Подсистема аудита SQL Server (Database Engine)
Область применения:
SQL Server Управляемый экземпляр SQL Azure
Аудит экземпляра СУБД Microsoft SQL Server или отдельной базы данных включает в себя отслеживание и журналирование событий, происходящих в СУБД. Подсистема аудита SQL Server позволяет проводить аудит сервера, который может предусматривать спецификации аудита серверов для событий на уровне сервера и спецификации аудита баз данных для событий на уровне базы данных. События аудита могут записываться в журналы событий или файлы аудита.
Внимание
В Управляемом экземпляре SQL Azure эта функция T-SQL имеет определенные изменения в поведении. Подробные сведения обо всех изменениях поведения T-SQL см. в статье Различия T-SQL между Управляемым экземпляром SQL Azure и SQL Server.
Для SQL Server есть несколько уровней аудита в зависимости от нормативных или стандартных требований для вашей установки. Подсистема аудита SQL Server предоставляет средства и процессы, необходимые для включения, хранения и просмотра аудитов на различных объектах серверов и баз данных.
Группы действий аудита сервера можно записывать по отдельному экземпляру, а группы действий аудита базы данных или действия аудита базы данных — для каждой базы данных. Событие аудита возникает при каждом обнаружении действия, допускающего аудит.
Все выпуски SQL Server поддерживают аудиты на уровне сервера. Все выпуски поддерживают аудит уровня базы данных, начиная с SQL Server 2016 (13.x) с пакетом обновления 1 (SP1). Раньше аудит на уровне базы данных был доступен только в редакциях Enterprise, Developer и Evaluation. Дополнительные сведения см. в разделе Функции, поддерживаемые различными выпусками SQL Server 2016.
Примечание.
Этот раздел относится к SQL Server. Для базы данных SQL см. статью Начало работы с аудитом базы данных SQL.
Компоненты подсистемы аудита SQL Server
Аудит — это сочетание в едином пакете нескольких элементов для определенной группы действий сервера или базы данных. Компоненты аудита SQL Server объединяются для создания выходных данных, которые называются аудитом, так же, как определение отчета в сочетании с графическими элементами и элементами данных создает отчет.
Аудит SQL Server использует расширенные события для создания аудита. Дополнительные сведения о расширенных событиях см. в разделе Расширенные события.
Аудит SQL Server
Объект Подсистема аудита SQL Server объединяет отдельные экземпляры действий или групп действий уровня сервера или базы данных, за которыми нужно проводить наблюдение. Аудит выполняется на уровне экземпляра SQL Server. Для каждого экземпляра SQL Server можно выполнить несколько аудитов.
При определении аудита задается место для вывода результатов. Это пункт назначения аудита. Аудит создается в отключенном состоянии и не выполняет автоматический аудит каких-либо действий. После включения аудита пункт назначения аудита начинает получать от него данные.
Спецификация аудита сервера
Объект Спецификация аудита сервера принадлежит аудиту. Вы можете создать только одну спецификацию аудита сервера на каждый аудит, поскольку оба создаются в контексте экземпляра SQL Server.
Спецификация аудита сервера собирает множество групп действий уровня сервера, вызываемых компонентом расширенных событий. В спецификацию аудита сервера можно включить группы действий аудита . Группы действий аудита — это предопределенные группы операций, которые являются атомарными событиями, происходящими в ядре СУБД. Эти действия передаются аудиту, который регистрирует их в целевом объекте.
Группы действий аудита на уровне сервера описаны в статье Группы и действия аудита SQL Server.
Примечание.
Из-за ограничений производительности мы не проверяем tempdb и временные таблицы. Хотя пакетная завершенная группа действий фиксирует инструкции во временных таблицах, они могут неправильно заполнять имена объектов. Однако исходная таблица всегда проверяется, обеспечивая запись всех вставок из исходной таблицы во временные таблицы.
Спецификация аудита базы данных
Объект спецификации аудита базы данных также принадлежит аудиту SQL Server. Для аудита вы можете создать одну спецификацию аудита базы данных для каждой базы данных SQL Server.
Спецификация аудита базы данных включает действия аудита уровня базы данных, вызываемые компонентом расширенных событий. В спецификацию аудита базы данных можно добавлять либо группы действий аудита, либо события аудита. События аудита — это атомарные действия, которые могут быть проверены подсистемой SQL Server. Группы действий аудита — это стандартные группы действий. Оба находятся в пределах базы данных SQL Server. Эти действия передаются аудиту, который регистрирует их в целевом объекте. Не включать объекты с областью действия сервера, например системные представления, в спецификацию аудита пользовательской базы данных.
Группы действий аудита на уровне базы данных и действия аудита описаны в статье sql Server Audit Action Groups and Actions.
