Поделиться через


Действия и группы действий подсистемы аудита SQL Server

Подсистема аудита SQL Server позволяет производить аудит групп событий или отдельных событий на уровне сервера или базы данных. Дополнительные сведения см. в разделе Основные сведения о подсистеме аудита SQL Server.

Аудит SQL Server может содержать ноль или более элементов действий аудита. Эти элементы действий аудита могут быть как группами действий, например Server_Object_Change_Group, так и отдельными действиями, например операциями SELECT для таблицы.

ПримечаниеПримечание

Server_Object_Change_Group включает операции CREATE, ALTER и DROP для любого серверного объекта (базы данных или конечной точки).

У операций аудита могут быть следующие категории действий.

  • Уровня сервера. Эти действия включают серверные операции, например изменения управления и операции входа и выхода из системы.

  • Уровня базы данных. Эти действия включают в себя операции языка обработки данных (DML) и языка DDL.

  • Уровня аудита. Эти действия включают в себя действия, происходящие во время аудита.

Некоторые действия, выполняемые в компонентах подсистемы аудита SQL Server, подлежат внутреннему аудиту; в этом случае действия аудита происходят автоматически, поскольку событие происходит в родительском объекте.

Следующие действия подлежат аудиту по своей природе.

  • Изменение состояния подсистемы аудита сервера (включение или отключение)

Это событие по своей природе не подлежат аудиту.

  • CREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATION

Все операции аудита отключаются при первоначальном создании.

Группы действий аудита уровня сервера

Группы действий аудита уровня сервера — это действия, похожие на классы событий аудита безопасности SQL Server. Дополнительные сведения см. в разделе Руководство по классам событий SQL Server.

В следующей таблице приведены группы действий аудита уровня сервера и представлены эквивалентные классы событий SQL Server (если возможно).

Имя группы действий

Описание

SUCCESSFUL_LOGIN_GROUP

Указывает, что участник успешно выполнил вход в SQL Server. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Класс событий Audit Login.

LOGOUT_GROUP

Указывает, что участник отключился от SQL Server. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Класс событий Audit Logout.

FAILED_LOGIN_GROUP

Указывает, что участник выполнил попытку входа в SQL Server, которая завершилась неудачно. События этого класса вызываются новыми соединениями или соединениями, которые многократно используются в пуле соединений. Эквивалентно Класс событий Audit Login Failed.

LOGIN_CHANGE_PASSWORD_GROUP

Это событие появляется при изменении пароля входа с помощью инструкции ALTER LOGIN или хранимой процедуры sp_password. Эквивалентно Класс событий Audit Login Change Password.

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP

Это событие появляется при изменении пароля для роли приложения. Эквивалентно Класс событий Audit App Role Change Password.

SERVER_ROLE_MEMBER_CHANGE_GROUP

Это событие появляется при добавлении или удалении имени входа из предопределенной роли сервера. Это событие вызывается хранимыми процедурами sp_addsrvrolemember и sp_dropsrvrolemember. Эквивалентно Класс событий Audit Add Login to Server Role.

DATABASE_ROLE_MEMBER_CHANGE_GROUP

Это событие вызывается каждый раз, когда имя входа добавляется в роль базы данных или удаляется из нее. Этот класс событий вызывается хранимыми процедурами sp_addrolemember, sp_changegroup и sp_droprolemember. Это событие появляется при изменении члена любой роли базы данных в любой базе данных. Эквивалентно Класс событий Audit Add Member to DB Role.

BACKUP_RESTORE_GROUP

Это событие вызывается командой резервного копирования или восстановления. Эквивалентно Класс событий Audit Backup/Restore.

DBCC_GROUP

Это событие появляется при вызове участником любой команды DBCC. Эквивалентно Класс событий Audit DBCC.

SERVER_OPERATION_GROUP

Это событие возникает при использовании таких операций аудита безопасности, как изменение параметров, ресурсов, внешнего доступа или авторизации. Эквивалентно Класс событий Audit Server Operation.

DATABASE_OPERATION_GROUP

Это событие вызывается при выполнении различных операций в базе данных, например при создании контрольной точки или уведомлении о запросе подписки. Это событие возникает при любой операции с базой данных в любой базе данных. Эквивалентно Класс событий Audit Database Operation.

AUDIT_ CHANGE_GROUP

Это событие возникает при создании, изменении или удалении любого аудита. Это событие возникает при создании, изменении или удалении спецификации любого аудита. Аудит любых изменений в аудите производится в этом аудите.

SERVER_STATE_CHANGE_GROUP

Это событие возникает при изменении состояния службы SQL Server. Эквивалентно Класс событий Audit Server Starts and Stops.

