SQL Server 审计 第三篇:查看审计数据

最新推荐文章于 2024-07-28 18:10:51 发布
最新推荐文章于 2024-07-28 18:10:51 发布
阅读量768 收藏 1
点赞数 1
文章标签: 数据库 java python mysql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/upluck/article/details/116969468
版权

SQL Server 审计系列:

审计对象,可以通过动态管理视图和函数来查看

一,查看服务器审计对象

查看审计服务器审计对象的信息,这是审计对象的元数据:

select a.audit_id
    ,a.audit_guid
    ,a.name
    ,a.create_date
    ,a.modify_date
    ,a.principal_id as owner_prinicpal_id
    ,a.type
    ,a.type_desc
    ,a.on_failure
    ,a.on_failure_desc
    ,a.is_state_enabled
    ,a.queue_delay
    ,a.predicate
from sys.server_audits a

查看审计对象的当前状态,以及跟审计对象相关联的Extended Events session

select s.audit_id
    ,s.name     
    ,s.status
    ,s.status_desc
    ,s.status_time
    ,s.audit_file_path
    ,s.audit_file_size
    ,s.event_session_address
    ,e.name as xe_session_name
    ,e.pending_buffers
    ,e.total_regular_buffers
    ,e.regular_buffer_size
    ,e.large_buffer_size
    ,e.total_buffer_size
    ,e.buffer_policy_flags
    ,e.buffer_policy_desc
    ,e.flags
    ,e.flag_desc
    ,e.dropped_event_count
    ,e.dropped_buffer_count
    ,e.blocked_event_fire_time
    ,e.create_time
    ,e.largest_event_dropped_size
from sys.dm_server_audit_status s
inner join sys.dm_xe_sessions as e
    on s.event_session_address=e.address

二,审计规范

审计规范分为服务器级别的审计规范和数据库级别的审计规范,以下脚本用于查看数据库级别的审计规范:

select s.audit_guid
    ,s.name as audit_specification
    ,s.create_date
    ,s.modify_date
    ,s.is_state_enabled
    ,d.audit_action_id
    ,d.audit_action_name
    ,d.class
    ,d.class_desc
    ,d.major_id
    ,d.minor_id
    ,d.audited_principal_id
    ,d.audited_result
    ,d.is_group
from sys.database_audit_specifications s
inner join sys.database_audit_specification_details     as d
    on s.database_specification_id=d.database_specification_id

三,审计动作

审计动作实际上是可被审计的事件被触发,审计动作是创建审计需要监控的对象:

select a.action_id
    ,a.action_in_log
    ,a.name as action_name
    ,m.class_type
    ,a.class_desc
    ,m.securable_class_desc
    ,a.parent_class_desc
    ,a.covering_action_name
    ,a.configuration_level
    ,a.containing_group_name
from sys.dm_audit_actions a
inner join sys.dm_audit_class_type_map m
    on a.class_desc=m.class_type_desc

四,审计数据

审计数据是我们创建审计的目的,通过审计数据追踪系统发生的事件,并把跟事件相关的信息记录下来。

审计数据是通过函数 fn_get_audit_file()获得的,返回的字段主要有以下两类,第一类是跟数据库的环境相关:

  • application_name:客户端应用程序的名称,该程序执行SQL语句触发了审计事件
  • server_instance_name:审计发生的SQL Server实例名称
  • database_name:审计动作发生的数据库
  • database_principal_id 和 database_principal_name:执行审计动作的用户
  • server_principal_id和server_principal_name:主席那个审计作用的Login
  • server_principal_sid:login的sid
  • session_id:审计动作发生的session
  • session_server_principal_name:审计动作发生的session的login

第二类是事件和事件关联的数据:

  • action_id:审计动作ID
  • event_time:审计动作(Audit Action)触发的时间
  • class_type:审计作用的对象的类型
  • schema_name:审计作用的对象的schema名称
  • object_id和object_name:审计作用的对象的ID和名称
  • statement:执行的SQL 语句
  • succeeded:指示审计动作是否执行成功
  • sequence_group_id和sequence_number:如果单个审计记录(audit record)的size太大,那么会把该审计分为一组,通过sequence_number来标记顺序