Цель
Результаты аудита отправляются цели, которая может быть файлом, журналом событий безопасности Windows или журналом событий приложений Windows. Журналы должны периодически проверяться и архивироваться, чтобы убедиться, что целевой объект имеет достаточно места для записи дополнительных записей.
Внимание
Любой прошедший проверку пользователь может осуществлять чтение и запись в журнале событий приложений. Для работы с журналом событий приложений необходимо меньше разрешений, чем для работы с журналом событий безопасности Windows; журнал событий приложений менее защищен, чем журнал событий безопасности Windows.
Запись в журнал безопасности Windows требует добавления учетной записи службы SQL Server в политику Создание аудитов безопасности. По умолчанию в эту политику входят учетные записи «Локальная система», «Локальная служба» и «Сетевая служба». Этот параметр можно настроить с помощью оснастки политики безопасности (secpol.msc). Кроме того, политика безопасности Аудит доступа к объектам должна быть включена для регистрации как успешных , так и неуспешныхдействий. Этот параметр можно настроить с помощью оснастки политики безопасности (secpol.msc). В Windows Vista или Windows Server 2008 (и более поздних версиях) можно задать более детализированную политику, созданную в командной строке, с помощью программы политики аудита (AuditPol.exe). Дополнительные сведения по включению функции записи в журнал безопасности Windows см. в разделе Запись событий подсистемы аудита SQL Server в журнал безопасности. Дополнительные сведения о программе Auditpol.exe см. в статье базы знаний 921469 Использование групповой политики для детальной настройки аудита безопасности. Журналы событий Windows являются глобальными для операционной системы Windows. Дополнительные сведения о журналах событий Windows см. в разделе Общие сведения о средстве просмотра событий. Если вам нужны более точные разрешения для аудита, используйте двоичный файл в качестве цели.
При сохранении сведений аудита в файл, чтобы предотвратить изменение, вы можете ограничить доступ к расположению файла следующими способами:
Учетная запись службы SQL Server должна иметь разрешение на чтение и запись.
Администраторам аудита обычно требуется разрешение на чтение и запись. Здесь подразумевается, что администраторы аудита — это учетные записи Windows, предназначенные для администрирования файлов аудита, в том числе копирования их в другие общие папки, резервного копирования и других операций.
Читатели аудита, которым разрешено читать аудиторские файлы, должны иметь разрешение на чтение.
Даже если ядро СУБД записывается в файл, другие пользователи Windows могут считывать файл аудита, если у них есть разрешение. Ядро СУБД не принимает монопольную блокировку, которая предотвращает операции чтения.
Поскольку модуль базы данных может получить доступ к файлу, учетные записи SQL Server с разрешением CONTROL SERVER могут использовать модуль базы данных для доступа к файлам аудита. Чтобы зарегистрировать каждого пользователя, который считывает файл аудита, настройте аудит на master.sys.fn_get_audit_file. В этом разделе записываются имена входа, обладающие правом CONTROL SERVER, которые обращались к файлу аудита через SQL Server.
Если администратор аудита копирует файл в другое расположение (для архивных целей и т. д.), списки управления доступом (ACL) в новом расположении должны быть сокращены до следующих разрешений:
Администратор аудита — чтение и запись
Просмотрщик аудита — только для чтения.
Рекомендуется создавать отчеты аудита из отдельного экземпляра SQL Server, например, экземпляра SQL Server Express, к которому имеют доступ только администраторы аудита или читатели аудита. Используя отдельный экземпляр ядро СУБД для создания отчетов, вы можете предотвратить доступ несанкционированных пользователей к записи аудита.
Вы можете обеспечить дополнительную защиту от несанкционированного доступа, зашифровав папку, в которой хранится файл аудита с помощью шифрования диска Windows BitLocker или файловой системы Windows Encrypting.
Для получения дополнительной информации о записях аудита, записываемых в целевой объект, см. раздел Записи подсистемы аудита SQL Server.
Общие сведения об использовании подсистемы аудита SQL Server
Для определения аудита можно использовать SQL Server Management Studio или Transact-SQL. После создания и включения аудита, целевой объект начнет получать записи.
Просматривать журналы событий Windows можно с помощью программы Средство просмотра событий в Windows. Для целевых объектов файлов можно использовать средство просмотра файлов журнала в SQL Server Management Studio или функцию fn_get_audit_file для чтения целевого файла.
Обычно процесс создания и использования аудита происходит следующим образом.
Создайте аудит и определите цель.
Создайте либо спецификацию аудита сервера, либо спецификацию аудита базы данных, которая связана с аудитом. Включить спецификацию аудита.
Включите аудит.
Читать события аудита, используя средство просмотра событий Windows , средство просмотра файлов журнала или функцию fn_get_audit_file.
Дополнительные сведения об аудите см. в разделах Создание аудита сервера и спецификации аудита сервера и Создание спецификации аудита для сервера и базы данных.
