Audit de SQL Server sur des instances de base de données personnalisées Amazon EC2 ou Amazon RDS - AWS Directives prescriptives
PrérequisVersions prises en chargeUtilisation du mode d'audit C2Création et visualisation d'auditsSurveillance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Audit de SQL Server sur des instances de base de données personnalisées Amazon EC2 ou Amazon RDS

Cette section fournit des informations sur les options d'audit pour SQL Server on Amazon EC2 et Amazon RDS Custom, notamment la création d'audits de serveurs et de bases de données, l'affichage des journaux d'audit et le suivi des résultats.

Prérequis

  • Connexion à la base de données avec ALTER ANY SERVER AUDIT ou CONTROL SERVER autorisation

Versions prises en charge

  • N'importe quelle édition de SQL Server version 2016 ou ultérieure

Utilisation du mode d'audit C2

Le mode d'audit C2 permet d'auditer les événements tels que les connexions des utilisateurs, les appels aux procédures stockées, ainsi que la création et la suppression d'objets. Ce mode peut générer beaucoup de données car il audite tout ou rien. Les journaux d'audit C2 sont stockés dans le répertoire de données par défaut de l'instance SQL Server. Chaque fichier journal peut avoir une taille maximale de 200 Mo. Un nouveau fichier est automatiquement créé lorsque cette limite est atteinte. Vous pouvez activer l'audit C2 à l'aide de SQL Server Management Studio. Pour plus d'informations, consultez la documentation de Microsoft SQL Server.

Important

Microsoft prévoit de supprimer le mode d'audit C2 dans une future version de SQL Server. Nous vous recommandons d'éviter d'utiliser cette fonctionnalité.

Pour utiliser le mode d'audit C2 pour auditer les connexions ayant échoué, procédez comme suit :

  1. Dans SQL Server Management Studio, connectez-vous à l'instance SQL Server pour laquelle vous souhaitez activer l'audit.

  2. Sélectionnez l'instance SQL Server, cliquez avec le bouton droit de la souris et choisissez Propriétés, puis sélectionnez Sécurité.

  3. Pour l'audit de connexion, choisissez une option de configuration. Vous pouvez auditer uniquement les connexions ayant échoué, les connexions réussies uniquement, les deux, ou aucune. (Par défaut, seuls les échecs de connexion sont enregistrés.)

  4. Dans Options, sélectionnez Activer le suivi d'audit C2.

Création et visualisation d'audits

Création d'audits de serveurs

Un audit de serveur dans SQL Server collecte les actions au niveau de l'instance ou de la base de données à surveiller. Les résultats d'audit sont enregistrés dans un chemin de fichier de destination d'audit, dans un journal de sécurité Windows ou dans un journal d'application.

Pour créer un audit de serveur, procédez comme suit :

  1. Dans SQL Server Management Studio, dans l'Explorateur d'objets, développez la sécurité, cliquez avec le bouton droit sur Audits, puis choisissez Nouvel audit.Cela crée un nouvel objet d'audit SQL Server pour l'audit au niveau du serveur.

  2. Pour Destination de l'audit, choisissez un fichier, un journal de sécurité ou un journal d'application.

  3. Si vous avez sélectionné un fichier comme cible, spécifiez l'emplacement du dossier.

  4. Configurez les autres options, puis cliquez sur OK.

  5. Pour activer l'audit, cliquez avec le bouton droit sur la nouvelle configuration d'audit, puis sélectionnez Activer l'audit.

Pour plus d'informations, consultez la documentation de Microsoft SQL Server.

Création de spécifications d'audit de serveur

La spécification d'audit du serveur rassemble de nombreux groupes d'actions au niveau du serveur déclenchés par la fonctionnalité SQL Server Extended Events. Vous pouvez inclure des groupes d'actions d'audit dans une spécification d'audit de serveur. Ces actions sont envoyées à l'audit qui les enregistre dans le fichier ou le journal cible.

Pour créer une spécification d'audit de serveur :

  1. Dans SQL Server Management Studio, dans l'Explorateur d'objets, développez la sécurité, cliquez avec le bouton droit sur Spécifications d'audit du serveur, puis choisissez Nouvelle spécification d'audit de serveur.

  2. Pour Audit, choisissez l'audit du serveur que vous avez créé précédemment.

  3. Pour Actions, choisissez le type d'action d'audit qui spécifie les groupes d'actions d'audit au niveau du serveur et les actions d'audit que vous souhaitez capturer, puis cliquez sur OK.

  4. Pour activer la spécification d'audit du serveur, cliquez avec le bouton droit sur la nouvelle spécification, puis choisissez Activer la spécification d'audit du serveur.

Pour plus d'informations, consultez Créer un audit de serveur et une spécification d'audit de serveur et Groupes d'actions et actions d'audit SQL Server dans la documentation Microsoft SQL Server.

Création de spécifications d'audit de base de données

Vous pouvez créer un objet de spécification d'audit de base de données pour un audit au niveau de la base de données. Cette spécification spécifie les groupes d'actions d'audit au niveau de la base de données et les actions d'audit à capturer.

Pour créer une spécification d'audit de base de données :

  1. Dans SQL Server Management Studio, dans l'Explorateur d'objets, développez la base de données que vous souhaitez auditer.

  2. Développez le dossier Sécurité, cliquez avec le bouton droit sur Spécifications d'audit de base de données, puis choisissez Nouvelle spécification d'audit de base de données.

  3. Pour Actions, configurez un ou plusieurs types d'actions d'audit de base de données. Sélectionnez les instructions que vous souhaitez auditer (telles que DELETE ou INSERT) et la classe d'objet sur laquelle effectuer l'action.

  4. Lorsque vos sélections sont terminées, cliquez sur OK.

  5. Pour activer la spécification d'audit de base de données, cliquez avec le bouton droit sur la nouvelle spécification, puis choisissez Activer la spécification d'audit de base de données.

Pour plus d'informations, consultez les sections Création d'un audit de serveur et d'une spécification d'audit de base de données et Groupes d'actions et actions d'audit SQL Server dans la documentation Microsoft SQL Server.

Affichage des journaux d'audit de SQL Server

Pour consulter les journaux d'audit :

  1. Dans SQL Server Management Studio, cliquez avec le bouton droit sur l'objet SQL Server Audit, puis sélectionnez Afficher les journaux d'audit.

    L'afficheur de fichiers journaux affiche le journal d'audit quel que soit son emplacement (un fichier ou le journal des événements Windows).

  2. Pour personnaliser les entrées du journal affichées, choisissez Filtrer.

  3. Pour exporter le journal vers un fichier journal, choisissez Exporter.

  4. Lorsque vous avez fini de consulter le journal, choisissez Fermer.

Pour plus d'informations, consultez la documentation de Microsoft SQL Server.

Surveillance

Vous pouvez surveiller les journaux d'audit enregistrés dans un fichier d'audit, un journal d'événements d'application ou de sécurité, ou une table d'audit dans la base de données en utilisant des solutions de surveillance telles que Nagios. Une solution de surveillance intégrée à un mécanisme de billetterie ou d'alerte peut générer des alertes et des incidents en temps réel pour informer l'administrateur du système ou l'administrateur de la base de données.