澳门在线威尼斯官方 > 电脑数据库 > 审计操作概念

原标题:审计操作概念

浏览次数:116 时间:2019-10-06

概述  

对此日常的数据库系统审计大概不太会被尊重,但是对于金融体系就区别等的。金融系统对审计要求会极高,除了了记录数据库各个操作记录还有或者会要求开支报表来展现这几个行为数据。使用SQL Server 奥迪(Audi)t 功用,您能够对服务器等第和数据库等级事件组以及单个事件开展复核。

“核实”SQL Server 的实例或 SQL Server 数据库涉及到追踪和记录系统中发出的风浪,您可以记录各样实例的服务器调查操作组,或记录种种数据库的数据库检查核对操作组或数据库考察操作。在每一遍碰着可核实际操作作时,都将生出核实事件。

 

 SQL Server 检查核对包涵零个或两个审查批准操作项目。那一个审查批准操作项目得以是一组操作,比方Server_Object_Change_Group,也得以是单个操作,比方对表的 SELECT 操作。

注意:Server_Object_Change_Group 包罗对其余服务器对象(数据库或端点)的 CREATE、ALTE奥迪Q7 和 DROP 操作。

查处能够有以下项指标操作:

  • 服务器等级。那么些操作包罗服务器操作,举例管理改动以及登入和撤回操作。
  • 数据库等级。那几个操作富含数据操作语言 (DML) 和数码定义语言 (DDL) 操作。
  • 核实等级。这一个操作包含审查批准进度中的操作。

本着 SQL Server 考察组件推行的一点操作本质上是在特定调查中开展核实的,在这几个情形下,由于事件时有发生在父对象上,因而将活动发出检查核对事件。

精神中核查下列操作进行甄别:

  • 服务器核查情形改变(将状态设置为 ON 或 OFF)

本质上将不对下列事件开展复核:

  • CREATE SERVER AUDIT SPECIFICATION
  • ALTER SERVER AUDIT SPECIFICATION
  • DROP SERVER AUDIT SPECIFICATION
  • CREATE DATABASE AUDIT SPECIFICATION
  • ALTER DATABASE AUDIT SPECIFICATION
  • DROP DATABASE AUDIT SPECIFICATION

开始时代创立时会禁用全部审查批准。

服务器品级核查操作组

服务器等第考察操作组是临近于 SQL Server 安全核查事件类的操作。有关详细音信,请参阅 SQL Server 事件类参谋。

下表介绍了服务器级核实操作组,并提供了适用的等效 SQL Server 事件类。

操作组名称 说明
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP 更改应用程序角色的密码时将引发此事件。 等效于 Audit App Role Change Password Event Class。
AUDIT_CHANGE_GROUP 创建、修改或删除任何审核时,均将引发此事件。 创建、修改或删除任何审核规范时,均将引发此事件。 任何针对某审核的更改均将在该审核中审核。 等效于 Audit Change Audit Event Class。
BACKUP_RESTORE_GROUP 发出备份或还原命令时,将引发此事件。 等效于 审核备份和还原事件类。
BROKER_LOGIN_GROUP 引发此事件的目的是为了报告与 Service Broker 传输安全性相关的审核消息。 等效于 Audit Broker Login Event Class。
DATABASE_CHANGE_GROUP 创建、更改或删除数据库时将引发此事件。 创建、更改或删除任何数据库时均将引发此事件。 等效于 Audit Database Management Event Class。
DATABASE_LOGOUT_GROUP 在包含数据库用户注销某一数据库时,会引发此事件。 等效于 Audit Database Logout 事件类。
DATABASE_MIRRORING_LOGIN_GROUP 引发此事件的目的是为了报告与数据库镜像传输安全性相关的审核消息。 等效于 Audit Database Mirroring Login Event Class。
DATABASE_OBJECT_ACCESS_GROUP 访问数据库对象(如消息类型、程序集和协定)时将引发此事件。 此事件由对任何数据库的任何访问而引发。 注意:这可能导致生成大量审核记录。

等效于 Audit Database Object Access Event Class。
DATABASE_OBJECT_CHANGE_GROUP 针对数据库对象(如架构)执行 CREATE、ALTER 或 DROP 语句时将引发此事件。 创建、更改或删除任何数据库对象时均将引发此事件。 注意:这可能会导致生成大量审核记录。

