보안 로그에 SQL Server Audit 이벤트 쓰기

보안 수준이 높은 환경에서는 Windows 보안 로그에 개체 액세스를 기록하는 이벤트를 쓰는 것이 좋습니다. 다른 감사 위치도 지원되지만 변조될 가능성이 높습니다.

Windows 보안 로그에 SQL Server 서버 감사를 작성하기 위한 두 가지 주요 요구 사항이 있습니다.

• 감사 개체 액세스 설정이 이벤트를 캡처하도록 구성되어야 합니다. 이 감사 정책 도구(auditpol.exe)는 감사 개체 액세스 범주의 여러 하위 정책 설정을 제공합니다. SQL Server 개체 액세스를 감사할 수 있도록 하려면 애플리케이션 생성 설정을 구성합니다.

• SQL Server 서비스가 실행 중인 계정에는 Windows 보안 로그에 쓸 보안 감사 생성 권한이 있어야 합니다. 기본적으로 LOCAL SERVICE 및 NETWORK SERVICE 계정에는 이 권한이 포함됩니다. SQL Server 해당 계정 중 하나에서 실행되는 경우에는 이 단계가 필요하지 않습니다.

Windows 감사 정책은 Windows 보안 로그에 쓰도록 구성된 경우 SQL Server 감사에 영향을 줄 수 있으며 감사 정책이 잘못 구성된 경우 이벤트가 손실될 수 있습니다. 일반적으로 Windows 보안 로그는 이전 이벤트를 덮어쓰도록 설정됩니다. 이렇게 하면 가장 최신 이벤트를 유지할 수 있습니다. 하지만 Windows 보안 로그가 이전 이벤트를 덮어쓰도록 설정되지 않으면 보안 로그가 꽉 찰 경우 시스템에서 Windows 이벤트 1104(로그가 꽉 참)가 발생합니다. 그러면 다음과 같이 됩니다.

• 보안 이벤트가 더 이상 기록되지 않습니다.

• SQL Server 시스템이 보안 로그에 이벤트를 기록할 수 없다는 것을 감지할 수 없으므로 감사 이벤트가 손실될 수 있습니다.

• 시스템 관리자가 보안 로그를 수정하면 로깅 동작이 정상으로 돌아옵니다.

항목 내용

• 시작하기 전 주의 사항:

  제한 사항

  보안

• 보안 로그에 SQL Server Audit 이벤트를 쓰려면

  Windows에서 auditpol을 사용하여 감사 개체 액세스 설정 구성

  Windows에서 secpol을 사용하여 감사 개체 액세스 설정 구성

  secpol을 사용하여 계정에 보안 감사 생성 권한 부여

시작하기 전에

제한 사항

SQL Server 컴퓨터의 관리자는 보안 로그에 대한 로컬 설정을 도메인 정책으로 덮어쓸 수 있음을 이해해야 합니다. 이 경우에 도메인 정책은 하위 범주 설정을 덮어쓸 수 있습니다(auditpol /get /subcategory:"application generated" ). 이는 SQL Server 감사하려는 이벤트가 기록되지 않을 것임을 감지하지 않고도 이벤트를 기록하는 SQL Server 기능에 영향을 줄 수 있습니다.

보안

사용 권한

이러한 설정을 구성하려면 Windows 관리자여야 합니다.

Windows에서 auditpol을 사용하여 감사 개체 액세스 설정을 구성하려면

1. 관리자 권한으로 명령 프롬프트를 엽니다.

   1. 시작 메뉴에서 모든 프로그램, 보조프로그램을 차례로 가리키고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

   2. 사용자 계정 컨트롤 대화 상자가 열리면 계속을 클릭합니다.

2. 다음 문을 실행하여 SQL Server 감사를 사용하도록 설정합니다.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
   

3. 명령 프롬프트 창을 닫습니다.

secpol을 사용하여 계정에 보안 감사 생성 권한을 부여하려면

1. Windows 운영 체제의 시작 메뉴에서 실행을 클릭합니다.

2. secpol.msc 를 입력한 다음 확인을 클릭합니다. 사용자 액세스 제어 대화 상자가 열리면 계속을 클릭합니다.

3. 로컬 보안 정책 도구에서 보안 설정, 로컬 정책을 차례로 확장한 다음 사용자 권한 할당을 클릭합니다.

4. 결과 창에서 보안 감사 생성을 두 번 클릭합니다.

5. 로컬 보안 설정 탭에서 사용자 또는 그룹 추가를 클릭합니다.

6. 사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 domain1\user1 과 같은 사용자 계정의 이름을 입력한 다음 확인을 클릭하거나 고급 을 클릭하여 계정을 검색합니다.

7. 확인을 클릭합니다.

8. 보안 정책 도구를 닫습니다.

9. SQL Server 다시 시작하여 이 설정을 사용하도록 설정합니다.

Windows에서 secpol을 사용하여 감사 개체 액세스 설정을 구성하려면

1. 운영 체제가 Windows Vista 또는 Windows Server 2008보다 이전인 경우 시작 메뉴에서 실행을 클릭합니다.

2. secpol.msc 를 입력한 다음 확인을 클릭합니다. 사용자 액세스 제어 대화 상자가 열리면 계속을 클릭합니다.

3. 로컬 보안 정책 도구에서 보안 설정, 로컬 정책을 차례로 확장한 다음 감사 정책을 클릭합니다.

4. 결과 창에서 개체 액세스 감사를 두 번 클릭합니다.

5. 로컬 보안 설정 탭의 다음 시도 감사 영역에서 성공 및 실패를 모두 선택합니다.

6. 확인을 클릭합니다.

7. 보안 정책 도구를 닫습니다.

참고 항목

SQL Server Audit(데이터베이스 엔진)