可以通过以下脚本来查看审计追踪的数据:

select  f.event_time
    ,f.sequence_group_id
    ,f.sequence_number
    ,f.action_id
    ,a.name as action_name
    ,f.succeeded
    ,f.server_principal_name
    ,f.database_principal_name
    ,f.database_name
    ,f.object_id
    ,f.schema_name
    ,f.object_name
    ,f.class_type
    ,m.class_type_desc
    ,f.statement
    ,f.session_id
    ,f.application_name
from sys.fn_get_audit_file('G:\AuditFiles\MonitorQuery\*',default,default) f
inner join sys.dm_audit_actions a 
    on f.action_id=a.action_id
inner join sys.dm_audit_class_type_map m
    on f.class_type=m.class_type
order by f.event_time

参考文档:

SQL Server Audit (Database Engine)

悦光阴
关注
SQL Server 审计 第一篇:介绍(Audit)
悦光阴的博客
04-25 2986
SQL Server 审计系列: SQL Server 审计 第一篇:介绍(Audit) SQL Server 审计 第二篇: 创建审计 SQL Server 审计 第三篇查看审计数据 审计(Audit)用于追踪和记录SQL Server实例,或者单个数据库中发生的事件(Event),审计运作的机制是通过捕获事件(Event),把事件包含的信息写入到事件日志(Event Log)或审计文件...
SQLServer Log数据库查看
06-05
- 像"ApexSQL Log"这样的第三方工具,如压缩包中的ApexSQLLog2014,提供了更加友好的界面来浏览和分析SQL Server的事务日志。它们通常具有更强大的过滤、搜索和导出功能,便于问题排查和审计。 在使用这些工具时,...
数据库级别DDL操作监控审计数据库触发器/服务器触发器
weixin_30617561的博客
03-22 186
关键词:数据库触发器/服务器触发器 ,数据库级别DDL操作监控审计,禁止修改登录名密码,登录触发器,login触发器 【1】数据库级别DDL操作监控审计 SQL Server 2005开始支持DDL触发器,它不只限于对CREATE/ALTER/DROP操作有效,支持的DDL事件还有比如:权限的GRANT/DENY/REVOEK, 对象的RENAME, 更新统计信息等等,可通过DMV查看...
探索高效数据审计:dbt-audit-helper 工具
gitblog_00063的博客
05-26 261
探索高效数据审计:dbt-audit-helper 工具 dbt-audit-helperUseful macros when performing data audits项目地址:https://gitcode.com/gh_mirrors/db/dbt-audit-helper 在数据分析和数据仓库的世界中,确保数据的准确性和一致性至关重要。这就是 dbt-audit-helper 进入舞台...
SQL Server审计:深入掌握SQL Server Audit的高级应用
最新发布
2401_85812026的博客
07-28 465
SQL Server Audit提供了一种机制,用于捕获和记录数据库引擎、SQL Server Analysis Services (SSAS)、SQL Server Reporting Services (SSRS) 和 SQL Server Integration Services (SSIS) 的操作。它支持将审计数据写入到多种目标,包括文件、Windows安全日志或Azure Monitor日志。
SQL Server审计功能入门:SQL Server审核 (SQL Server Audit)
baicongli9053的博客
03-04 1382
介绍 Audit是SQL Server 2008之后才有的功能,它能告诉你“谁什么时候做了什么事情”。具体是指审核SQL Server 数据库引擎实例或单独的数据库涉及到跟踪和记录数据库引擎中发生的事件。它的底层是基于扩展事件(Extented Event),所以其性能和灵活性相对较好。审核数据可以输出到审核文件、Windows安全日志和应用程序日志。 Audit都需要创...
SQL Server 审计
weixin_33724570的博客
07-31 516
审计(Audit)用于追踪和记录SQL Server实例或数据库中发生的事件,审计主要包括审计对象(Audit)和审计规范(Audit Specification),创建审计首先需要创建一个SQL Server 实例级的审计对象,然后,创建从属于它的“服务器审计规范”或“数据库审计规范”。审计数据可以输出到审计文件(File)、安全日志(Securit...
SQL Server 审核(Audit)-- 介绍
weixin_33796177的博客
12-25 192
