SQL Server DDL安全审计

最新推荐文章于 2024-07-28 18:10:51 发布
最新推荐文章于 2024-07-28 18:10:51 发布
阅读量1k 收藏
点赞数
分类专栏: sql server

应用场景:

        作为SQL Server安全审计的一部分,DBA可能需要这样的一份报吿:知道哪些数据库对象(储如表、存储过程、视图、用户、函数、用户权限等等)在什么时候被谁修改过,以及修改的内容等等。也还可能需要一份存储过程、函数以及视图的代码修改历史清单,知道这些代码在去过某段时间里被修改。那么,下面这份代码正好是你所需要的。

        此代码在SQL Server 2005/2008运行良好。


1.      建立一个审计数据库,专门用于存放审计记录;

此步骤略。审计数据库名为:AuditDB;

 

2.      建立一个审计用户,用于实施审计时所需要的权限;

[html]  view plain copy
  1. CREATE LOGIN[AuditUser]WITH PASSWORD=N'123',DEFAULT_DATABASE=[AuditDB]  
  2. GO  
  3. use AuditDB  
  4. GO  
  5. CREATE USERAudituserFOR LOGIN Audituser;  
  6. GO  
  7. ALTER LOGIN[AuditUser]DISABLE  
  8. GO  

注:该用户无需登录,所以可以禁用此用户的登录。


3.      在审计数据库AuditDB上建立下如下审计表:

表1:DBA_ChangedObjectLog(审计主表)


表2:DBA_ChangedObjectText(审计从表) 


注: 

审计主表与审计从表之间的关联字段是LogID;

只有视图、存储过程、函数、触发器才有从表数据,因为只有这些对象才有代码定义;

 

4.      为审计用户AuditUser授权:

[sql]  view plain copy
  1. use master  
  2. go  
  3. grant viewserverstate to Audituser  
  4.   
  5. use AuditDB  
  6. go  
  7. grant insertonDBA_ChangedObjectLogtoAudituser  
  8. grant insertonDBA_ChangedObjectTexttoAudituser  


5.      为所有可以修改数据库对象的用户,授予模拟AuditUser的权限:

如果你不这么做,那你就必须为所有这些用户分别授予第四步中AuditUser的权限;

[sql]  view plain copy
  1. grant impersonateonlogin::user1toaudituser  
  2. grant impersonateonlogin::auditusertouser1  

如果你的数据库中已经有几十上百或上千的用户,那你可以用如下语句生成的代码批量授权:

[sql]  view plain copy
  1. select 'grant impersonate on login::['+[name]+'] to audituser'fromsys.server_principals  
  2. where type='S'andname<>'audituser'  
  3. union all  
  4. select 'grant impersonate onlogin::audituser to ['+[name]+']'fromsys.server_principals  
  5. where type='S'andname<>'audituser'  

注:以对后新建的每个用户,也必须这样授权。

 

6.      在审计主表上建立触发器tr_Dba_ObjectChangeLog_insert

此触发器的目的是获得当前修改的数据库对象(视图、存储过程、函数、触发器)代码定义并保存入从表中。

[sql]  view plain copy
  1. USE [AuditDB]  
  2. GO  
  3. SET ANSI_NULLSON  
  4. GO  
  5. SET QUOTED_IDENTIFIERON  
  6. GO  
  7.    
  8. --在审计主表上建立触发器:  
  9. ALTER trigger[dbo].[tr_Dba_ObjectChangeLog_insert]  
  10. on [dbo].[DBA_ChangedObjectLog]  
  11. for insert  
  12. as  
  13. begin  
  14.     declare  
  15.        @Logid uniqueidentifier,  
  16.        @DatabaseNamenvarchar(256),  
  17.        @UserNamenvarchar(256),  
  18.        @SchemaNamenvarchar(256),  
  19.        @ObjectNamenvarchar(256),  
  20.        @ObjectTypenvarchar(256),  
  21.        --@original_usernvarchar(256),  
  22.        @EventTypenvarchar(256),  
  23.        @sql nvarchar(256),  
  24.        @IsaDDLTriggerint  
  25.    
  26.        execute as login =original_login()  
  27.    
  28.        set @IsaDDLTrigger= -1  
  29.        select @Logid=logid,@DatabaseName=DatabaseName,@SchemaName=SchemaName,@ObjectName=ObjectName,@ObjectType=ObjectType,@UserName=UserName,@EventType=EventType  
  30.        from inserted;  
  31.    
  32.        if  @ObjectType not in('PROCEDURE','VIEW','FUNCTION','TRIGGER'return;  
  33.        if @EventType like 'DROP%'return;  
  34.    
  35.        set @sql = N'select @IsaDDLTriggerOut=count(*) from ['+@DatabaseName+'].sys.triggers where name='''+@ObjectName+''' and parent_class=0';  
  36.        execute sp_executesql@sql,N'@IsaDDLTriggerOut int OUTPUT',@IsaDDLTriggerOut=@IsaDDLTriggerOUTPUT;  
  37.    
  38.        --DDL触发器不能使用sp_helptext获得它的文本  
  39.        if @IsaDDLTrigger>0 return;      
  40.    
  41.        if object_id('tempdb..#temp')isnot null  
  42.            drop table #temp  
  43.    
  44.        create table #temp(  
  45.            [Line][int]IDENTITY(1,1)NOTNULL,  
  46.            [LineText]varchar(max)  
  47.        )  
  48.    
  49.        set @sql='insert into #temp exec ['+@DatabaseName+'].dbo.sp_helptext '''+@SchemaName+'.'+@ObjectName+'''';  
  50.        exec (@sql)  
  51.      
  52.        execute as caller  
  53.        insert into dbo.Dba_ChangedObjectText  
  54.        select @Logid,@DatabaseName,@SchemaName,@ObjectName,[Line],[LineText]from#temp  
  55.    
  56.        drop table #temp   
  57. end  