Рекомендации
В случае сбоя во время запуска аудита сервер не запустится. В этом случае его можно запустить, если в командную строку включить параметр -f.
При сбое аудита сервер завершает работу или не запускается, так как для аудита указано ON_FAILURE=SHUTDOWN, событие MSG_AUDIT_FORCED_SHUTDOWN записывается в журнал. Так как завершение работы происходит при первом обнаружении этого параметра, событие записывается один раз. Это событие записывается после получения сообщения об ошибке, означающего, что аудит вызвал отключение. Администратор может обойти отключение, вызванное аудитом, путем запуска SQL Server в режиме отдельного пользователя с помощью флага -m . Если вы начинаете работу в режиме одного пользователя, вы будете понижение уровня аудита, где ON_FAILURE=SHUTDOWN указывается для запуска в этом сеансе как ON_FAILURE=CONTINUE. При запуске SQL Server с помощью флага -m сообщение MSG_AUDIT_SHUTDOWN_BYPASSED записывается в журнал ошибок.
Дополнительные сведения о параметрах запуска службы см. в разделе Параметры запуска службы Database Engine.
Присоединение базы данных с определенным аудитом
Присоединение базы данных со спецификацией аудита и указанием GUID, который не существует на сервере, приведет к осиротевшей спецификации аудита. Поскольку аудит с соответствующим идентификатором GUID не существует на экземпляре сервера, события аудита не записываются. Исправить эту ситуацию можно, используя команду ALTER DATABASE AUDIT SPECIFICATION для присоединения потерянной спецификации аудита к существующему аудиту сервера. Также можно использовать команду CREATE SERVER AUDIT для создания на сервере нового аудита с указанным идентификатором GUID.
Можно подключить базу данных с спецификацией аудита, определенной в другом выпуске SQL Server, который не поддерживает аудит SQL Server, например SQL Server Express, но не записывает события аудита.
Зеркалирование баз данных и аудит SQL Server
Если для базы данных определена спецификация аудита базы данных и используется зеркальное отображение базы данных, то в нее будет включена спецификация аудита базы данных. Для правильной работы на зеркальном экземпляре SQL необходимо выполнить настройку следующих элементов.
Чтобы спецификация аудита базы данных могла создавать записи аудита, на зеркальном сервере должен присутствовать аудит с тем же идентификатором GUID. Это можно настроить с помощью команды CREATE AUDIT WITH GUID =<GUID из сервера аудита источника>.
При использовании в качестве цели двоичного файла учетная запись службы зеркального сервера должна обладать необходимыми разрешениями на место назначения, куда производится запись аудиторского следа.
Для целевых объектов журнала событий Windows политика безопасности на компьютере, на котором находится зеркальный сервер, должна разрешать доступ учетной записи службы к журналу событий безопасности или приложения.
Администраторы аудита
Члены предопределенной роли сервера sysadmin определены как пользователь dbo в каждой базе данных. Действия администраторов можно проверить, аудируя действия пользователя dbo.
Создание аудита и работа с ним на Transact-SQL
Для реализации всех аспектов аудита SQL Server можно использовать инструкции DDL, динамические административные представления и функции и представления каталога.
Инструкции языка определения данных (DDL)
Чтобы создать, изменить или удалить спецификацию аудита, можно использовать следующие инструкции DDL.
| Инструкции DDL | Описание |
|---|---|
| ИЗМЕНИТЬ АВТОРИЗАЦИЮ | Изменяет владельца защищаемого объекта. |
| ИЗМЕНИТЬ СПЕЦИФИКАЦИЮ АУДИТА БАЗЫ ДАННЫХ | Изменяет объект спецификации аудита базы данных с помощью компонента аудита SQL Server. |
| ALTER SERVER AUDIT | Изменяет объект аудита сервера с помощью компонента аудита SQL Server. |
| ИЗМЕНИТЬ СПЕЦИФИКАЦИЮ АУДИТА СЕРВЕРА | Изменяет объект спецификации аудита сервера с помощью компонента аудита SQL Server. |
| СОЗДАТЬ СПЕЦИФИКАЦИЮ АУДИТА БАЗЫ ДАННЫХ | Создает объект спецификации аудита базы данных с помощью компонента аудита SQL Server. |
| CREATE SERVER AUDIT | Создает объект аудита сервера с помощью компонента аудита SQL Server. |
| СОЗДАТЬ СПЕЦИФИКАЦИЮ АУДИТА СЕРВЕРА | Создает объект спецификации аудита сервера с помощью компонента аудита SQL Server. |
| УДАЛЕНИЕ СПЕЦИФИКАЦИИ АУДИТА БАЗЫ ДАННЫХ | Удаляет объект спецификации аудита базы данных с помощью компонента аудита SQL Server. |
| DROP SERVER AUDIT | Удаляет объект аудита сервера с использованием подсистемы аудита SQL Server. |
| УДАЛИТЬ СПЕЦИФИКАЦИЮ АУДИТА СЕРВЕРА | Удаляет объект спецификации аудита сервера с помощью компонента аудита SQL Server. |
Динамические представления и функции
В следующей таблице перечислены динамические представления и функции, которые можно использовать для аудита SQL Server.
