從 SQL Server 2008 Enterprise 開始,可以使用 SQL Server Audit 來設定自動稽核。
在稽核節點,可以建立一個或多個稽核規範,這些規範可用于伺服器稽核規範和資料庫稽核規範。通過稽核功能可以跟蹤 SQL Server 資料庫伺服器上的事件。
稽核可以有以下類别的操作:
1.伺服器級别:這些操作包括伺服器操作,例如管理更改以及登入和登出操作。
2.資料庫級别:這些操作包括資料操作語言(DML)和資料定義語言(DDL)操作。
3.稽核級别:這些操作包括稽核過程中的操作。
“伺服器稽核規範”對象屬于稽核。可以為每個稽核建立一個伺服器稽核規範,因為它們都是在 SQL Server 執行個體範圍内建立的。
“資料庫稽核規範”對象也屬于 SQL Server 稽核。針對每個稽核,可以為每個 SQL Server 資料庫建立一個資料庫稽核規範。
資料庫稽核規範可收集由擴充事件功能引發的資料庫級稽核操作。可以向資料庫稽核規範添加稽核操作組或稽核事件。“稽核事件”是可以由 SQL Server 引擎稽核的原子操作。“稽核操作組”是預定義的操作組。它們都位于 SQL Server 資料庫作用域。這些操作将發送到稽核,稽核将它們記錄到目标中。
“SQL Server稽核”對象收集單個伺服器執行個體或資料庫級操作和操作組以進行監視。這種稽核處于 SQL Server 執行個體級别。每個 SQL Server 執行個體可以具有多個稽核。
操作執行個體步驟:
一、伺服器級别的稽核
1.建立稽核
在資料庫執行個體—安全性—實核下,建立稽核
輸入稽核名稱 audit login
在稽核目标選擇“file”
在檔案路徑輸入之前建好的檔案夾路徑:如c:\myadmin\audit_logs
新建立完成的“稽核”、“稽核規範”等對象,依據預設值都是“禁用”是以并不會耗用系統資源。需要啟用後,才能讓稽核、稽核規範等發揮功能
2.建立伺服器級别的稽核規範-監控帳戶的建立、修改與删除
Server_principal_change_group是屬于伺服器級别的稽核操作組,當建立、改變或是删除伺服器主體時,就會引發這個事件。例如執行以下的存儲過程或是語句,就會引發此事件,包括:spdefaultdb、sp_defaultlanguage、sp_addlogin、sp_droplogin、sp_grantlogin、sp_revokelogin、sp_denylogin等存儲過程,或是alter login等
具體稽核操作類型:
http://msdn.microsoft.com/zh-cn/library/cc280663(v=sql.105).aspx
在create server AuditSpecification 界面上
輸入名稱:monitor login
點選稽核--Audit login
建立後,右鍵啟用伺服器稽核規範,下圖
3.測試稽核功能
建立登入帳号u01
再删除帳号
4.檢視稽核日志
可以在右邊繼續看到資訊,包括看到建立帳戶的程式代.
轉載于:https://blog.51cto.com/pxizhi/1600606