等效于 Audit Database Object Management Event Class。
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP 在数据库范围内更改对象所有者时,将引发此事件。 服务器上任意数据库的任意对象所有权发生更改时,均将引发此事件。 等效于 Audit Database Object Take Ownership Event Class。
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP 针对数据库对象(例如,程序集和架构)发出 GRANT、REVOKE 或 DENY 语句时将引发此事件。 服务器上任意数据库的任意对象权限发生更改时,均将引发此事件。 等效于 Audit Database Object GDR Event Class。
DATABASE_OPERATION_GROUP 数据库中发生操作(如检查点或订阅查询通知)时将引发此事件。 对于任何数据库的任何操作都将引发此事件。 等效于 Audit Database Operation Event Class。
DATABASE_OWNERSHIP_CHANGE_GROUP 使用 ALTER AUTHORIZATION 语句更改数据库的所有者时,将引发此事件,并将检查执行该操作所需的权限。 服务器上任意数据库的任意数据库所有权发生更改时,均将引发此事件。 等效于 Audit Change Database Owner Event Class。
DATABASE_PERMISSION_CHANGE_GROUP SQL Server 中的任何主体针对某语句权限发出 GRANT、REVOKE 或 DENY 语句时均将引发此事件(仅适用于数据库事件,例如授予对某数据库的权限)。

服务器上任意数据库的任意数据库权限发生更改 (GDR) 时,均将引发此事件。 等效于 Audit Database Scope GDR Event Class。
DATABASE_PRINCIPAL_CHANGE_GROUP 在数据库中创建、更改或删除主体(如用户)时,将引发此事件。 等效于 Audit Database Principal Management Event Class。 (还等效于 Audit Add DB Principal 事件类,该事件类针对不推荐使用的 sp_grantdbaccess、sp_revokedbaccess、sp_addPrincipal 和 sp_dropPrincipal 存储过程时发生。)

使用 sp_addrole 或 sp_droprole 存储过程添加或删除数据库角色时,将引发此事件。 创建、更改或删除任何数据库的任何主体时均将引发此事件。 等效于 Audit Add Role Event Class。
DATABASE_PRINCIPAL_IMPERSONATION_GROUP 数据库范围内存在模拟操作(如 EXECUTE AS <主体> 或 SETPRINCIPAL)时将引发此事件。 此事件针对任何数据库中完成的模拟引发。 等效于 Audit Database Principal Impersonation Event Class。
DATABASE_ROLE_MEMBER_CHANGE_GROUP 向数据库角色添加登录名或从中删除登录名时将引发此事件。 此事件类由 sp_addrolemember、sp_changegroup 和 sp_droprolemember 存储过程引发。 任何数据库的任何数据库角色成员发生更改时,均将引发此事件。 等效于 Audit Add Member to DB Role Event Class。
DBCC_GROUP 主体发出任何 DBCC 命令时,将引发此事件。 等效于 Audit DBCC Event Class。
FAILED_DATABASE_AUTHENTICATION_GROUP 指示某个主体尝试登录到包含数据库并且失败。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Login Failed Event Class。
FAILED_LOGIN_GROUP 指示主体尝试登录到 SQL Server ,但是失败。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Login Failed Event Class。
FULLTEXT_GROUP 指示发生了全文事件。 等效于 Audit Fulltext Event Class。
LOGIN_CHANGE_PASSWORD_GROUP 通过 ALTER LOGIN 语句或 sp_password 存储过程更改登录密码时,将引发此事件。 等效于 Audit Login Change Password Event Class。
LOGOUT_GROUP 指示主体已注销 SQL Server。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Logout Event Class。
SCHEMA_OBJECT_ACCESS_GROUP 每次在架构中使用对象权限时,都将引发此事件。 等效于 Audit Schema Object Access Event Class。
SCHEMA_OBJECT_CHANGE_GROUP 针对架构执行 CREATE、ALTER 或 DROP 操作时将引发此事件。 等效于 Audit Schema Object Management Event Class。