SERVER_OBJECT_CHANGE_GROUP

Это событие возникает при выполнении операций CREATE, ALTER или DROP с объектами сервера. Эквивалентно Класс событий Audit Server Object Management.

SERVER_PRINCIPAL_CHANGE_GROUP

Это событие возникает при создании, изменении и удалении участников на уровне сервера. Эквивалентно Класс событий Audit Server Principal Management.

Это событие возникает при вызове участником хранимых процедур sp_defaultdb или sp_defaultlanguage или инструкций ALTER LOGIN. Эквивалентно Класс событий Audit Addlogin.

Это событие вызывается хранимыми процедурами sp_addlogin и sp_droplogin. Также эквивалентно Класс событий Audit Login Change Property.

Это событие вызывается хранимыми процедурами sp_grantlogin, sp_revokelogin или sp_denylogin. Эквивалентно Класс событий Audit Login GDR.

DATABASE_CHANGE_GROUP

Это событие вызывается при создании, изменении или удалении базы данных. Это событие возникает при создании, изменении или удалении любой базы данных. Эквивалентно Класс событий Audit Database Management.

DATABASE_OBJECT_CHANGE_GROUP

Это событие вызывается в тот момент, когда для объекта базы данных (например, для схемы) выполняется инструкция CREATE, ALTER или DROP. Это событие возникает при создании, изменении или удалении любого объекта базы данных.

ПримечаниеПримечание
Это приводит к очень большому количеству записей аудита.

Эквивалентно Класс событий Audit Database Object Management.

DATABASE_PRINCIPAL_CHANGE_GROUP

Это событие создается при создании, изменении или удалении из базы данных участников, таких как пользователи. Эквивалентно Класс событий Audit Database Principal Management. (Также эквивалентно классу событий подсистемы аудита «Add DB Principal», вызываемому устаревшими хранимыми процедурами sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal и sp_dropPrincipal).

Это событие возникает при создании или удалении роли базы данных с помощью хранимых процедур sp_addrole или sp_droprole. Это событие возникает при создании, изменении или удалении любых участников базы данных из любой базы данных. Оно эквивалентно классу событий Класс событий Audit Add Role.

SCHEMA_OBJECT_CHANGE_GROUP

Это событие вызывается в момент выполнения для схемы операции CREATE, ALTER или DROP. Эквивалентно Класс событий Audit Schema Object Management.

Это событие вызывается для объектов схемы. Эквивалентно Класс событий Audit Object Derived Permission.

Это событие возникает при изменении любой схемы любой базы данных. Эквивалентно Класс событий Audit Statement Permission.

SERVER_PRINCIPAL_IMPERSONATION_GROUP

Это событие возникает при использовании в области действия сервера олицетворения, например команды EXECUTE AS <login>. Эквивалентно Класс событий Audit Server Principal Impersonation.

DATABASE_PRINCIPAL_IMPERSONATION_GROUP

Это событие возникает при использовании в области базы данных операции олицетворения, например EXECUTE AS <principal> или SETPRINCIPAL. Это событие возникает при использовании олицетворения в любой базе данных. Эквивалентно Класс событий Audit Database Principal Impersonation.

SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP

Это событие возникает при изменении владельца объектов в области сервера. Эквивалентно Класс событий Audit Server Object Take Ownership.

DATABASE_OWNERSHIP_CHANGE_GROUP

Это событие вызывается при смене владельца базы данных инструкцией ALTER AUTHORIZATION в момент проверки разрешений на эту операцию. Это событие возникает при любом изменении владельца базы данных в любой базе данных на сервере. Эквивалентно Класс событий Audit Change Database Owner.

DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP

Это событие возникает при изменении владельца объекта в области базы данных. Это событие возникает при любом изменении владельца объекта в любой базе данных на сервере. Эквивалентно Класс событий Audit Database Object Take Ownership.

SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP

Это событие возникает при проверке разрешений на смену владельца объекта схемы (таблицы, процедуры, функции и т. д.). Возникает, когда объекту назначается владелец при помощи инструкции ALTER AUTHORIZATION. Это событие возникает при любом изменении владельца схемы в любой базе данных на сервере. Эквивалентно Класс событий Audit Schema Object Take Ownership.

SERVER_PERMISSION_CHANGE_GROUP

Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешений в области действия сервера, например для создания имени входа. Эквивалентно Класс событий Audit Server Scope GDR.

SERVER_OBJECT_PERMISSION_CHANGE_GROUP

Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешений на объекты сервера любым участником SQL Server. Эквивалентно Класс событий Audit Server Object GDR.

