时间:2021-07-01 10:21:17 帮助过:3人阅读
USE master; GO CREATE SERVER AUDIT [Sample Audit] TO FILE ( FILEPATH = N‘D:\SQL2012‘ ,MAXSIZE = 0 MB ,MAX_ROLLOVER_FILES = 2147483647 ,RESERVE_DISK_SPACE = OFF ) WITH ( QUEUE_DELAY = 1000 ,ON_FAILURE = CONTINUE ); GO
代码11.1 T-SQL代码创建Sample Audit
代码11.2显示创建一个服务器审核,将日志写入到应用程序日志而不是文件。因为没有其他额外选项,所以代码比前面的要简洁。
CREATE SERVER AUDIT SQLServerAudit TO APPLICATION_LOG WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE); GO
代码11.2 创建写入到应用程序日志的审核
现在在对象资源管理器->安全性->审核节点,你会看到有两个对象,如图11.2所示。注意,在放大镜图标上都叠加有一个红色的向下箭头图标。这表明,审核没有启用,这是创建时的默认状态。你可以通过右键单击审核对象,从弹出的菜单中选择启用审核,或者使用代码11.3中的ALTER SERVER AUDIT语句启用审核。一旦你启用了审核,红色的箭头就会消失,虽然你可能需要再次刷新对象资源管理器。如果你是跟踪着SSMS界面操作,继续向前,启用Sample Audit审核,接下来我们将会使用。
图11.2 对象资源管理器下的服务器审核
ALTER SERVER AUDIT SQLServerAudit WITH (STATE = ON); GO
代码11.3 T-SQL启用SQLServerAudit审核
创建服务器审核规范
一旦你创建了一个服务器审核,你可以定义你想写的审核事件。服务器审核本质上是审核规范的一个容器。记住,有两种类型的审核规范:服务器和数据库审核规范。
我将创建服务器审核规范用于记录SQL Server登录失败的信息到日志。这是一个数据库范围外的服务器级别的操作,所以我需要在服务器级别上创建一个规范。使用SSMS->安全性->服务器审核规范,右击服务器审核规范,选择新建服务器审核规范,打开新建服务器审核规范对话框。
你可以接受自动生成的规范名称,但我命名为TestSQLServerAuditSpec.然后从审核下拉列表中选择服务器审核,列表中包含实例上所有已存在的服务器审核。本例中我选择使用Sample Audit,意味着审核日志条目会保存到文件中。
然后,你可以使用对话框的操作部分来定义你想记录的事件或事件组。可用的操作类型列表有非常多,如图11.3所示。本例选择FAILED_LOGIN_GROUP类型。
图11.3 选择审核操作类型
FAILED_LOGIN_GROUP操作类型的其余列是禁用的,因为该类型没有其他可用选项。但其他类型让你将操作与各种服务器对象关联起来。对话框应该看起来像图11.4,当你单击“确定”按钮时,它将创建规范。
图11.4 定义一个新的服务器审核规范
在对象资源管理器下的服务器审核规范节点会出现新创建的服务器审核规范,默认是禁用的。你可以右击规范,然后选择启用服务器审核规范。
你也可以使用代码11.4中的T-SQL语句来创建新的服务器审核规范。代码使用一个WITH子句选项来接收状态参数——启用或禁用规范。如果你省略这个子句,状态会默认设置为OFF.
