Основные сведения о подсистеме аудита SQL Server
Аудит экземпляра SQL Server или базы данных SQL Server включает в себя отслеживание и протоколирование событий, происходящих в системе. Для аудита в SQL Server можно использовать несколько методов, описанных в разделе Аудит (компонент Database Engine). Начиная с версии SQL Server 2008 Enterprise можно также настроить автоматический аудит с помощью подсистемы аудита SQL Server.
В SQL Server доступно несколько уровней аудита, применение которых зависит от существующих требований или стандартов установки. Подсистема аудита SQL Server предоставляет средства и процессы, необходимые для включения, хранения и просмотра аудитов на различных объектах серверов и баз данных.
Группы действий аудита сервера можно записывать для всего экземпляра, а также группы действий аудита базы данных либо действия аудита базы данных для каждой базы данных. Событие аудита будет происходить каждый раз при обнаружении действия, подлежащего аудиту.
Компоненты подсистемы аудита SQL Server
Аудит — это сочетание нескольких элементов в одном пакете для определенной группы действий сервера или базы данных. Компоненты подсистемы аудита SQL Server совместно формируют выходные данные, называемые аудитом, аналогично тому, как определение отчета в сочетании с элементами графики и данных формируют отчет.
Подсистема аудита SQL Server использует расширенные события для создания аудита. Дополнительные сведения о расширенных событиях см. в разделе Знакомство с расширенными событиями SQL Server.
Подсистема аудита SQL Server
Объект Подсистема аудита SQL Server объединяет отдельные экземпляры действий или групп действий уровня сервера или базы данных, за которыми нужно проводить наблюдение. Аудит работает на уровне экземпляра SQL Server. В одном экземпляре SQL Server может существовать несколько аудитов.
При определении аудита задается место для вывода результатов. Оно называется назначением аудита. Аудит создается в отключенном состоянии и не выполняет автоматический аудит никаких действий. После включения аудита назначение аудита начинает получать от него данные.
Спецификация аудита сервера
Объект Спецификация аудита сервера принадлежит аудиту. На каждый аудит можно создать один объект спецификации аудита сервера, поскольку они оба создаются в области экземпляра SQL Server.
Спецификация аудита сервера собирает множество групп действий уровня сервера, вызываемых компонентом расширенных событий. В спецификацию аудита сервера можно включить группы действий аудита. Группы действий аудита — это стандартные группы действий, являющиеся атомарными событиями, происходящими в компоненте Database Engine. Эти действия передаются аудиту, который регистрирует их в целевом объекте.
Группы действий аудита уровня сервера описываются в разделе Действия и группы действий подсистемы аудита SQL Server.
Спецификация аудита базы данных
Объект Спецификация аудита базы данных также принадлежит подсистеме аудита SQL Server. Для каждого аудита каждой базы данных SQL Server можно создать одну спецификацию аудита базы данных.
Спецификация аудита базы данных включает действия аудита уровня базы данных, вызываемые компонентом расширенных событий. В спецификацию аудита базы данных можно добавлять либо группы действий аудита, либо события аудита. События аудита — это атомарные действия, аудит которых может производиться ядром SQL Server. Группы действий аудита — это стандартные группы действий. Они расположены в области базы данных SQL Server. Эти действия передаются аудиту, который регистрирует их в целевом объекте. Не включайте объекты области сервера, такие как системные представления, в пользовательскую спецификацию аудита базы данных.
Группы действий аудита уровня базы данных описываются в разделе Действия и группы действий подсистемы аудита SQL Server.
Назначение
Результаты аудита отправляются цели, которая может быть файлом, журналом событий безопасности Windows или журналом событий приложений Windows. (В ОС Windows XP запись в журнал событий безопасности Windows невозможна.) Журналы необходимо периодически просматривать и архивировать, чтобы у цели оставалось достаточно места для создания дополнительных записей.
Важно! |
---|
Любой прошедший проверку пользователь может осуществлять чтение и запись в журнале событий приложений. Для работы с журналом событий приложений необходимо меньше разрешений, чем для работы с журналом событий безопасности Windows; журнал событий приложений менее защищен, чем журнал событий безопасности Windows. |
Для записи в журнал событий безопасности Windows необходимо добавить в политику Создание аудитов безопасности учетную запись службы SQL Server. По умолчанию в эту политику входят учетные записи «Локальная система», «Локальная служба» и «Сетевая служба». Этот параметр можно настроить с помощью оснастки политики безопасности (secpol.msc). Кроме того, политика безопасности Аудит доступа к объектам должна быть включена для регистрации как успешных, так и неуспешных действий. Этот параметр можно настроить с помощью оснастки политики безопасности (secpol.msc). В ОС Windows Vista и Windows Server 2008 можно проводить более детальную настройку создаваемых приложением политик из командной строки с помощью программы политики аудита (AuditPol.exe). Дополнительные сведения по включению функции записи в журнал безопасности Windows см. в разделе Как записывать события аудита сервера в журнал безопасности. Дополнительные сведения о программе Auditpol.exe можно найти в статье базы знаний номер 921469, Использование групповой политики для детальной настройки аудита безопасности. Журналы событий Windows являются глобальными для операционной системы Windows. Дополнительные сведения о журналах событий Windows см. в разделе Общие сведения о средстве просмотра событий. Если для аудита необходимы более точные разрешения, используйте назначение «двоичный файл».
Если данные аудита сохраняются в файл, то для предотвращения подмены можно ограничить доступ к файлу следующим образом.
Учетная запись службы SQL Server должна обладать разрешением на чтение и запись.
Администраторам аудита обычно требуется разрешение на чтение и запись. Здесь подразумевается, что администраторы аудита — это учетные записи Windows, предназначенные для администрирования файлов аудита, в том числе копирования их в другие общие папки, резервного копирования и других операций.