DATABASE_PERMISSION_CHANGE_GROUP

Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешения на выполнение инструкции любым участником SQL Server (применяется только к событиям базы данных, например предоставлению разрешений на базу данных).

Это событие возникает при любом изменении разрешения базы данных (GDR) для любой базы данных на сервере. Эквивалентно Класс событий Audit Database Scope GDR.

DATABASE_OBJECT_PERMISSION_CHANGE_GROUP

Это событие возникает в тот момент, когда для объекта базы данных (например, сборки или схемы) выполняется инструкция GRANT, REVOKE или DENY. Это событие возникает при любом изменении разрешения на объект для любой базы данных на сервере. Эквивалентно Класс событий Audit Database Object GDR.

SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP

Это событие возникает при выполнении инструкции GRANT, REVOKE или DENY для объекта схемы. Эквивалентно Класс событий «Audit Schema Object GDR».

DATABASE_OBJECT_ACCESS_GROUP

Это событие вызывается каждый раз при обращении к типам сообщений, сборкам и контрактам.

Это событие возникает при любом доступе к любой базе данных.

ПримечаниеПримечание
Это может привести к появлению большого количества записей аудита.

Эквивалентно Класс событий Audit Database Object Access.

SCHEMA_OBJECT_ACCESS_GROUP

Это событие возникает при применении разрешения на объект в схеме. Эквивалентно Класс событий Audit Schema Object Access.

BROKER_LOGIN_GROUP

Это событие вызывается для составления отчета о сообщениях аудита, связанных с механизмом обеспечения безопасности транспорта компонента Service Broker. Эквивалентно Класс событий Audit Broker Login.

DATABASE_MIRRORING_LOGIN_GROUP

Это событие вызывается для составления отчета о сообщениях аудита, связанных с механизмом обеспечения безопасности транспорта зеркального отображения базы данных. Эквивалентно Класс событий Audit Database Mirroring Login.

TRACE_CHANGE_GROUP

Это событие вызывается для всех инструкций, выполняющих проверку на разрешение ALTER TRACE. Эквивалентно Класс событий Audit Server Alter Trace.

Замечания

Группы действий уровня сервера охватывают действия, происходящие на всем экземпляре SQL Server. Например, если соответствующая группа будет возвращена в спецификацию аудита сервера, то будет производиться запись любой проверки доступа к объекту схемы в любой базе данных. В спецификации аудита базы данных производится запись доступа только к объектам схемы этой базе данных.

Действия уровня сервера не позволяют проводить подробную фильтрацию действий уровня базы данных. Для точной фильтрации действий необходим аудит уровня базы данных, например аудит действий SELECT в таблице Customers, производимых от лица имен входа в группе Employee. Не включайте объекты области сервера, такие как системные представления, в пользовательскую спецификацию аудита базы данных.

Группы действий аудита уровня базы данных

Группы действий аудита уровня базы данных — это действия, похожие на классы событий аудита безопасности SQL Server. Дополнительные сведения о классах событий см. в разделе Руководство по классам событий SQL Server.

В следующей таблице описываются группы действий аудита уровня базы данных и предоставляются эквивалентные классы событий SQL Server (где возможно).

Имя группы действий

Описание

DATABASE_ROLE_MEMBER_CHANGE_GROUP

Это событие вызывается каждый раз, когда имя входа добавляется в роль базы данных или удаляется из нее. Этот класс событий вызывается хранимыми процедурами sp_addrolemember, sp_changegroup и sp_droprolemember. Он эквивалентен Класс событий Audit Add Member to DB Role.

DATABASE_OPERATION_GROUP

Это событие вызывается при выполнении различных операций в базе данных, например при создании контрольной точки или уведомлении о запросе подписки. Эквивалентно Класс событий Audit Database Operation.

DATABASE_CHANGE_GROUP

Это событие вызывается при создании, изменении или удалении базы данных. Эквивалентно Класс событий Audit Database Management.

DATABASE_OBJECT_CHANGE_GROUP

Это событие вызывается в тот момент, когда для объекта базы данных (например, для схемы) выполняется инструкция CREATE, ALTER или DROP. Эквивалентно Класс событий Audit Database Object Management.

DATABASE_PRINCIPAL_CHANGE_GROUP

Это событие создается при создании, изменении или удалении из базы данных участников, таких как пользователи. Эквивалентно Класс событий Audit Database Principal Management. Также эквивалентно классу событий Класс событий Audit Add DB User, вызываемому устаревшими хранимыми процедурами sp_grantdbaccess, sp_revokedbaccess, sp_adduser и sp_dropuser.

