Microsoft SQL数据库审核日志

您可以通过Microsoft SQL Server跟踪数据库管理活动,用于Windows计算机上的日志搜索和自定义警报。

在你开始之前

要收集数据库审核日志,您必须启用SQL Server日志的审核。您可以在此阅读有关审核数据库的更多信息:https://docs.microsoft.com/en-us/sql/relational-databases/security/auditing/sql-server-audit-database-engine.

使用可以访问Windows安全性或应用程序日志的帐户。

要完成此操作,请将服务帐户添加到本地事件日志读取器组。

要启用SQL Server数据库的审核:

  1. 打开命令窗口以配置审核对象访问设置。
  2. 以管理员身份运行以下命令:auditpol / set / subcategory:“应用程序生成”/成功:启用/失败:启用
  3. 运行以下命令授予生成安全审核到帐户的权限:secpol.msc
  4. 转到当地的安全策略工具并打开安全设置>本地策略>用户权限分配。
  5. 在结果窗格中,双击生成安全审核。
  6. 在“本地安全设置”选项卡上,单击添加用户或组。
  7. 在“选择用户,计算机或组”对话框中,输入帐户SQL Server的名称正在运行和单击好的
  8. 重新启动SQL Server以启用此设置。
  9. 要创建服务器审核,请打开SQL Server Management Studio。
  10. 在“对象资源管理器”中展开安全文件夹。
  11. 右键单击审计文件夹并选择新审计。
  12. 填写字段,然后选择Windows应用程序日志或者Windows安全日志作为审计目的地。

要审核Windows安全日志,您必须可以访问本地计算机上的事件日志读取器。

  1. 完成后,单击好的
  2. 右键单击新创建的审计并选择启用审核。
  3. 要创建服务器审核规范,请转到“对象资源管理器”,然后单击加号展开“安全性”文件夹。
  4. 右键单击服务器审计规范文件夹并选择新服务器审计规范
  5. 输入名称,选择上面创建的服务器审核,并配置要记录的审核操作类型。
    • 例如,您可以登录以下内容:
  1. 完成后,单击好的
  2. 右键单击新创建的审计规范并选择启用审计规范。

如何配置此事件源

  1. 从您的仪表板,选择数据采集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从“原始日志”部分,单击数据库审核日志图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区匹配事件源日志的位置。
  6. 在“服务器”字段中,输入服务器的IP地址或机器名称。
  7. 在“用户域”字段中,输入凭据的域。
  8. 选择现有凭据或创建一个新的凭据
  9. 在“密码”字段中,输入SQL Server的密码。
  10. 点击节省

没有默认警报

请注意,默认情况下,数据库审核日志没有内置警报。你必须创建自己的警报