此事件针对架构对象引发。 等效于 Audit Object Derived Permission Event Class。

任何数据库的任何架构发生更改时,均将引发此事件。 等效于 Audit Statement Permission Event Class。
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP 检查更改架构对象(例如表、过程或函数)的所有者的权限时,会引发此事件。 使用 ALTER AUTHORIZATION 语句指定对象所有者时会引发此事件。 服务器上任意数据库的任意架构所有权发生更改时,均将引发此事件。 等效于 Audit Schema Object Take Ownership Event Class。
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP 对架构对象执行 GRANT、DENY 或 REVOKE 语句时将引发此事件。 等效于 Audit Schema Object GDR Event Class。
SERVER_OBJECT_CHANGE_GROUP 针对服务器对象执行 CREATE、ALTER 或 DROP 操作时将引发此事件。 等效于 Audit Server Object Management Event Class。
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP 服务器范围中的对象的所有者发生更改时将引发此事件。 等效于 Audit Server Object Take Ownership Event Class。
SERVER_OBJECT_PERMISSION_CHANGE_GROUP SQL Server中的任何主体针对某服务器对象权限发出 GRANT、REVOKE、或 DENY 语句时,将引发此事件。 等效于 Audit Server Object GDR Event Class。
SERVER_OPERATION_GROUP 使用安全审核操作(如使更改设置、资源、外部访问或授权)时将引发此事件。 等效于 Audit Server Operation Event Class。
SERVER_PERMISSION_CHANGE_GROUP 为获取服务器范围内的权限(例如,创建登录名)而发出 GRANT、REVOKE 或 DENY 语句时,将引发此事件。 等效于 Audit Server Scope GDR Event Class。
SERVER_PRINCIPAL_CHANGE_GROUP 创建、更改或删除服务器主体时将引发此事件。 等效于 Audit Server Principal Management Event Class。

主体发出 sp_defaultdb 或 sp_defaultlanguage 存储过程或 ALTER LOGIN 语句时,将引发此事件。 等效于 Audit Addlogin Event Class。

调用 sp_addlogin 和 sp_droplogin 存储过程时会引发此事件。 还等效于 Audit Login Change Property Event Class。

此事件由 sp_grantlogin 或 sp_revokelogin 存储过程引发。 等效于 Audit Login GDR Event Class。
SERVER_PRINCIPAL_IMPERSONATION_GROUP 服务器范围内发生模拟(如 EXECUTE AS <登录名>)时将引发此事件。 等效于 Audit Server Principal Impersonation Event Class。
SERVER_ROLE_MEMBER_CHANGE_GROUP 向固定服务器角色添加登录名或从中删除登录名时将引发此事件。 此事件由 sp_addsrvrolemember 和 sp_dropsrvrolemember 存储过程引发。 等效于 Audit Add Login to Server Role Event Class。
SERVER_STATE_CHANGE_GROUP 修改 SQL Server 服务状态时将引发此事件。 等效于 Audit Server Starts and Stops Event Class。
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP 指示主体已成功登录到包含数据库。 等效于 Audit Successful Database Authentication 事件类。
SUCCESSFUL_LOGIN_GROUP 指示主体已成功登录到 SQL Server。 此类中的事件由新连接引发或由连接池中重用的连接引发。 等效于 Audit Login Event Class。
TRACE_CHANGE_GROUP 对于检查 ALTER TRACE 权限的所有语句,都会引发此事件。 等效于 Audit Server Alter Trace Event Class。
TRANSACTION_GROUP 此事件由 BEGIN TRANSACTION、ROLLBACK TRANSACTION 和 COMMIT TRANSACTION 操作引发(无论是对这些语句的显式调用还是隐式事务操作)。 此外,因事务回退导致的各个事件的 UNDO 操作也会引发此事件。
USER_CHANGE_PASSWORD_GROUP 每当使用 ALTER USER 语句更改包含数据库用户的密码时,都会引发此事件。
USER_DEFINED_AUDIT_GROUP 此组监视器事件通过使用 sp_audit_write (Transact-SQL) 引发。 通常,触发器或存储过程包括对 sp_audit_write 的调用以便实现对重要事件的审核。

