1、数据库审核规范
“数据库审核规范”对象也属于SQL Server审核。针对每个审核,DBA可以为每个 SQL Server 数据库创建一个数据库审核规范。
图1:SQL Server审核构成说明
数据库审核规范可收集由扩展事件功能引发的数据库级审核操作。您可以向数据库审核规范添加审核操作组或审核事件。“审核事件”是可以由 SQL Server 引擎审核的原子操作;“审核操作组”是预定义的操作组。它们都位于 SQL Server 数据库作用域。这些操作将发送到审核,审核将它们记录到目标中,,目标可以是文件、Windows 安全事件日志或 Windows 应用程序事件日志,如图1所示。管理员必须定期查看和归档这些日志,以确保目标具有足够的空间来写入更多记录。
属于db_owner角色的用户可以修改数据库中任何的审核规范。
2、如何使用SQL Server审核功能
DBA可以使用SQL Server Management Studio ( SSMS )或Transact-SQL来定义审核。默认情况下, SQL Server不会启用审核功能,因此我们创建好审核功能后,需要手动启用。
您可以使用Windows中的事件查看器阅读Windows安全事件日志或者Windows应用程序事件日志。您也可以使用日志文件查看工具在SQL Server Management Studio或内置的FN_READ_AUDIT_FILE功能在SQL Server中读取目标文件。
创建和使用的审核功能的过程大体如下:
1、创建一个审核,并定义审核信息需要捕获的目标;
2、创建服务器审核规范或数据库审核规范;
3、启用审核规范。SQL Server创建审核时,默认是不启用审核规范的;
4、使用Windows事件查看器,查看日志文件或者使用内置FN_READ_AUDIT_FILE功能,分析所捕获的审核事件。