在 Amazon EC2 或 Amazon RDS Custom 数据库实例上审计 SQL Server - AWS 规范性指导
先决条件支持的版本使用 C2 审计模式创建和查看审计监控

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon EC2 或 Amazon RDS Custom 数据库实例上审计 SQL Server

本节提供有关 Amazon EC2 和 Amazon RDS Custom 上 SQL Server 审计选项的信息,包括创建服务器和数据库审计、查看审计日志以及监控结果。

先决条件

  • 具有 ALTER ANY SERVER AUDITCONTROL SERVER 权限的数据库登录

支持的版本

  • SQL Server 版本 2016 及更高版本的任何版本

使用 C2 审计模式

C2 审计模式会审计用户登录、存储过程调用以及创建和删除对象等事件。此模式可以生成大量数据,因为其可以审计所有内容或不审计任何内容。C2 审计日志存储在 SQL Server 实例的默认数据目录中。每个日志文件最大可为 200 MB。当达到此限制时,将自动创建新文件。您可以使用 SQL Server Management Studio 启用 C2 审计。有关更多信息,请参阅 Microsoft SQL Server 文档

重要

Microsoft 计划在 SQL Server 的未来版本中删除 C2 审计模式。我们建议您避免使用此功能。

要使用 C2 审计模式审计失败的登录,请执行以下操作:

  1. 在 SQL Server Management Studio 中,连接到要为其启用审计的 SQL Server 实例。

  2. 选择 SQL Server 实例,右键单击并选择属性,然后选择安全

  3. 对于登录审计,选择一个配置选项。您可以审计:仅限失败的登录、仅限成功的登录、两者或无。(默认为仅限失败的登录。)

  4. 对于选项,选择启用 C2 审计跟踪

创建和查看审计

创建服务器审计

SQL Server 中的服务器审计收集要监控的实例级或数据库级操作。审计输出保存到审计目标文件路径、Windows 安全日志或应用程序日志。

要创建服务器,请执行以下操作:

  1. 在 SQL Server Management Studio 的对象资源管理器中,展开安全,右键单击审计,然后选择新审计。这将为服务器级审计创建一个新的 SQL Server Audit 对象。

  2. 对于审计目标,选择文件、安全日志或应用程序日志。

  3. 如果选择文件作为目标,请指定文件夹的位置。

  4. 配置其他选项,然后选择确定

  5. 要启用审计,请右键单击新的审计配置,然后选择启用审计

有关更多信息,请参阅 Microsoft SQL Server 文档

创建服务器审计规范

服务器审计规范收集 SQL Server 扩展事件功能引发的多个服务器级操作组。您可以在服务器审计规范中包括审计操作组。这些操作将发送给审计,并由其记录在目标文件或日志中。

要创建服务器审计规范,请执行以下操作:

  1. 在 SQL Server Management Studio 的对象资源管理器中,展开安全,右键单击服务器审计规范,然后选择新服务器审计规范

  2. 对于审计,选择您之前创建的服务器审计。

  3. 对于操作,选择指定要收集的服务器级审计操作组和审计操作的审计操作类型,然后选择确定

  4. 要启用服务器审计规范,请右键单击新规范,然后选择启用服务器审计规范

有关更多信息,请参阅 Microsoft SQL Server 文档中的 Create a Server Audit and Server Audit SpecificationSQL Server Audit Action Groups and Actions

创建数据库审计规范

您可以创建数据库审计规范对象以进行数据库级审计。此规范指定要收集的数据库级审计操作组和审计操作。

要创建数据库审计规范,请执行以下操作:

  1. 在 SQL Server Management Studio 的对象资源管理器中,展开要审计的数据库。

  2. 展开安全文件夹,右键单击数据库审计规范,然后选择新数据库审计规范

  3. 对于操作,配置一个或多个数据库审计操作类型。选择要审计的语句(例如 DELETE 或 INSERT)和要对其执行操作的对象类。

  4. 完成选择后,请选择确定

  5. 要启用数据库审计规范,请右键单击新规范,然后选择启用数据库审计规范

有关更多信息,请参阅 Microsoft SQL Server 文档中的 Create a server audit and database audit specificationSQL Server Audit Action Groups and Actions

查看 SQL Server 审计日志

要查看审计日志,请执行以下操作:

  1. 在 SQL Server Management Studio 中,右键单击 SQL Server Audit 对象,然后选择查看审计日志

    日志文件查看器将显示审计日志,无论其位置如何(文件或 Windows 事件日志)。

  2. 要自定义显示的日志条目,请选择筛选器

  3. 要将日志导出到日志文件,请选择导出

  4. 查看完日志后,选择关闭

有关更多信息,请参阅 Microsoft SQL Server 文档

监控

您可以使用 Nagios 等监控解决方案来监控审计日志,后者记录到审计文件、应用程序或安全事件日志或数据库中的审计表。与工单或提醒机制集成的监控解决方案可以生成实时警报和事件,以通知系统管理员或数据库管理员。