S ,ON_FAILURE = CONTINUE ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權 ) GO ---啟用伺服器稽核 USE [master] GO ALTER SERVER AUDIT AuditServer_All WITH(STATE=ON); ---------================建立伺服器稽核規範==================== USE [master] GO CREATE SERVER AUDIT SPECIFICATION AuditSpecification_All FOR SERVER AUDIT AuditServer_All ADD (FAILED_LOGIN_GROUP), ADD (SERVER_OBJECT_CHANGE_GROUP), ADD (SERVER_PRINCIPAL_CHANGE_GROUP), ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP), ADD (AUDIT_CHANGE_GROUP) GO --啟用 GO ALTER SERVER AUDIT SPECIFICATION AuditSpecification_All WITH(STATE=ON); GO ------------============================建立資料庫基本稽核規範===================================================== USE [master] GO ----建立稽核,稽核只能建立在伺服器級別,命名規範AuditDatabase_資料庫名_描述 CREATE SERVER AUDIT [AuditDatabase_Audit_AllObjectChange] TO FILE ( FILEPATH = N'C:\Audit\AuditDatabase_Audit_AllObjectChange' ----檔案路徑 ,MAXSIZE = 2 GB ----檔案最大大小,單位可以是MB、GB、TB ,MAX_FILES = 2147483647 ----最大檔案數,最大2147483647也就是無限制 -----,MAX_ROLLOVER_FILES = 2147483647 ----最大滾動更新檔案數,最大2147483647也就是無限制,不能和MAX_FILES一起配置 ,RESERVE_DISK_SPACE = ON ----保留磁碟空間 ) WITH ( QUEUE_DELAY = 1000 ----佇列延時,預設1S ,ON_FAILURE = CONTINUE ----稽核失敗繼續,還可以指定SHUTDOWN關閉資料庫伺服器,但是必須有相關許可權 ) GO ---啟用 USE [master] GO ALTER SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH(STATE=ON); -----===============關聯資料庫稽核規範與伺服器稽核==================== USE [audit] GO ----禁用資料庫稽核規範 ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=OFF); GO ---將資料庫稽核規範關聯伺服器稽核 ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange FOR SERVER AUDIT AuditDatabase_Audit_AllObjectChange WITH (STATE =ON) GO ----啟用資料庫稽核規範 ALTER DATABASE AUDIT SPECIFICATION AuditSpecification_AllObjectChange WITH(STATE=ON);
八、總結
稽核是資料庫規範的一部分,在安全審計方面也非常的重要,建議生產系統都必須建立稽核。
參考:https://docs.microsoft.com/zh-cn/sql/relational-databases/system-functions/sys-fn-get-audit-file-transact-sql
備註: 作者:pursuer.chen 部落格:http://www.cnblogs.com/chenmh 本站點所有隨筆都是原創,歡迎大家轉載;但轉載時必須註明文章來源,且在文章開頭明顯處給明連結,否則保留追究責任的權利。 《歡迎交流討論》 |