7.      在要实施审计的数据库上建立触发器tr_dba_Trace_ObjectChangeLog

建立之前,需要对要实施审计的数据库如下配置。例如你需要对数据库TEST进行DDL审计,则:

[sql]  view plain copy
  1. alter database[TEST]set trustworthy on  

然后再建立触发器tr_dba_Trace_ObjectChangeLog

[sql]  view plain copy
  1. USE [TEST]  
  2. GO  
  3. SET ANSI_NULLSON  
  4. GO  
  5. SET QUOTED_IDENTIFIERON  
  6. GO  
  7.   
  8. CREATE trigger[tr_dba_Trace_ObjectChangeLog]  
  9. on database  
  10. --withexecute as 'AuditUser'  
  11. for ddl_table_events,ddl_view_events,ddl_index_events,  
  12.     ddl_synonym_events,ddl_function_events,ddl_procedure_events,ddl_trigger_events,   
  13.     ddl_database_security_events--,ddl_rule_events    
  14. as  
  15. begin  
  16.     set nocount on  
  17.    
  18.     declare  
  19.        @newid UNIQUEIDENTIFIER,   
  20.        @data xml,  
  21.        @spid smallint,  
  22.        @LoginNamevarchar(256),  
  23.        @ProgramNamevarchar(256),  
  24.        @IP varchar(15),  
  25.        @mac varchar(12),  
  26.        @EventTypevarchar(50),  
  27.        @ObjectTypevarchar(25),  
  28.        @ObjectNamevarchar(256),  
  29.        @IsaDDLTriggerint,  
  30.        @Line smallint  
  31.    
  32.     set @newid = newid()  
  33.     set @data = EVENTDATA()  
  34.     set @spid = @data.value('(/EVENT_INSTANCE/SPID)[1]','smallint')  
  35.     set @EventType = @data.value('(/EVENT_INSTANCE/EventType)[1]','varchar(50)')  
  36.     set @ObjectType = @data.value('(/EVENT_INSTANCE/ObjectType)[1]','varchar(25)')  
  37.     set @ObjectName = @data.value('(/EVENT_INSTANCE/ObjectName)[1]','varchar(256)')  
  38.     set @LoginName = @data.value('(/EVENT_INSTANCE/LoginName)[1]','varchar(256)')  
  39.     --set @ObjectName= @data.value('(/EVENT_INSTANCE/ObjectName)[1]', 'varchar(256)')  
  40.     set @mac =(SELECTNET_ADDRESSFROM master.dbo.sysprocessesWHEREspid = @spid)  
  41.     set @Line = 0  
  42.    
  43.     --过滤掉由维护计划生成的重建索引记录(因此类记录太庞大)  
  44.     if @LoginName='NT AUTHORITY\SYSTEM'and@ObjectType= 'INDEX'  
  45.        return;  
  46.    
  47.     -- if the objectis a ddl trigger  
  48.     if (selectcount(*)from sys.triggerswherename=@ObjectNameandparent_class=0)= 0  
  49.        set @IsaDDLTrigger = 0  
  50.     else set @IsaDDLTrigger = 1  
  51.    
  52.     execute as login ='AuditUser'  
  53.    
  54.     select @ProgramName=[Program_Name]fromsys.dm_exec_sessionswheresession_id=@spid  
  55.     select @IP=client_net_addressfromsys.dm_exec_connectionswheresession_id=@spid  
  56.    
  57.     insert into DBAdminPlat.dbo.DBA_ChangedObjectLog(  
  58.        [LogId],  
  59.        [EventType],[PostTime],[SPID],[ServerName],[Host_IP_Address],[Host_MAC_Address],  