注意事项

服务器等第操作组蕴含了全体 SQL Server 实例中的操作。比如,假设将相应操作组增加到服务器调查正式中,则将记录任何数据库中的任何架构对象访问检查。在数据库核实规范中,仅记录该数据库中的架构对象访谈。

服务器级其余操作不容许对数据库级其余操作实行详细筛选。完结详细操作筛选须求数据库等级的审查批准,比如,对 Employee 组中登陆名的 Customers 表实践的 SELECT 操作实行的审查。在客商数据库审查标准中毫无满含服务器范围的靶子,比方系统视图。

数据库品级核实操作组

数据库等第核实操作组是近似于 SQL Server 安全核查事件类的操作。有关事件类的详细音讯,请参阅 SQL Server 事件类参照他事他说加以考察。

下表介绍了数据库等级检查核对操作组,并提供了适用的等效 SQL Server 事件类。

操作组名称 说明
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP 更改应用程序角色的密码时将引发此事件。 等效于 Audit App Role Change Password Event Class。
AUDIT_CHANGE_GROUP 创建、修改或删除任何审核时,均将引发此事件。 创建、修改或删除任何审核规范时,均将引发此事件。 任何针对某审核的更改均将在该审核中审核。 等效于 Audit Change Audit Event Class。
BACKUP_RESTORE_GROUP 发出备份或还原命令时,将引发此事件。 等效于 审核备份和还原事件类。
DATABASE_CHANGE_GROUP 创建、更改或删除数据库时将引发此事件。 等效于 Audit Database Management Event Class。
DATABASE_LOGOUT_GROUP 在包含数据库用户注销某一数据库时,会引发此事件。 等效于 审核备份和还原事件类。
DATABASE_OBJECT_ACCESS_GROUP 访问数据库对象(如证书和非对称密钥)时将引发此事件。 等效于 Audit Database Object Access Event Class。
DATABASE_OBJECT_CHANGE_GROUP 针对数据库对象(如架构)执行 CREATE、ALTER 或 DROP 语句时将引发此事件。 等效于 Audit Database Object Management Event Class。
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP 数据库范围中的对象的所有者发生更改时将引发此事件。 等效于 Audit Database Object Take Ownership Event Class。
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP 针对数据库对象(例如,程序集和架构)发出 GRANT、REVOKE 或 DENY 语句时将引发此事件。 等效于 Audit Database Object GDR Event Class。
DATABASE_OPERATION_GROUP 数据库中发生操作(如检查点或订阅查询通知)时将引发此事件。 等效于 Audit Database Operation Event Class。
DATABASE_OWNERSHIP_CHANGE_GROUP 使用 ALTER AUTHORIZATION 语句更改数据库的所有者时,将引发此事件,并将检查执行该操作所需的权限。 等效于 Audit Change Database Owner Event Class。
DATABASE_PERMISSION_CHANGE_GROUP SQL Server 中的任何用户针对某语句权限发出 GRANT、REVOKE 或 DENY 语句时均将引发此事件(仅适用于数据库事件,例如授予对数据库的权限)。 等效于 Audit Database Scope GDR Event Class。
DATABASE_PRINCIPAL_CHANGE_GROUP 在数据库中创建、更改或删除主体(如用户)时,将引发此事件。 等效于 Audit Database Principal Management Event Class。 还等效于 Audit Add DB User 事件类,该事件类针对不推荐使用的 sp_grantdbaccess、sp_revokedbaccess、sp_adduser 和 sp_dropuser 存储过程发生。

使用不推荐使用的 sp_addrole 和 sp_droprole 存储过程添加或删除数据库角色时,将引发此事件。 等效于 Audit Add Role Event Class。
DATABASE_PRINCIPAL_IMPERSONATION_GROUP 数据库范围内发生模拟(如 EXECUTE AS <用户>)时将引发此事件。 等效于 Audit Database Principal Impersonation Event Class。
DATABASE_ROLE_MEMBER_CHANGE_GROUP 向数据库角色添加登录名或从中删除登录名时将引发此事件。 此事件类与 sp_addrolemember、sp_changegroup 和 sp_droprolemember 存储过程一起使用。等效于 Audit Add Member to DB Role 事件类
DBCC_GROUP 主体发出任何 DBCC 命令时,将引发此事件。 等效于 Audit DBCC Event Class。
FAILED_DATABASE_AUTHENTICATION_GROUP 指示某个主体尝试登录到包含数据库并且失败。 此类中的事件由新连接引发或由连接池中重用的连接引发。 引发此事件。
SCHEMA_OBJECT_ACCESS_GROUP 每次在架构中使用对象权限时,都将引发此事件。 等效于 Audit Schema Object Access Event Class。
SCHEMA_OBJECT_CHANGE_GROUP 针对架构执行 CREATE、ALTER 或 DROP 操作时将引发此事件。 等效于 Audit Schema Object Management Event Class。