SQL Server 审核(Audit)-- 介绍 MSDN请参见:http://msdn.microsoft.com/zh-cn/library/cc280386%28v=sql.120%29.aspx 认识审核SQL Server审核是从SQL Server 2008开始引入的一套全新的审核系统。“审核”SQL Server 数据库引擎实例或单独的数据库涉及到跟踪和记录数据库引擎中发生的事件。...
SQL Server审计功能:SQL Server审核 (SQL Server Audit)(升级的详细版)
qq_39858177的博客
05-04 1643
sql server审计功能、Sql seADD (UPDATE ON OBJECT::[dbo].[数据表名] BY [dbo]),ADD (insert ON OBJECT::[dbo].[数据表名] BY [dbo]),ADD (delete ON OBJECT::[dbo].[数据表名] BY [dbo]),备注:(其中D:\指的是第一步新建的审核的哪个保存的路径以及对应的名称)4. 执行如下的sql即可查询当前对数据库中操作的内容。具体的有很多列,同学自测,就不展示所有了,3. 执行脚本即可实现。
SQLServer审计功能配置
Jepson的博客
08-31 5559
SQL Server审计功能(Audit)是SQL Server 2008之后才有的功能,审计(Audit)用于追踪和记录SQL Server实例,或者单个数据库中发生的事件(Event),审计运作的机制是通过捕获事件(Event),把事件包含的信息写入到事件日志(Event Log)或审计文件(Audit File)中,为review提供最真实详细的数据。Audit都需要创建一个实例级的“SQL Server审核”,然后可以创建从属于它“服务器审核规范”和“数据库审核规范”。
第05节:SQLServer触发器Demo源代码.rar
03-11
这个资源“第05节:SQLServer触发器Demo源代码.rar”很可能是包含了一个C#项目,该项目演示了如何在应用程序中创建、使用和管理SQL Server触发器。通过学习和理解这些示例代码,开发者可以更好地掌握在C#环境中操作...
SQL Server 2012内置审计功能 增强合规性
02-27
利用SQL Server 2012所提供的全面的数据审核功能,可以帮助企业不论是在服务器级别还是在数据库级别都可以监控所有的事件,并且将审核功能在企业范围内扩展,这对于管理严格的一些领域来说尤为重要。今天我们就跟大家简单聊聊SQL Server 2012审计那些事。
SQL server删除数据还原工具
02-13
- 当内置的SQL Server功能无法满足需求时,可以借助第三方工具,如描述中的"LE_420_SqlServer",这类工具通常提供更强大的数据恢复功能,比如扫描已删除的记录,甚至在没有可用备份的情况下尝试恢复。 - 这些工具...
SQL_Server安全审计的部署
06-19
创建 SQL Server 审计是第一步,也就是对一个 SQL Server 2008 实例配置审计功能。一个审计就是指配置为一个特定的与数据库引擎相关的事件日志集合的安全对象。你可以为一个 SQL Server 2008 实例创建多个审计。 ...
sqlserver审计 —— 服务器与数据库审核规范
Hehuyi_In的博客
07-15 7263
4.2 服务器审核 4.2.1 服务器审核 SQL Server 2008 引入了服务器审核功能,可以对服务器级别和数据库级别事件组和事件进行审核。 SQL Server 的审核级别有若干种,具体取决于安装环境的政府要求或标准要求。SQL Server 审核提供若干必需的工具和进程,用于启用、存储和查看对各个服务器和数据库对象的审核。 SQL Server 的所有版本均支持服务器级审...
SQL Server DDL安全审计
李晓蒙的博客
11-26 991
应用场景:         作为SQL Server安全审计的一部分,DBA可能需要这样的一份报吿:知道哪些数据库对象(储如表、存储过程、视图、用户、函数、用户权限等等)在什么时候被谁修改过,以及修改的内容等等。也还可能需要一份存储过程、函数以及视图的代码修改历史清单,知道这些代码在去过某段时间里被修改。那么,下面这份代码正好是你所需要的。         此代码在SQL Server
SQL SERVER 审计(核)案例
学无止境
05-08 1716
---创建审计审计规范 USE master CREATE SERVER AUDIT my_first_audit TO FILE(FILEPATH='D:\SQL\TEST\',MAXSIZE=10MB) GO ---创建和配置可以用于审计SQL Server 审计对象 USE Test CREATE DATABASE AUDIT SPECIFICATION my_aud_sp
金融行业数据库安全审计
weixin_34255793的博客
06-14 311
数据库安全审计行业要求:审计内容是否至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。数据库开启情况:需开启相关内容的数据库审计功能,方能满足需求。审计内容SQL ServerOracle1用户的添加和删除可满足可满足2审计功能的启动和关闭可满足部分满足(关闭可审计)3审计策略的调整可满足可满足4权限变更可部分满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悦光阴

你的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值