# Auditoria do SQL Server
<a name="Appendix.SQLServer.Options.Audit"></a>

No Amazon RDS, você pode auditar bancos de dados do Microsoft SQL Server usando o mecanismo de auditoria interno do SQL Server. É possível criar auditorias e especificações de auditoria da mesma forma como elas são criadas para servidores de banco de dados no local. 

O RDS faz upload dos logs de auditoria concluídos no bucket do S3 usando a função do IAM que você fornece. Se você habilitar a retenção, o RDS manterá seus logs de auditoria na sua instância de banco de dados durante o período de tempo configurado.

Para obter mais informações, consulte [Auditoria do SQL Server (Mecanismo de banco de dados)](https://docs.microsoft.com/sql/relational-databases/security/auditing/sql-server-audit-database-engine) na documentação do Microsoft SQL Server.

## Auditoria do SQL Server com o recurso Database Activity Streams
<a name="Appendix.SQLServer.DAS.Audit"></a>

Você pode usar o recurso Database Activity Streams para RDS a fim de integrar eventos de auditoria do SQL Server com ferramentas de monitoramento de atividade de banco de dados da Imperva, McAfee e IBM. Para obter mais informações sobre como realizar auditoria com o recurso Database Activity Streams para o RDS SQL Server, consulte [Auditoria no Microsoft SQL Server](DBActivityStreams.md#DBActivityStreams.Overview.SQLServer-auditing) 

**Topics**
+ [Auditoria do SQL Server com o recurso Database Activity Streams](#Appendix.SQLServer.DAS.Audit)
+ [Suporte para auditoria do SQL Server](#Appendix.SQLServer.Options.Audit.Support)
+ [Adicionar a auditoria do SQL Server às opções de instância de banco de dados](Appendix.SQLServer.Options.Audit.Adding.md)
+ [Usar a auditoria do SQL Server](Appendix.SQLServer.Options.Audit.CreateAuditsAndSpecifications.md)
+ [Visualizar logs de auditoria](Appendix.SQLServer.Options.Audit.AuditRecords.md)
+ [Usar a Auditoria do SQL Server com instâncias Multi-AZ](#Appendix.SQLServer.Options.Audit.Multi-AZ)
+ [Configurar um bucket do S3](Appendix.SQLServer.Options.Audit.S3bucket.md)
+ [Criar manualmente uma função do IAM para a Auditoria do SQL Server](Appendix.SQLServer.Options.Audit.IAM.md)

## Suporte para auditoria do SQL Server
<a name="Appendix.SQLServer.Options.Audit.Support"></a>

No Amazon RDS, a partir do SQL Server 2016, todas as edições do SQL Server comportam auditorias em nível de servidor, e a edição Enterprise também aceita auditorias em nível de banco de dados. Começando com o SQL Server 2016 (13.x) SP1, todas as edições oferecem suporte a auditorias em nível de servidor e em banco de dados. Para obter mais informações, consulte [Auditoria do SQL Server (Mecanismo de banco de dados)](https://docs.microsoft.com/sql/relational-databases/security/auditing/sql-server-audit-database-engine) na documentação do SQL Server.

O RDS oferece suporte para a definição das seguintes configurações de opção para o SQL Server Audit. 


| Configuração da opção | Valores válidos | Descrição | 
| --- | --- | --- | 
| IAM\_ROLE\_ARN | Um nome de recurso da Amazon (ARN) válido no formato arn:aws:iam::account-id:role/role-name. | O ARN da função do IAM que concede acesso ao bucket do S3 no qual você deseja armazenar seus logs de auditoria. Para obter mais informações, consulte [Nomes de recurso da Amazon (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam) na Referência geral da AWS. | 
| S3\_BUCKET\_ARN | Um ARN válido no formato arn:aws:s3:::{{amzn-s3-demo-bucket}} ou arn:aws:s3:::{{amzn-s3-demo-bucket}}/key-prefix | O ARN do bucket do S3 no qual você deseja armazenar seus logs de auditoria. | 
| ENABLE\_COMPRESSION | true ou false | Controla a compactação de logs de auditoria. Por padrão, a compactação está habilitada (definida como true). | 
| RETENTION\_TIME | 0 para 840 | O tempo de retenção (em horas) durante o qual os registros de auditoria do SQL Server são mantidos em sua instância do RDS. Por padrão, a retenção está desabilitada. | 

## Usar a Auditoria do SQL Server com instâncias Multi-AZ
<a name="Appendix.SQLServer.Options.Audit.Multi-AZ"></a>

Para instâncias Multi-AZ, o processo de envio de arquivos de log de auditoria ao Amazon S3 é semelhante ao processo para instâncias Single-AZ. No entanto, existem algumas diferenças importantes: 
+ Objetos de especificação de auditoria de banco de dados são replicados para todos os nós.
+ Auditorias de servidor e especificações de auditoria de servidor não são replicadas para nós secundários. Em vez disso, você precisa criá-las ou modificá-las manualmente.

Para capturar auditorias de servidor ou uma especificação de auditoria de servidor de ambos os nós:

1. Crie uma auditoria de servidor ou uma especificação de auditoria de servidor no nó primário.

1. Faça failover para o nó secundário e crie uma auditoria de servidor ou uma especificação de auditoria de servidor com o mesmo nome e o mesmo GUID no nó secundário. Use o parâmetro `AUDIT_GUID` para especificar o GUID.