Microsoft SQL数据库审核日志
您可以通过Microsoft SQL Server跟踪数据库管理活动,用于Windows计算机上的日志搜索和自定义警报。
在你开始之前
要收集数据库审核日志,您必须启用SQL Server日志的审核。您可以在此阅读有关审核数据库的更多信息:https://docs.microsoft.com/en-us/sql/relational-databases/security/auditing/sql-server-audit-database-engine.。
使用可以访问Windows安全性或应用程序日志的帐户。
要完成此操作,请将服务帐户添加到本地事件日志读取器组。
要启用SQL Server数据库的审核:
- 打开命令窗口以配置审核对象访问设置。
- 以管理员身份运行以下命令:
auditpol / set / subcategory:“应用程序生成”/成功:启用/失败:启用
- 运行以下命令授予生成安全审核到帐户的权限:
secpol.msc
- 转到当地的安全策略工具并打开安全设置>本地策略>用户权限分配。
- 在结果窗格中,双击生成安全审核。
- 在“本地安全设置”选项卡上,单击添加用户或组。
- 在“选择用户,计算机或组”对话框中,输入帐户SQL Server的名称正在运行和单击好的。
- 重新启动SQL Server以启用此设置。
- 要创建服务器审核,请打开SQL Server Management Studio。
- 在“对象资源管理器”中展开安全文件夹。
- 右键单击审计文件夹并选择新审计。
- 填写字段,然后选择Windows应用程序日志或者Windows安全日志作为审计目的地。
要审核Windows安全日志,您必须可以访问本地计算机上的事件日志读取器。
- 完成后,单击好的。
- 右键单击新创建的审计并选择启用审核。
- 要创建服务器审核规范,请转到“对象资源管理器”,然后单击加号展开“安全性”文件夹。
- 右键单击服务器审计规范文件夹并选择新服务器审计规范。
- 输入名称,选择上面创建的服务器审核,并配置要记录的审核操作类型。
- 例如,您可以登录以下内容:
- 完成后,单击好的。
- 右键单击新创建的审计规范并选择启用审计规范。
如何配置此事件源
- 从您的仪表板,选择数据采集在左手菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源。
- 从“原始日志”部分,单击数据库审核日志图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
- 选择时区匹配事件源日志的位置。
- 在“服务器”字段中,输入服务器的IP地址或机器名称。
- 在“用户域”字段中,输入凭据的域。
- 选择现有凭据或创建一个新的凭据。
- 在“密码”字段中,输入SQL Server的密码。
- 点击节省。
没有默认警报
请注意,默认情况下,数据库审核日志没有内置警报。你必须创建自己的警报。
这个页面对你有帮助吗?