  60.        [ProgramName],[LoginName],[UserName],[DatabaseName],[SchemaName],  
  61.        [ObjectName],[ObjectType],[TSQLCommand]--,[EventDate]  
  62.     )  
  63.     values(  
  64.        @newid,  
  65.        @EventType,  
  66.        @data.value('(/EVENT_INSTANCE/PostTime)[1]','datetime'),  
  67.        @spid,  
  68.        @data.value('(/EVENT_INSTANCE/ServerName)[1]','varchar(256)'),  
  69.        @IP,  
  70.        @mac,  
  71.        @ProgramName,  
  72.        @LoginName,--@data.value('(/EVENT_INSTANCE/LoginName)[1]','varchar(256)'),  
  73.        @data.value('(/EVENT_INSTANCE/UserName)[1]','varchar(256)'),  
  74.        @data.value('(/EVENT_INSTANCE/DatabaseName)[1]','varchar(256)'),  
  75.        @data.value('(/EVENT_INSTANCE/SchemaName)[1]','varchar(256)'),  
  76.        @ObjectName,  
  77.        @ObjectType,  
  78.        --For objectslike procs, views, triggers and functions ,text of which will be stored inmaster.[dbo].[tb_dba_ChangedObjectText] table.  
  79.        case when @ObjectType in('PROCEDURE','VIEW','FUNCTION','TRIGGER')and(@EventType<>'GRANT_DATABASE'or@EventType like 'DROP%')and@IsaDDLTrigger=0  
  80.            then null else @data.value('(/EVENT_INSTANCE/TSQLCommand)[1]','varchar(max)')end  
  81.     );  
  82.    
  83.     REVERT;  
  84.    
  85. end  
  86.   
  87. GO  
  88.    
  89. SET ANSI_NULLSOFF  
  90. GO  
  91. SET QUOTED_IDENTIFIEROFF  
  92. GO  
  93. ENABLE TRIGGER[tr_dba_Trace_ObjectChangeLog]ON DATABASE  
  94. GO  
SQLServer数据库从入门到精通系列之四:开启SQLServer数据库ddl审计
zhengzaifeidelushang的博客
04-22 184
SQLServer数据库从入门到精通系列之四:开启SQLServer数据库ddl审计
SQL_Server安全审计的部署
06-19
SQL Server 如何部署安全审计,实现对SQL Server安全
SQL Server 审计
weixin_33724570的博客
07-31 533
审计(Audit)用于追踪和记录SQL Server实例或数据库中发生的事件,审计主要包括审计对象(Audit)和审计规范(Audit Specification),创建审计首先需要创建一个SQL Server 实例级的审计对象,然后,创建从属于它的“服务器审计规范”或“数据库审计规范”。审计数据可以输出到审计文件(File)、安全日志(Securit...
SqlServer 通过扩展事件审计DDL操作
Hehuyi_In的博客
07-29 1765
审计对象create、alter、drop操作,即object_created、object_altered、object_deleted事件。 设置过滤条件: ddl_phase=commit:只记录提交的ddl操作,对应 [equal_uint64]([ddl_phase],(1)) database_id<>2:不记录临时对象操作,database_id=2为tempdb CREATE EVENT SESSION [audit_ddl] ON SERVER ADD EVENT s
SQL Server审计:深入掌握SQL Server Audit的高级应用
最新发布
2401_85812026的博客
07-28 539
SQL Server Audit提供了一种机制,用于捕获和记录数据库引擎、SQL Server Analysis Services (SSAS)、SQL Server Reporting Services (SSRS) 和 SQL Server Integration Services (SSIS) 的操作。它支持将审计数据写入到多种目标,包括文件、Windows安全日志或Azure Monitor日志。
SQLServer EVENTDATA()函数来获取DDL 触发器信息
12-15
SQL Server中,`EVENTDATA()`函数是一个非常有用的工具,特别是在处理DDL(Data Definition Language)触发器时。DDL触发器允许我们监视并响应对数据库结构的更改,如创建、修改或删除表、视图、索引等对象。`...
SQL Server 2008中的代码安全(二) DDL触发器与登录触发器
12-15
总的来说,SQL Server 2008的DDL触发器和登录触发器是数据库管理员的强大工具,它们能够帮助实施细粒度的控制策略,确保业务规则的遵循,同时提供审计安全保护。在实际操作中,应结合约束、权限管理和其他安全措施...