| Динамические представления и функции | Описание |
|---|---|
| sys.dm_audit_actions | Возвращает строку для каждого действия аудита, которое может быть зарегистрировано в журнале аудита, и каждой группы действий аудита, которую можно настроить в рамках аудита SQL Server. |
| sys.dm_server_audit_status | Предоставляет сведения о текущем состоянии аудита. |
| sys.dm_audit_class_type_map | Возвращает таблицу, которая сопоставляет поле class_type в журнале аудита с полем class_desc в sys.dm_audit_actions. |
| fn_get_audit_file | Возвращает сведения из файла аудита, созданного в результате аудита сервера. |
Представления каталога
В следующей таблице перечислены представления каталога, которые можно использовать для аудита SQL Server.
| Представления каталога | Описание |
|---|---|
| sys.database_audit_specifications | Содержит информацию о спецификациях аудита базы данных в SQL Server на экземпляре сервера. |
| sys.database_audit_specification_details - детали спецификации аудита базы данных | Содержит сведения о спецификациях аудита базы данных в аудите SQL Server на экземпляре сервера для всех баз данных. |
| sys.server_audits | Содержит одну строку для каждого аудита SQL Server в экземпляре сервера. |
| sys.server_audit_specifications | Содержит сведения о спецификациях аудита сервера в подсистеме аудита SQL Server на экземпляре сервера. |
| sys.server_audit_specifications_details | Содержит информацию о деталях спецификации аудита сервера и действиях в аудите SQL Server на экземпляре сервера. |
| sys.server_file_audits | Содержит расширенные сведения о типе проверки файлов в аудите SQL Server на экземпляре сервера. |
Разрешения
Каждая функция и команда аудита SQL Server имеют отдельные требования к разрешениям.
Чтобы создать, изменить или удалить аудит сервера или спецификацию аудита сервера, пользователям сервера требуется разрешение ALTER ANY SERVER AUDIT или CONTROL SERVER. Чтобы создать, изменить или удалить спецификацию аудита базы данных, участникам базы данных требуется разрешение ALTER ANY DATABASE AUDIT либо разрешение ALTER или CONTROL на эту базу данных. Кроме того, управляющим необходимо разрешение на подключение к базе данных либо разрешения ALTER ANY SERVER AUDIT или CONTROL SERVER.
Разрешение VIEW ANY DEFINITION предоставляет доступ на просмотр представлений аудита на уровне сервера, а разрешение VIEW DEFINITION — на уровне базы данных. Отказ в предоставлении этих разрешений переопределяет возможность просмотра видов каталога, даже если у принципала есть разрешения ALTER ANY SERVER AUDIT или ALTER ANY DATABASE AUDIT.
Дополнительные сведения о предоставлении прав и разрешений см. в разделе GRANT (Transact-SQL).
Внимание
Члены роли sysadmin могут изменять любой компонент аудита; члены роли db_owner могут изменять спецификации аудита в базе данных. Аудит SQL Server проверяет, чтобы логин, создающий или изменяющий спецификацию аудита, имел по крайней мере разрешение ALTER ANY DATABASE AUDIT. Однако при присоединении базы данных проверка не производится. Следует считать, что спецификации аудита базы данных настолько надежны, насколько надежны участники, имеющие роли sysadmin или db_owner.
Связанные задачи
Создание аудита сервера и спецификации аудита сервера
Создание спецификации аудита для сервера и базы данных
Просмотр журнала подсистемы аудита SQL Server
Запись событий подсистемы аудита SQL Server в журнал безопасности
Статьи, связанные с аудитом
Свойства сервера (страница "Безопасность")
Описание включения аудита входа для SQL Server. Записи аудита хранятся в журнале приложений Windows.
Параметр конфигурации сервера "c2 audit mode"
Объясняет режим аудита соответствия безопасности C2 в SQL Server.
Категория событий Аудита Безопасности (приложение SQL Server Profiler)
Объясняет события аудита, которые можно использовать в SQL Server Profiler. Дополнительные сведения см. в разделе SQL Server Profiler.
Трассировка SQL
Рассказывает о том, как можно использовать трассировку SQL в ваших собственных приложениях для создания трасс вручную, а не с помощью SQL Server Profiler.
Триггеры DDL
Объясняется, как можно использовать триггеры языка DDL для отслеживания изменения в базах данных.
Microsoft TechNet, технический центр SQL Server: "SQL Server 2005 — безопасность и защита"
Предоставляет актуальные сведения о безопасности SQL Server.