在 AWS 上审计 SQL Server 的最佳实践

了解审计要求。检查审计解决方案是否必须满足 GDPR 或 HIPAA 等合规要求。例如，审计解决方案可能必须跟踪和记录对 PII 和财务信息等关键数据执行的所有更改。 

定义审计范围。决定是需要审计所有 SQL Server 实例，还是只需要审计托管关键数据库的特定实例。在数据库级别，确定是需要审计所有表，还是只需要审计包含关键数据的表。

确定要跟踪和记录的事件列表。例如，您的审计列表可能包括登录失败、登录权限更改、新登录名和用户以及删除的登录名和用户。

选择合适的审计工具。例如，如果您想要仅审计登录和注销事件，则可以使用错误日志或扩展事件。如果您想要审计数据操纵语言（DML）更改，请使用更改数据捕获（CDC）、变更跟踪或时态表。如果您想要在实例和数据库级别审计更改，请使用 SQL Server 审计功能。您也可以使用 ApexSQL Audit 等第三方审计工具。

设置实时提醒，以在特定操作与合规性要求不符时主动通知 DBA 或安全团队。

定期查看审计数据：方法是创建简单的控制面板或报告，读取审计数据并筛选您感兴趣的操作。

设置提醒以监控对审计解决方案执行的更改。

根据公司的要求为审计数据定义保留策略，并归档旧审计数据。