SQL Server 2008 DDL与登录触发器实战
"SQL Server 2008中的代码安全(二)DDL触发器与登录触发器" 在SQL Server 2008中,为了确保代码安全和数据完整性,数据库管理员可以利用触发器这一功能强大的工具。触发器是预编译的Transact-SQL语句集合,会在...
SQL Server审计功能:SQL Server审核 (SQL Server Audit)(升级的详细版)
qq_39858177的博客
05-04 1698
sql server审计功能、Sql seADD (UPDATE ON OBJECT::[dbo].[数据表名] BY [dbo]),ADD (insert ON OBJECT::[dbo].[数据表名] BY [dbo]),ADD (delete ON OBJECT::[dbo].[数据表名] BY [dbo]),备注:(其中D:\指的是第一步新建的审核的哪个保存的路径以及对应的名称)4. 执行如下的sql即可查询当前对数据库中操作的内容。具体的有很多列,同学自测,就不展示所有了,3. 执行脚本即可实现。
SQL Server 2012内置审计功能 增强合规性
02-27
利用SQL Server 2012所提供的全面的数据审核功能,可以帮助企业不论是在服务器级别还是在数据库级别都可以监控所有的事件,并且将审核功能在企业范围内扩展,这对于管理严格的一些领域来说尤为重要。今天我们就跟大家简单聊聊SQL Server 2012审计那些事。
SQL Server 2008中的代码安全(二):DDL触发器与登录触发器
技术代码资料库
03-03 170
本文主要 涉及DDL触发器和登录触发器的应用实例。 MicrosoftSQL Server 提供两种主要机制来强制使用业务规则和数据完整性:约束和触发器。触发器为特殊类型的存储过程,可在执行语言事件时自动生效。SQL Server 包括三种常规类型的触发器:DML 触发器 、DDL 触发器 和登录触发器 。 1、当数据库中发生数据操作语言 (DML) 事件时将调用 DML 触...
SQL数据库安全审计工具-xSQL Scanner1.6
收集盒 Book box
06-05 1058
XSQL扫描器是一种跨平台的SQL数据库审计工具,可以让你快速的找到漏洞。目前支持ms-sql,mysql和PostgreSQL数据库,它有两个版本,可以分别运行在Mono上的linux和windows平台。 XSQL扫描器的特点: 1:漏洞审计选项 2:数据包攻击 3:MSSQL的空密码扫描 4: DOS模块 5: 弱口令测试 6:可以选择加载字典 7:用户列表选项
soar ddl审核规范_SQL Server审核功能– DDL事件审核示例
culuo4781的博客
07-23 698
soar ddl审核规范 介绍 (Introduction) In a previous article “SQL Server Audit feature – discovery and architecture“, we’ve seen the basics to build an auditing system based on SQL Server Audit feature. I...
SQLServer审计功能配置
Jepson的博客
08-31 5989
SQL Server审计功能(Audit)是SQL Server 2008之后才有的功能,审计(Audit)用于追踪和记录SQL Server实例,或者单个数据库中发生的事件(Event),审计运作的机制是通过捕获事件(Event),把事件包含的信息写入到事件日志(Event Log)或审计文件(Audit File)中,为review提供最真实详细的数据。Audit都需要创建一个实例级的“SQL Server审核”,然后可以创建从属于它“服务器审核规范”和“数据库审核规范”。
SQL Server 审计 第一篇:介绍(Audit)
悦光阴的博客
04-25 3029
SQL Server 审计系列: SQL Server 审计 第一篇:介绍(Audit) SQL Server 审计 第二篇: 创建审计 SQL Server 审计 第三篇:查看审计数据 审计(Audit)用于追踪和记录SQL Server实例,或者单个数据库中发生的事件(Event),审计运作的机制是通过捕获事件(Event),把事件包含的信息写入到事件日志(Event Log)或审计文件...
SQL Server 安全篇——SQL Server 审核(2)——审核实操
MVP黄钊吉(發糞塗牆)
01-22 2172
本文属于SQL Server安全专题系列  接上文:SQL Server 安全篇——SQL Server 审核(1)——概览 ,本文介绍如何创建服务器审核、服务器审核规范(specification)和 数据库审核规范。 创建服务器审核: 可以使用CREATE SERVER AUDIT来创建服务器审核,其可选项有: 服务器审核选项
SQL Server 审计 第三篇:查看审计数据
悦光阴的博客
07-07 788
SQL Server 审计系列: SQL Server 审计 第一篇:介绍(Audit) SQL Server 审计 第二篇: 创建审计 SQL Server 审计 第三篇:查看审计数据 审计对象,可以通过动态管理视图和函数来查看 一,查看服务器审计对象 查看审计服务器审计对象的信息,这是审计对象的元数据: select a.audit_id ,a.audit_guid ,...
SQL SERVER 审计(核)案例
学无止境
05-08 1743
---创建审计审计规范 USE master CREATE SERVER AUDIT my_first_audit TO FILE(FILEPATH='D:\SQL\TEST\',MAXSIZE=10MB) GO ---创建和配置可以用于审计SQL Server 审计对象 USE Test CREATE DATABASE AUDIT SPECIFICATION my_aud_sp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值