CREATE SERVER AUDIT SPECIFICATION TestSQLServerAuditSpec FOR SERVER AUDIT [Sample Audit] ADD (FAILED_LOGIN_GROUP) WITH (STATE = ON); GO
代码11.4 T-SQL创建服务器审核规范
为了测试审核,连接到SQL Server实例,然后尝试用一个错误的密码登录数据库。你可以另外打开一个SSMS或者使用对象资源管理器下的连接按钮来操作。
然后右击Sample Audit,选择查看审核日志,打开日志文件查看器对话框。它可能需要点时间来从磁盘文件加载到的日志条目列表,但最终你会看到如图11.5所示的登录失败信息。每一行包含了相当多的有关事件的信息,使其向右滚动查看所有数据变得笨重。但当你选择一行时,该数据会出现在窗口下方以便于阅读。但不幸的是,如你在图中所看到的各列没有很好的格式。
图11.5 查看服务器审核日志
注意服务器审核自动捕获修改审核事件,在我启用服务器审核时。图中是捕获的第二行信息。
提示:你需提前启用服务器审核和服务器审核规范才能捕获并写入事件。通常,你会想创建他们的时候就启用。
创建数据库审核规范
创建数据库审核规范和创建服务器审核规范非常相似。主要不同是能够捕获到日志的事件范围。数据库审核规范能够捕获发生在单一数据库内的事件,比如通过T-SQL语句访问数据,修改结构或数据库对象的权限,或者执行存储过程。另一重要的区别是,你在数据库下创建数据库审核规范,而不是在安全性节点。
如果你想创建一个审核记录任何用户或程序执行一个SELECT语句从AdventureWorks2012.Person.Person表中获取数据。展开 对象资源管理器->数据库->AdventureWorks2012->安全性,右击数据库审核规范节点,选择新建数据库审核规范,打开创建数据库审核规范对话框,同样它会自动生成名称,你可以随意修改。
图11.6显示了在Person.Person表上的SELECT审核操作类型,关联到之前创建的审核Sample Audit.本例中你要选择OBJECTS对象类(另外的选项是DATABASE和SCHEMA),Person架构,Person表名,以及主体名称。不幸的是,你不能直接键入对象和主体名称。你必须点击旁边的省略按钮,会打开选择对象对话框。
图11.6 创建数据库审核规范
你可以将主体名称设置为任何数据库用户或角色,包括Public数据库角色以覆盖所有访问数据库的用户。类似服务器审核规范,你可以增加任何喜欢的操作到规范。
一旦创建了规范,记得启用它。
你也可以使用代码11.5中的T-SQL语句创建这个规范,带上WITH子句选项启用规范。
USE AdventureWorks2012; GO CREATE DATABASE AUDIT SPECIFICATION [Person Data Access] FOR SERVER AUDIT [Sample Audit] ADD (SELECT ON OBJECT::Person.Person BY public) WITH (STATE = ON); GO
代码11.5 T-SQL代码创建数据库审核规范
然后你可以通过执行表上的一个SELECT语句测试审核规范。一旦你做了此操作,刷新日志文件查看器,如图11.7。正如你所看到的,日志中包含一个非常完整的事件信息,包括引起它的SQL语句。
图11.7 查询Person.Person后的审核日志
注意图片中的其他信息列没有任何内容,这是因为产生事件直接是SELECT语句。但是当SELECT语句是在存储过程或其他代码模块下执行,其他信息会包含T-SQL堆栈信息的XML代码块。这可以用于区分查询是以查询语句还是代码模块执行的。
我们创建一个名叫tempPerson的存储过程,包含图片中语句列的SELECT语句。在你执行过存储过程后,你会得到了图11.8所示的结果,同样出现因为有人在Person.Person表上执行了SELECT语句。但是这次注意其他信息列。
图11.8 执行封装SELECT语句的存储过程
其他信息列包含XML代码,包括一些引起审核日志的代码信息,最重要的是存储过程的架构和名称。
编写自定义审核信息
你不局限于仅捕获每个事件的默认信息。你还可以创建用户自定义的审核事件,它允许你将任何你希望的日志写入到审核日志。代码11.6中演示了如何实现这个。只有当审核规范(不管是服务器还是数据库)被禁用时,才能修改它,所以代码首先禁用规范。然后添加USER_DEFINED_AUDIT_GROUP操作类型到TestSQLServerAuditSpec规范,并立刻启用它。最后一行代码使用sp_audit_write系统存储过程往审核日志中写入一些有趣东西。
USE master; GO ALTER SERVER AUDIT SPECIFICATION TestSQLServerAuditSpec WITH (STATE = OFF); GO ALTER SERVER AUDIT SPECIFICATION TestSQLServerAuditSpec ADD (USER_DEFINED_AUDIT_GROUP) WITH (STATE = ON); GO -- Write some custom audit information EXEC sp_audit_write 9999, 1, N‘Something in SQL Server succeeded!‘
代码11.6 编写自定义审核信息
当然,你也可以通过SSMS图形界面修改服务器审核规范。
如果你执行代码11.6,然后查看审核日志,你会看到条目出现在图11.9的顶部。你仍然能得到很多审核事件的背景信息,包括事件的T-SQL语句,但是你会发现在底部的用户定义的信息项是我们定义内容。
图11.9 审核日志包含用户定义的信息
提示:如果USER_DEFINED_AUDIT_GROUP服务器审核规范禁用,数据库会忽略sp_audit_write.