Агенты чтения аудита должны иметь разрешение только для чтения файлов аудита.
Даже если запись в файл выполняется компонентом Database Engine, другие пользователи Windows могут прочитать файл аудита, если имеют нужное разрешение. Компонент Database Engine не получает монопольную блокировку, запрещающую операции чтения.
Поскольку компонент Database Engine может получать доступ к файлу, то имена входа SQL Server, имеющие разрешение CONTROL SERVER, могут использовать компонент Database Engine для доступа к файлам аудита. Чтобы зарегистрировать пользователей, читающих файлы аудита, определите аудит в функции master.sys.fn_get_audit_file. В результате будут записаны имена входа с разрешением CONTROL SERVER, которые получали доступ к файлу аудита через SQL Server.
Если администратор аудита скопирует файл в другое место (в целях архивирования или по другой причине), то список управления доступом к новому месту следует сократить до следующего набора разрешений:
администратор аудита — чтение и запись;
агент чтения аудита — только чтение.
Рекомендуется создавать отчеты аудита в отдельном экземпляре SQL Server, например в экземпляре SQL Server Express, к которому будут иметь доступ только администраторы аудита и агенты чтения аудита. Использование отдельного экземпляра компонента Database Engine для составления отчетов помогает предотвратить несанкционированный доступ пользователей к записям аудита.
Можно обеспечить дополнительную защиту от несанкционированного доступа путем шифрования папки, в которой хранится файл аудита, с применением шифрования диска Windows BitLocker или шифрованной файловой системы Windows (EFS).
Дополнительные сведения о записях аудита, записываемых в целевое назначение, см. в разделе Записи подсистемы аудита SQL Server.
Общие сведения об использовании подсистемы аудита SQL Server
Для определения аудита можно использовать среду SQL Server Management Studio или Transact-SQL. После создания и включения аудита он начнет вести записи в целевое назначение.
Просматривать журналы событий Windows можно с помощью программы Средство просмотра событий в Windows. Для чтения целевых файлов можно использовать Средство просмотра журнала, среду SQL Server Management Studio или функцию fn_read_audit_file.
Обычно процесс создания и использования аудита происходит следующим образом.
Создайте аудит и определите цель.
Создается либо спецификация аудита сервера, либо спецификация аудита базы данных, которая сопоставляет аудит. Включается спецификация аудита.
Включите аудит.
Производится считывание событий аудита с помощью Просмотр событий Windows, Средства просмотра журнала или функции fn_get_audit_file.
В разделе Инструкции по подсистеме аудита SQL Server приводятся примеры использования аудита в среде SQL Server Management Studio и в Transact-SQL.
Замечания
В случае ошибки при инициализации аудита сервер не будет запущен. В этом случае сервер может быть запущен, если в командную строку включить параметр –f.
Если ошибка аудита вызывает отключение сервера или не дает ему запуститься, поскольку для аудита был задан режим ON_FAILURE=SHUTDOWN, то в журнал будет записано событие MSG_AUDIT_FORCED_SHUTDOWN. Поскольку выключение происходит при первом возникновении этого события, это событие будет записано один раз. Это событие записывается после получения сообщения об ошибке, означающего, что аудит вызвал отключение. Администратор может обойти выключения, вызываемые аудитом, запустив SQL Server в однопользовательском режиме, используя флаг –m. При запуске в однопользовательском режиме будет произведено изменение настроек любого аудита, запускающегося в этом сеансе, для которого было задано условие ON_FAILURE=SHUTDOWN. Такие аудиты будут запускаться с условием ON_FAILURE=CONTINUE. Если SQL Server запускается с использованием флага –m, то в журнал ошибок будет записано сообщение MSG_AUDIT_SHUTDOWN_BYPASSED.
Дополнительные сведения о параметрах запуска службы см. в разделе Использование параметров запуска службы SQL Server.
Присоединение базы данных с определенным аудитом
При присоединении базы данных, имеющей спецификацию аудита с идентификатором GUID, который не существует на сервере, такая спецификация аудита получит состояние потерянная. Поскольку в экземпляре сервера не существует аудита с совпадающим идентификатором GUID, события аудита записываться не будут. Исправить эту ситуацию можно, используя команду ALTER DATABASE AUDIT SPECIFICATION для присоединения потерянной спецификации аудита к существующему аудиту сервера. Также можно использовать команду CREATE SERVER AUDIT для создания на сервере нового аудита с указанным идентификатором GUID.
Базу данных, для которой была задана спецификация аудита, можно присоединить к другому выпуску SQL Server, не поддерживающему подсистему аудита SQL Server, например SQL Server Express, но запись событий аудита производиться не будет.
Зеркальное отображение баз данных и подсистема аудита SQL Server
Если для базы данных определена спецификация аудита базы данных и используется зеркальное отображение базы данных, то в нее будет включена спецификация аудита базы данных. Для правильной работы на зеркальном экземпляре SQL необходимо выполнить настройку следующих элементов.
Чтобы спецификация аудита базы данных могла создавать записи аудита, на зеркальном сервере должен присутствовать аудит с тем же идентификатором GUID. Это можно настроить с помощью команды CREATE AUDIT WITH GUID=<GUID from source Server Audit>.
При использовании в качестве цели двоичного файла учетная запись службы зеркального сервера должна обладать необходимыми разрешениями на место назначения, куда производится запись аудиторского следа.
При использовании в качестве целей журналов событий Windows политика безопасности на компьютере, на котором расположен зеркальный сервер, должна разрешать учетной записи службы доступ к журналу событий безопасности или приложений.
См. также