數(shù)據(jù)庫(kù)的審核

1、數(shù)據(jù)庫(kù)的審核功能SQL Server 2008之前的版本只能是通過(guò)觸發(fā)器或SQL 跟蹤來(lái)實(shí)現(xiàn)審核，沒(méi)有專門(mén)的管理工具來(lái)管理審核。到了SQL Server 2008的時(shí)候，新增了數(shù)據(jù)庫(kù)審核功能，相比較于觸發(fā)器，數(shù)據(jù)庫(kù)審核不需要編寫(xiě)語(yǔ)句，并且不依賴與具體的表或數(shù)據(jù)庫(kù)，而是獨(dú)立存在的。利用SQL Server所提供的全面的數(shù)據(jù)審核功能，可以幫助企業(yè)不論是在服務(wù)器級(jí)別還是在數(shù)據(jù)庫(kù)級(jí)別都可以監(jiān)控所有的事件。SQL Server 2012的 審核功能，可以對(duì)服務(wù)器級(jí)別和數(shù)據(jù)庫(kù)級(jí)別的事件組或者是單個(gè)事件進(jìn)行審核。SQL Server 審核可以是一組操作，例如 Server_Object_Change_Gro

2、up，也可以是單個(gè)操作，例如對(duì)表的 SELECT 操作。Server_Object_Change_Group 包括對(duì)任何服務(wù)器對(duì)象的 CREATE、ALTER 和 DROP 操作。通過(guò) SQL Server 審核，用戶可以創(chuàng)建針對(duì)服務(wù)器級(jí)別的審核規(guī)范和針對(duì)數(shù)據(jù)庫(kù)級(jí)別事件的數(shù)據(jù)庫(kù)審核規(guī)范。經(jīng)過(guò)審核的事件以及結(jié)果將發(fā)送到目標(biāo)，目標(biāo)可以是文件、Windows 安全事件日志或 Windows 應(yīng)用程序事件日志。必須定期查看和歸檔這些日志，以確保目標(biāo)具有足夠的空間來(lái)寫(xiě)入更多記錄。這些記錄項(xiàng)包括：觸發(fā)可審核操作的日期時(shí)間、操作會(huì)話ID、相關(guān)權(quán)限、發(fā)生審核的實(shí)體對(duì)象、當(dāng)前登錄名及用戶名等信息。但是需要注意的

3、是任何經(jīng)過(guò)身份驗(yàn)證的用戶都可以讀取和寫(xiě)入Windows 應(yīng)用程序事件日志。因此，在將審核信息保存到某一文件時(shí)，為了避免信息被篡改，用戶可以考慮限制對(duì)文件位置的訪問(wèn)，并對(duì)SQL Server帳戶設(shè)置適當(dāng)?shù)臋?quán)限，例如審核管理員將目標(biāo)進(jìn)行存檔時(shí)，新目標(biāo)路徑的權(quán)限一般定義為審核管理員具有讀寫(xiě)權(quán)限，一般的審核讀取者具有讀權(quán)限。建立審核的過(guò)程是：創(chuàng)建審核并且定義目標(biāo)文件、創(chuàng)建服務(wù)器審核規(guī)范和數(shù)據(jù)庫(kù)審核規(guī)范、將創(chuàng)建好的審核規(guī)范映射到審核、啟用審核。經(jīng)過(guò)以上簡(jiǎn)單幾步，在創(chuàng)建并啟用審核功能后，目標(biāo)文件將接收各項(xiàng)的輸出。實(shí)驗(yàn)：創(chuàng)建審核首先在安全性審核中創(chuàng)建一個(gè)默認(rèn)的審核規(guī)范，此審核規(guī)范目的是將審核的結(jié)果輸出到Wi