过滤审核事件
SQL Server还包括过滤事件写入审核日志的能力,它使用和扩展事件相同的过滤机制。过滤为你提供细粒度的控制什么会被SQL Server写入审核日志。但重要的是,服务器仍然会为你在规范中定义的事件生成所有的日志条目,然后使用过滤来决定是否将事件写入日志。所以,即使条目没有写入日志,生成事件条目还是需要开销。这意味着,创建特定对象的审核事件通常比过滤要好。
你想创建一个审核,记录一个特定类型的所有事件,除了特定登录名的信息。代码11.7的第一部分创建carol登录名并映射到AdventureWorks2012数据库。然后使用SUSER_ID方法检索新用户的主体ID(我这是288)。然后,第二部分创建一个带WHERE子句过滤掉主体ID为288的服务器审核,并启用服务器审核。Now carol has free reign in the database, safe from server audit events!
-- Part 1: Create the login and database user USE AdventureWorks2012; GO CREATE LOGIN carol WITH PASSWORD = ‘GEP2zYDt+5Cqw‘; CREATE USER carol FOR LOGIN carol; SELECT SUSER_ID(‘carol‘); -- Part 2: Create the server audit -- Change principal id from 288 based on SUSER_ID from previous statement USE master; GO CREATE SERVER AUDIT FilterAudit TO APPLICATION_LOG WITH ( QUEUE_DELAY = 1000 ,ON_FAILURE = CONTINUE ) WHERE server_principal_id <> 288; ALTER SERVER AUDIT FilterAudit WITH (STATE = ON); GO
代码11.7 创建一个登录,然后创建一个排除此用户的审核
你也可以使用“审核属性”对话框来筛选服务器审核事件,右键单击服务器审核选择属性。选择“过滤”页,如图11.10所示。注意,文本框只包含用于创建服务器审核语句中的WHERE子句谓词,括在括号中。没有必要包含WHERE关键字。
图11.10 用审核属性添加过滤
-- *** Clean up *** -- **************** USE AdventureWorks2012; GO DROP USER carol; --清理数据库审核规范 ALTER DATABASE AUDIT SPECIFICATION [Person Data Access] WITH (STATE = OFF); DROP DATABASE AUDIT SPECIFICATION [Person Data Access]; DROP PROCEDURE dbo.tempPerson; USE master; GO --清理服务器审核规范 ALTER SERVER AUDIT SPECIFICATION TestSQLServerAuditSpec WITH (STATE = OFF); DROP SERVER AUDIT SPECIFICATION TestSQLServerAuditSpec; --清理服务器审核 ALTER SERVER AUDIT [Sample Audit] WITH (STATE = OFF); DROP SERVER AUDIT [Sample Audit]; ALTER SERVER AUDIT SQLServerAudit WITH (STATE = OFF); DROP SERVER AUDIT SQLServerAudit; ALTER SERVER AUDIT FilterAudit WITH (STATE = OFF); DROP SERVER AUDIT FilterAudit; --删除登录 DROP LOGIN carol;View Code
总结
SQL Server审核功能让你在服务器实例和数据库范围记录各种事件的日志条目。你可以使用SSMS图形界面或T-SQL语句创建审核对象,可以结合大量的选项比如过滤条目、编写自定义信息、查看T-SQL堆栈信息。审核是SQL Server的一个重要的安全功能,可以帮助你找到数据库中可疑的活动,这样你就可以消除你的数据安全漏洞。
第十一篇 SQL Server安全审核
标签: