本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 AWS 上审计 SQL Server 的最佳实践 当您在 AWS 上审计 SQL Server 数据库时,请遵循以下最佳实践。 + **了解审计要求。**检查审计解决方案是否必须满足 GDPR 或 HIPAA 等合规要求。例如,审计解决方案可能必须跟踪和记录对 PII 和财务信息等关键数据执行的所有更改。  + **定义审计范围。**决定是需要审计所有 SQL Server 实例,还是只需要审计托管关键数据库的特定实例。在数据库级别,确定是需要审计所有表,还是只需要审计包含关键数据的表。 + **确定要跟踪和记录的事件列表。**例如,您的审计列表可能包括登录失败、登录权限更改、新登录名和用户以及删除的登录名和用户。 + **选择合适的审计工具。**例如,如果您想要仅审计登录和注销事件,则可以使用错误日志或扩展事件。如果您想要审计数据操纵语言(DML)更改,请使用更改数据捕获(CDC)、变更跟踪或时态表。如果您想要在实例和数据库级别审计更改,请使用 SQL Server 审计功能。您也可以使用 [ApexSQL Audit](https://www.apexsql.com/products/sql-tools-audit/) 等第三方审计工具。 + **设置实时提醒**,以在特定操作与合规性要求不符时主动通知 DBA 或安全团队。 + **定期查看审计数据**:方法是创建简单的控制面板或报告,读取审计数据并筛选您感兴趣的操作。 + **设置提醒**以监控对审计解决方案执行的更改。 + 根据公司的要求为审计数据**定义保留策略**,并归档旧审计数据。