审计 Amazon 上的 SQL Server EC2 或亚马逊 RDS 自定义数据库实例 - AWS 规范性指导
先决条件支持的版本使用 C2 审核模式创建和查看审计监控

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

审计 Amazon 上的 SQL Server EC2 或亚马逊 RDS 自定义数据库实例

本节提供有关 Amazon 上的 SQL Server EC2 和 Amazon RDS Custom 的审计选项的信息,包括创建服务器和数据库审计、查看审计日志和监控结果。

先决条件

  • 使用ALTER ANY SERVER AUDITCONTROL SERVER权限登录数据库

支持的版本

  • 2016 年及更高版本的 SQL Server 的任何版本

使用 C2 审核模式

C2 审计模式会审计用户登录、存储过程调用以及对象的创建和删除等事件。这种模式可以生成大量数据,因为它可以审计所有内容或什么都不审计。C2 审计日志存储在 SQL Server 实例的默认数据目录中。每个日志文件的最大大小为 200 MB。达到此限制时,会自动创建一个新文件。您可以使用 SQL Server 管理工作室启用 C2 审计。有关更多信息,请参阅微软 SQL Server 文档

重要

微软计划在未来版本的 SQL Server 中删除 C2 审核模式。我们建议您避免使用此功能。

要使用 C2 审核模式审核失败的登录,请执行以下操作:

  1. 在 SQL Server Management Studio 中,连接到要为其启用审计功能的 SQL Server 实例。

  2. 选择 SQL Server 实例,右键单击并选择 “属性”,然后选择 “安全”。

  3. 要进行登录审计,请选择一个配置选项。您可以仅审核失败的登录、仅限成功的登录、两者兼而有之,也可以不审计。(默认为仅限登录失败。)

  4. 在 “选项” 中,选择 “启用 C2 审计跟踪”。

创建和查看审计

创建服务器审计

SQL Server 中的服务器审计收集要监控的实例级或数据库级操作。审计输出保存到审计目标文件路径、Windows 安全日志或应用程序日志。

要创建服务器审计,请执行以下操作:

  1. 在 SQL Server Management Studio 的对象资源管理器中,展开安全,右键单击 “审计”,然后选择 “新建审计”这将为服务器级审计创建一个新的 SQL Server 审核对象。

  2. 在 “审核目标” 中,选择文件、安全日志或应用程序日志。

  3. 如果选择文件作为目标,请指定该文件夹的位置。

  4. 配置其他选项,然后选择 OK

  5. 要启用审计,请右键单击新的审计配置,然后选择 “启用审计”。

有关更多信息,请参阅微软 SQL Server 文档

创建服务器审计规范

服务器审核规范收集了 SQL Server 扩展事件功能引发的许多服务器级操作组。可以在服务器审计规范中包括审计操作组。这些操作将发送给审计,审计部门将它们记录在目标文件或日志中。

要创建服务器审计规范,请执行以下操作:

  1. 在 SQL Server Management Studio 的对象资源管理器中,展开 “安全”,右键单击 “服务器审计规范”,然后选择 “新建服务器审计规范”。

  2. 对于 “审计”,选择您之前创建的服务器审计。

  3. 对于 “操作”,选择用于指定要捕获的服务器级审计操作组和审计操作的审计操作的审计操作类型,然后选择 “确定”

  4. 要启用服务器审计规范,请右键单击新规范,然后选择 “启用服务器审计规范”。

有关更多信息,请参阅 Microsoft SQL S erver 文档中的创建服务器审计和服务器审计规范以及 SQL Server 审计操作组和操作

创建数据库审计规范

您可以为数据库级审计创建数据库审计规范对象。此规范指定了要捕获的数据库级审计操作组和审计操作。

要创建数据库审计规范,请执行以下操作:

  1. 在 SQL Server Management Studio 的对象资源管理器中,展开要审计的数据库。

  2. 展开 “安全” 文件夹,右键单击 “数据库审计规范”,然后选择 “新建数据库审计规范”。

  3. 对于操作,配置一个或多个数据库审计操作类型。选择要审计的语句(例如 DELETE 或 INSERT)和要对其执行操作的对象类。

  4. 选择完成后,选择 “确定”

  5. 要启用数据库审计规范,请右键单击新规范,然后选择 “启用数据库审计规范”。

有关更多信息,请参阅 Microsoft SQL Server 文档中的创建服务器审计和数据库审计规范以及 SQL Server 审计操作组和操作

查看 SQL 服务器审核日志

要查看审计日志,请执行以下操作:

  1. 在 SQL Server Management Studio 中,右键单击 SQL Server 审计对象,然后选择查看审核日志

    无论审计日志位于何处(文件或 Windows 事件日志),日志文件查看器都会显示审核日志。

  2. 要自定义显示的日志条目,请选择 F ilter

  3. 要将日志导出到日志文件,请选择导出

  4. 查看完日志后,选择 “关闭”。

有关更多信息,请参阅微软 SQL Server 文档

监控

您可以使用 Nagi os 等监控解决方案来监控记录到审计文件、应用程序或安全事件日志或数据库中审计表中的审计日志。与工单或警报机制集成的监控解决方案可以生成实时警报和事件,以通知系统管理员或数据库管理员。