4、ndows應(yīng)用程序事件日志。操作方法是，在對(duì)象資源管理器中，打開(kāi)“安全性”節(jié)點(diǎn)下的“審核”，右鍵即可新建審核，選擇將結(jié)果輸出到Windows應(yīng)用程序事件日志中后就不能定義審核文件的個(gè)數(shù)以及審核文件的最大大小，如下圖所示：接下來(lái)需要?jiǎng)?chuàng)建服務(wù)器審核規(guī)范并映射到剛才創(chuàng)建的默認(rèn)審核上，創(chuàng)建服務(wù)器審核規(guī)范的方法是：在對(duì)象資源管理器中，右鍵單擊“服務(wù)器審核規(guī)范”，然后單擊“新建服務(wù)器審核規(guī)范”。這將打開(kāi)“創(chuàng)建服務(wù)器審核規(guī)范”頁(yè)。在名稱中使用默認(rèn)設(shè)置，用戶可以根據(jù)需要進(jìn)行更改，審核項(xiàng)中選擇剛才新建的默認(rèn)審核名。“審核操作類型”選項(xiàng)，根據(jù)需要選擇相應(yīng)的操作組，在此選取 FAILED_LOGIN_GROUP。指

5、的是主體嘗試登錄到 SQL Server，但是失敗。此類中的事件由新連接引發(fā)或由連接池中重用的連接引發(fā)。說(shuō)簡(jiǎn)單點(diǎn)就是記錄嘗試登錄到 Microsoft SQL Server的失敗信息。審核創(chuàng)建完成后，默認(rèn)為禁用狀態(tài)，接下來(lái)就分別啟用服務(wù)器審核規(guī)范和審核，如下圖所示：測(cè)試下面來(lái)測(cè)試剛才創(chuàng)建的審核能否生效，我們使用SA用戶，故意使其登錄失敗。如下圖所示：查看審核日志用戶可以使用 Windows 中的“事件查看器”實(shí)用工具來(lái)讀取 Windows 事件。對(duì)于文件目標(biāo)，可以使用 SQL Server Management Studio 中的“日志文件查看器”或使用 fn_get_audit_file 函

6、數(shù)來(lái)讀取目標(biāo)文件。如下圖所示：下面再針對(duì)select查詢做一個(gè)審核。來(lái)記錄針對(duì)NorthwindCS數(shù)據(jù)庫(kù)中表的Select操作。首先還是創(chuàng)建審核，操作方法同上面相同，審核名為：查詢審核。在這里選擇審核目標(biāo)為文件，然后將文件存放在C:審核日志這個(gè)文件夾下面，在啟動(dòng)審核之后，可以看到文件夾里增加了一個(gè)文件，這個(gè)就是審核日志。再針對(duì)數(shù)據(jù)庫(kù)創(chuàng)建數(shù)據(jù)庫(kù)審核規(guī)范，操作方法是：在指定數(shù)據(jù)庫(kù)上找到“安全性”選項(xiàng)卡，在其中的“數(shù)據(jù)庫(kù)審核規(guī)范”上，點(diǎn)擊右鍵，彈出“新建數(shù)據(jù)庫(kù)審核規(guī)范”，如下圖所示：這里對(duì)應(yīng)選擇剛才新建的查詢審核規(guī)范，審核操作類型選擇select，對(duì)象類型選擇Object可以看到，對(duì)象名稱這里可以選擇要審核的對(duì)象類型，可以是表、視圖、存儲(chǔ)過(guò)程等。還可以具體到對(duì)應(yīng)的哪一張表、哪一個(gè)視圖等。在主體名稱中，可以選擇審核對(duì)應(yīng)的數(shù)據(jù)庫(kù)角色或者某個(gè)用戶創(chuàng)建好之后全部啟用，然后隨便查詢兩個(gè)，不過(guò)查詢的范圍必須在剛才定義的對(duì)象名稱和主體名稱之內(nèi)，否則無(wú)法審核到查看審核結(jié)果如下：除了右鍵審核查看審核日志以外，還可以用SQL語(yǔ)句進(jìn)行查詢：SELECT * FR