此事件针对架构对象引发。 等效于 Audit Object Derived Permission Event Class。 还等效于 Audit Statement Permission Event Class。
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP 检查更改架构对象(例如表、过程或函数)的所有者的权限时,将引发此事件。 使用 ALTER AUTHORIZATION 语句指定对象所有者时会引发此事件。 等效于 Audit Schema Object Take Ownership Event Class。
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP 每次对架构对象发出 GRANT、DENY 或 REVOKE 时,均会引发此事件。 等效于 Audit Schema Object GDR Event Class。
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP 指示主体已成功登录到包含数据库。 等效于 Audit Successful Database Authentication 事件类。
USER_CHANGE_PASSWORD_GROUP 每当使用 ALTER USER 语句更改包含数据库用户的密码时,都会引发此事件。
USER_DEFINED_AUDIT_GROUP 此组监视器事件通过使用 sp_audit_write (Transact-SQL) 引发。

数据库等第检查核对操作

数据库级其他操作援救直接对数据库架构以及架构对象(举例表、视图、存款和储蓄进度、函数、增添存款和储蓄进程、队列、同义词)进行的特定操作进行复核。不审查类型、XML 架构会集、数据库和架构。架构对象的稽核可以在架设和数据库上布署,那象征钦赐架构或数据库包括的有着架构对象上的风浪都将被查处。下表介绍了数据库级其他审查批准操作。

操作 说明

SELECT

发出 SELECT 语句时将引发此事件。

UPDATE

发出 UPDATE 语句时将引发此事件。

INSERT

发出 INSERT 语句时将引发此事件。

DELETE

发出 DELETE 语句时将引发此事件。

EXECUTE

发出 EXECUTE 语句时将引发此事件。

RECEIVE

发出 RECEIVE 语句时将引发此事件。

REFERENCES

检查 REFERENCES 权限时将引发此事件。

注意事项

  • 数据库品级的甄别操作不适用于列。

  • 当查问Computer对查询举行参数化时,核实事件日志中会现身参数实际不是查询的列值。

  • 不会记录 RPC 语句。

审结等第的核对操作组

你也足以对查处进程中的操作进行核实。这个操作能够是服务器范围或数据库范围的操作。固然在数据库范围内,则仅针对数据库审查正式而实行。下表介绍了审核品级的检查核对操作组。

操作组名称 说明

AUDIT_ CHANGE_GROUP

发出以下命令之一时将引发此事件:

  • CREATE SERVER AUDIT

  • ALTER SERVER AUDIT

  • DROP SERVER AUDIT

  • CREATE SERVER AUDIT SPECIFICATION

  • ALTER SERVER AUDIT SPECIFICATION

  • DROP SERVER AUDIT SPECIFICATION

  • CREATE DATABASE AUDIT SPECIFICATION

  • ALTER DATABASE AUDIT SPECIFICATION

  • DROP DATABASE AUDIT SPECIFICATION

 

 备注:小说内容来着SQLServer官方在线文书档案

总结

 本篇作品重倘诺对审计概念有两个叩问,下一篇小说会详细介绍咋样搜集审计音讯。

 

 

 

 

 

备注:

    作者:pursuer.chen

    博客:http://www.cnblogs.com/chenmh

本站点所有随笔都是原创,欢迎大家转载;但转载时必须注明文章来源,且在文章开头明显处给明链接,否则保留追究责任的权利。

《欢迎交流讨论》

 

本文由澳门在线威尼斯官方发布于电脑数据库,转载请注明出处:审计操作概念

关键词:

上一篇:pt-pmp

下一篇:没有了