Это событие возникает при создании или удалении роли базы данных с помощью устаревших хранимых процедур sp_addrole и sp_droprole. Эквивалентно Класс событий Audit Add Role.

SCHEMA_OBJECT_CHANGE_GROUP

Это событие вызывается в момент выполнения для схемы операции CREATE, ALTER или DROP. Эквивалентно Класс событий Audit Schema Object Management.

Это событие вызывается для объектов схемы. Эквивалентно Класс событий Audit Object Derived Permission. Также эквивалентно Класс событий Audit Statement Permission.

DATABASE_PRINCIPAL_IMPERSONATION_GROUP

Это событие возникает при использовании в области базы данных олицетворения, например команды EXECUTE AS <user> или SETUSER. Эквивалентно Класс событий Audit Database Principal Impersonation.

DATABASE_OWNERSHIP_CHANGE_GROUP

Это событие вызывается при смене владельца базы данных инструкцией ALTER AUTHORIZATION в момент проверки разрешений на эту операцию. Эквивалентно Класс событий Audit Change Database Owner.

DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP

Это событие возникает при изменении владельца объектов в области базы данных. Эквивалентно Класс событий Audit Database Object Take Ownership.

SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP

Эквивалентно классу событий Audit Schema Object Take Ownership. Это событие возникает при проверке разрешений на смену владельца объекта схемы (таблицы, процедуры, функции и т. д.). Возникает, когда объекту назначается владелец при помощи инструкции ALTER AUTHORIZATION.

DATABASE_PERMISSION_CHANGE_GROUP

Это событие возникает в случае, когда инструкции GRANT, REVOKE или DENY выдаются для разрешения на выполнение инструкции любым пользователем SQL Server (применяется только к событиям базы данных, например предоставлению разрешений на базу данных). Эквивалентно Класс событий Audit Database Scope GDR.

DATABASE_OBJECT_PERMISSION_CHANGE_GROUP

Это событие возникает в тот момент, когда для объекта базы данных (например, сборки или схемы) выполняется инструкция GRANT, REVOKE или DENY. Эквивалентно Класс событий Audit Database Object GDR.

SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP

Это событие возникает при вызове инструкции GRANT, REVOKE или DENY для объекта схемы. Эквивалентно Класс событий «Audit Schema Object GDR».

DATABASE_OBJECT_ACCESS_GROUP

Это событие вызывается каждый раз, когда производится доступ к сертификатам, асимметричным ключам и другим объектам базы данных. Эквивалентно Класс событий Audit Database Object Access.

SCHEMA_OBJECT_ACCESS_GROUP

Это событие возникает при применении разрешения на объект в схеме. Эквивалентно Класс событий Audit Schema Object Access.

Действия аудита уровня базы данных

Действия аудита уровня базы данных поддерживают аудит напрямую в базе данных, схеме или в объектах схемы, например в таблицах, представлениях, хранимых процедурах, функциях, расширенных хранимых процедурах, очередях, синонимах. Не подлежат аудиту типы, коллекции схем XML, база данных и схема. Аудит объектов схемы можно настроить для схемы и базы данных. Это означает, что будет выполнен аудит событий всех объектов схемы, содержащихся в указанной схеме или базе данных. В следующей таблице описываются действия аудита уровня базы данных.

Действие

Описание

SELECT

Это событие возникает при вызове инструкции SELECT.

UPDATE

Это событие возникает при вызове инструкции UPDATE.

INSERT

Это событие возникает при вызове инструкции INSERT.

DELETE

Это событие возникает при вызове инструкции DELETE.

EXECUTE

Это событие возникает при вызове инструкции EXECUTE.

RECEIVE

Это событие возникает при вызове инструкции RECEIVE.

REFERENCES

Это событие возникает при проверке разрешения REFERENCES.

Замечания

Действия аудита уровня базы данных не применяются к столбцам.

Если обработчик запросов параметризует запрос, параметр может отображаться в журнале событий аудита вместо значений столбца запроса.

Группы действий аудита уровня аудита

Также можно производить аудит действий, происходящих во время аудита. Это можно осуществлять как в области сервера, так и в области базы данных. В области базы данных это справедливо только для спецификаций аудита базы данных. В следующей таблице описываются группы действий аудита уровня аудита.

Имя группы действий

Описание

AUDIT_ CHANGE_GROUP

Это событие возникает при вызове одной из следующих команд:

  • CREATE SERVER AUDIT

  • ALTER SERVER AUDIT

  • DROP SERVER AUDIT

  • CREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATION

См. также

Справочник

Основные понятия