本文属于SQL Server安全专题系列
审核除了应对用户行为之外,还能进行“审核审核”以避免别人对自己的怀疑。比如一个恶意的 DBA关闭了审核, 然后执行的是一个危险的行为, 则该操作本身将不会被审核, 但 由于DBA已经关闭了审计, 然后再次将其重新打开的时候,这个打开操作将被审核。
SQL Server提供了很多元数据对象来实现审核增强,其中一个最常用的就是
sys.fn_get_audit_file()函数。它能返回审核文件的内容,可以用于把审核读取然后插入到表中进行下一步的分析。
比如我们可以使用下面语句来获取盘上的审核信息:
SELECT * FROM sys.fn_get_audit_file('E:\audit\*',NULL,NULL) ;
不过一开始信息较多,我们不妨先用下面的语句来查询一些基本信息,然后在进行后续的深入探讨:
从中我们可以发现在某个时间target_server_principl_name(是sysadmin成员)对server_instance_name的database_name库进行了statement里面的操作。
更多的用法可以查阅官方文档说明然后自己根据实际情况进行修改。同样我们在查阅的同时可以留意一下网页左边的其他函数以便更好地使用这些函数: