SQL-Server-Audit mit Datenbankaktivitätsstreams Support für SQL Server Audit Verwenden von SQL Server Audit mit Multi-AZ-Instances

SQL Server Audit

In Amazon RDS können Sie Microsoft SQL Server-Datenbanken mit dem integrierten Prüfmechanismus von SQL Server überwachen. Sie können Überwachungen und Überwachungsspezifikationen genau so erstellen, wie Sie dies für lokale Datenbankserver tun.

RDS lädt die abgeschlossenen Audit-Protokolle Ihren S3-Bucket mit der von Ihnen bereitgestellten IAM-Rolle hoch. Wenn Sie die Aufbewahrung aktivieren, behält RDS Ihre Audit-Protokolle für den festgelegten Zeitraum auf Ihrer DB-Instance bei.

Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine) in der Microsoft SQL Server-Dokumentation.

SQL-Server-Audit mit Datenbankaktivitätsstreams

Sie können Datenbankaktivitätsstreams für RDS verwenden, um SQL-Server-Audit-Ereignisse in die Tools zur Überwachung der Datenbankaktivitäten von Imperva, McAfee und IBM zu integrieren. Weitere Informationen über die Überwachung mit Datenbankaktivitätsstreams für RDS SQL Server finden Sie unter Prüfungen in Microsoft SQL Server

Themen

Support für SQL Server Audit

In Amazon RDS unterstützen ab SQL Server 2016 alle Editionen von SQL Server Überwachungen auf Serverebene. Die Enterprise-Edition unterstützt zudem Überwachungen auf Datenbankebene. Ab SQL Server 2016 (13.x) SP1 unterstützen alle Editionen sowohl Audits auf Server- als auch auf Datenbankebene. Weitere Informationen finden Sie unter SQL Server-Audit (Datenbank-Engine) in der SQL Server-Dokumentation.

RDS unterstützt die Konfiguration der folgenden Optionseinstellungen für SQL Server Audit.

Optionseinstellung	Zulässige Werte	Beschreibung
`IAM_ROLE_ARN`	Ein gültiger Amazon Resource Name (ARN) im Format `arn:aws:iam::account-id:role/role-name`.	Der ARN der IAM-Rolle, der Zugriff auf den S3-Bucket gewährt, in dem Sie Ihre Audit-Protokolle speichern möchten. Weitere Informationen finden Sie unter Amazon-Ressourcennamen (ARNs) im Allgemeine AWS-Referenz.
`S3_BUCKET_ARN`	Ein gültiger ARN im Format `arn:aws:s3:::amzn-s3-demo-bucket` oder `arn:aws:s3:::amzn-s3-demo-bucket/key-prefix`	Der ARN für den S3-Bucket, in dem Sie Ihre Audit-Protokolle speichern möchten.
`ENABLE_COMPRESSION`	`true` oder `false`	Steuert die Komprimierung des Überwachungsprotokolls. Standardmäßig ist die Komprimierung aktiviert (auf gesetz `true`).
`RETENTION_TIME`	`0` auf `840`	Die Aufbewahrungszeit (in Stunden), die SQL Server-Audit-Protokolle auf der RDS-Instance gespeichert werden. Die Aufbewahrung ist standardmäßig aktiviert.

Verwenden von SQL Server Audit mit Multi-AZ-Instances

Bei Multi-AZ-Instances ähnelt der Prozess zum Senden von Audit-Protokolldateien an Amazon S3 dem Prozess bei Single-AZ-Instances. Es gibt jedoch einige wichtige Unterschiede:

Objekte der Spezifikation der Datenbanküberwachung werden auf allen Knoten repliziert.
Serverüberwachungen und Spezifikationen für Serverüberwachungen werden nicht auf sekundäre Knoten repliziert. Stattdessen müssen Sie diese manuell erstellen oder ändern.

So werden Serverüberwachungen oder eine Spezifikation für die Serverüberwachung von beiden Knoten erfasst:

Erstellen Sie eine Serverüberwachung oder eine Spezifikation für die Serverüberwachung auf dem primären Knoten.
Führen Sie ein Failover auf den sekundären Knoten durch und erstellen Sie eine Serverüberwachung oder eine Spezifikation für die Serverüberwachung mit demselben Namen und derselben GUID auf dem sekundären Knoten. Geben Sie die GUID mit dem Parameter AUDIT_GUID an.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Deaktivieren von TDE

Hinzufügen von SQL Server Audit zu DB-Instance-Optionen