SQLServer2008R2数据库审核操作—创建审计.docx

SQ1.Server2008R2数据库审核操作一、了解SQ1.Server审核 审核的概念“审核”是将若干元素组合到一个包中，用于执行一组特定服务器操作或数据库操作。SQ1.Server审核的组件组合生成的输出就称为审核，就如同报表定义与图形和数据元素组合生成报表一样。 SQ1.Server审核"SQ1.Server审核”对象收集单个服务器实例或数据库级操作和操作组以进行监视。这种审核处于SQ1.Server实例级别。每个SQ1.Server实例可以具有多个审核。定义审核时，将指定结果的输出位置。这是审核的目标位置。审核是在禁用状态下创建的，因此不会自动审核任何操作。启用审核后，审核目标将从审核接收数据。 服务器审核规范“服务器审核规范”对象属于审核。您可以为每个审核创建一个服务器审核规范，因为它们都是在SQ1.Server实例范围内创建的。服务器审核规范可收集许多由扩展事件功能引发的服务器级操作组。您可以在服务器审核规范中包括“审核操作组”。审核操作组是预定义的操作组，它们是数据库引擎中发生的原子事件。这些操作将发送到审核，审核将它们记录到目标中。 数据库审核规范“数据库审核规范”对象也属于SQ1.Server审核。针对每个审核，您可以为每个SQ1.Server数据库创建一个数据库审核规范。数据库审核规范可收集由扩展事件功能引发的数据库级审核操作。您可以向数据库审核规范添加审核操作组或审核事件。“审核事件”是可以由SQ1.SerVer引擎审核的原子操作。“审核操作组”是预定义的操作组。它们都位于SQ1.Server数据库作用域。这些操作将发送到审核，审核将它们记录到目标中。 目标审核结果将发送到目标，目标可以是文件、WindoWS安全事件日志或Windows应用程序事件日志。二、如何创建服务器审核和服务器审核规范 说明必须先创建和配置可以用于审核的SQ1.SerVer审核对象，才可以创建服务器审核规范。若要完成此任务，需使用SQ1.ServerManagementStudio中的对象资源管理器来执行以下过程。 示例下面的示例创建一个名为rtServerAuditlw的审核规范，该规范用于将审核输出发送到Windows应用程序事件日志。此规范随后用于为默认服务器实例上的FAI1.ED_1.OGIN_GROUP创建服务器级别审核。1）创建新的审核规范在对象资源管理器中，以递归方式将“安全性”行点向下展开至"审核"。0（local）（SQ1.Server10.50.2500-FSAdmirBCJ数据库Cj系统数据库Cj数据库快照（JTest口安全性国1.j登录名国口服务器角色S）Cj凭据田亡Jl加密提供程序审核二ICj服务器审核规范（S口服务器花象（±）a复制田口告理B囹SQ1.Server代理右键单击"审核"，再单击“新建审核"这会打开“新建审核”页。在“审核名称"字段中键入ServerAuditl对于“审核目标”，请从列表中选择AppIication1.og说明：在审核目标中，可以选择File,将审核日志文件保存至单独路径文件中，或者是保存至系统的Security1.og,亦可以选择保存至系统的Application1.og中，可根据实际需求，符审核的日志存放在对应的路径中，假如在项目环境中不存在RSA日志采集设备或者其他的日志采集系统，推荐将审核日志保存至单独的FiIe中，便于提取日志对操作进行审核。 单击“确定”以接受默认设置，并保存新的审核规范。 展开“审核”可以看到刚创建的ServerAuditl审核。-I出(local)(SQ1.Server10.50.2500-FSAdmir国1.3维库E)2安全性口登录名i服务器角色S)凭据加奇提供程序ServerAuditlB二本核RlDi服务器亩蹒范田口服务器对象GD口复制田1.Jg理2)创建服务器级别审核规范在对象资源管理器中，右键单击服务器审核规范'，然后单击新建服务甥审核规范"。这将打开创建服务器审核规范'页。在'名称'字段中，键入AdventureworksServerAuditl.对于服务器审核请从列表中选择ServerAudit1.使用表网格，单击前缀为星号（*）的行。对于“审核操作类型”，请从列表中选取FAI1.ED_1.OGIN_GROUPC单击“确定”保存服务器审核规范。展开"审核"节点，并右键单击ServerAuditlo单击"启用审核"以启动审核。9(IosI)($5SttWf1O.5O.2SOOFSXAdmirqmxsCi安金住®j#«ss一I汨寻看角色印免交ffi二tc至摆的8序日：宁唠EEPKffl1.MQn取务惶一日色?铉N):二KAdwjwwHe>Ijar>团U宾制囹aSQ1.Serw”士口上。三三Nl三W三<B*<S),*。)M（八）Ja渤PowerShell（三）报费回»K½(M)*»(D)H三HKtt00三、如何创建服务器审核规范和数据库审核规范说明必须先创建和配置可以用于审核的SQ1.Server审核对象，才可以创建数据库审核规范。若要完成此任务，需使用SQ1.ServerManagementStudio中的对象资源管理器来执行以下过程。示例下面的示例创建一个名为"ServerAuditDB"的审核规范，该规范将审核输出发送到Windows应用程序事件日志。此规范随后用于为AdventureWorks2008R2数据库创建数据库级别的审核。只要指定表的数据库所有者（dbo）对该表执行SE1.ECT或INSERT操作，此数据库审核就会将事件写入审核日志。1）创建新的审核规范在对象资源管理器中，以递归方式将"安全性”节点向下展开至"审核"。在"审核名称"字段中键入ServerAuditDBo对于"审核目标"，请从列表中选取AppIication1.ogo单击“确定”以接受默认设置，并保存新的审核规范。展开“审核”可以看到刚创建的“ServerAuditDB”审核。ES(IocW)(SQ1.XrvriS0.2500FSVAdmirlunS欢®C快慝S(jTMffiJAekentUgWOfkaoO8R2SGB安±性而口登呆WS，与努号衾色囹口如三附WS渡笆祖序Sd事幡以ServerAuditl以QQyQyQQQ8-0市联范Adventrewo*HSe<verAuditl防ci三r的Cam囹CB号建.jSQ1.SerYerHa2)创建数据库级别审核规范在对象资源管现器中，以递归方式将"数据库"节点向下展开至（并包含）AdventureWorks2008R2数据库的“安全性”节点。£(local)(SQ1.Server10.502500FSAdrwWCjsGBQi奉统初MN数=俣相IjlT«t(JAdventureWorks2008R22d初父笈阳用口衰GBeI赃ad网义倒ffi门I可由他SCiSrvicBroker3口!存0d安全性WN用R国角色GB*林ffiN非需鼻"3安全忸在"名称"字段中，键入AdventureworksDBAuditlo对于"服务器审核"，请从列表中选取ServerAuditDB.在表网格中，单击前缀为星号（*）的行。对于"审核操作类型",请从列表中选取SE1.ECT。对于"对象名称"，请打开"选择对象"页。单击"浏览"以打开"浏览对象"页。使用此浏览器在AdventureWorks2008R2中找到并选择JSer表。单击“确定"，直到返回到“创建数据库审核规范”页。请注意，系统将基于您的选择自动提供“对象架构”信息。也I过余4叠扰对曲1798个九;JMbol1.userJz11E0>(M>:(lNFORMAT!ON.SCHEMA.CHGC.CONSTRAINTS)11NFORMATION.SCHEMA.CO1.UMN.DOMA1N.USAGE)INFORMAT10N.SCHEMA.(CO1.UMN.PRIV11.EGES11NFORMA11ON.SCHEMA.(COIUMNS)(INFORMA11ON.SCHEMA.CONSTRA1NT.CO1.UMN.USAGE(INFORMAnON.SCHEMAKONSYRA!NTjAflljUSAGE-JU1.-J立定重复上一个步骤以浏览并选择“主体名称"。使用浏览器选择dbo作为主体。在表网格中，单击前缀为星号(*)的行，并添加第二个审核操作。对于"审核操作类型,请从列表中选取INSERTo使用相同的参数和前面两个步骤来配置"对象名称"和主体名称单击"确定"保存数据库审核规范。展开"数据库审核规范"W点，可看到刚创建的“Advent1.ureworksDBAudit1.l”©(1<ai)(SQ1.Server10.50.2500FSXAdminirtrator).-1.JnUsCJfR三S-SflI寄俣得sTmBIjAdVentUreWorkS20O8R2土U敌方彦美赛图缶口衰UWa3口同义词31.j却却9住1SQS<crokf田UxCj安轨团0用户,GJ角色即口望由翱Qj非对倒的口蹄.Cj对林sCjg¾*检视，AdVentUrelrOdCSDeAUdBU展开"审核"节点，右键单击ServerAuditDBn单击"启用审核"以启动审核。9(IocaI)(SQ1.Server1O.5OJ5OOFSVAdministrator)日d三cGD望统5冒雪Cj03俣知sUTm出(JA<KentureWorks2008R2QQ安全性田Dl登录名S3最若号角色郎：窸K口加密徽附序Qca以ServerAuditlgdKMmt三惘M»««?国制©J胃理CftSQlSen日用幡IE三*三OB(V)掇闻本ZXS)