SQL Server Audit (moteur de base de données)
S’applique à :
SQL ServerAzure SQL Managed Instance
L’audit d’une instance du moteur de base de données SQL Server ou d’une base de données individuelle implique le suivi et la journalisation des événements qui se produisent sur le moteur de base de données. L'auditSQL Server vous permet de créer des audits de serveur, qui peuvent contenir des spécifications d'audit de serveur pour les événements de niveau serveur, ainsi que des spécifications d'audit de base de données pour les événements de niveau base de données. Les événements audités peuvent être écrits dans les journaux d’événements ou les fichiers d’audit.
Important
Sur Azure SQL Managed Instance, cette fonctionnalité T-SQL présente des changements de comportement. Pour plus d’informations sur tous les changements de comportement de T-SQL, consultez Différences T-SQL entre Azure SQL Managed Instance et SQL Server.
Il existe plusieurs niveaux d’audit pour SQL Server, en fonction des exigences normatives ou gouvernementales de votre installation. L’audit SQL Server fournit les outils et processus nécessaires pour activer, stocker et afficher les audits sur différents objets de base de données et de serveur.
Vous pouvez enregistrer des groupes d'actions d'audit du serveur par instance, et des groupes d'actions d'audit de base de données ou des actions d'audit de base de données par base de données. L'événement d'audit se produit chaque fois que l'action pouvant être auditée est rencontrée.
Toutes les éditions de SQL Server prennent en charge les audits au niveau du serveur. Toutes les éditions prennent en charge les audits au niveau de la base de données à partir de SQL Server 2016 (13.x) SP1. Avant cette version, les audits de niveau base de données sont limités aux éditions Enterprise, Developer et Evaluation. Pour plus d’informations, consultez Fonctionnalités prises en charge par les éditions de SQL Server 2016.
Note
Cette rubrique s’applique à SQL Server. Pour SQL Database, consultez Prise en main de l’audit de base de données SQL.
Composants de SQL Server Audit
Un audit correspond à la combinaison de plusieurs éléments au sein d'un package unique pour un groupe spécifique d'actions de serveur ou d'actions de base de données. Les composants de l’audit SQL Server combinent pour produire une sortie appelée audit, tout comme une définition de rapport combinée avec des graphiques et des éléments de données produit un rapport.
L’audit SQL Server utilise des événements étendus pour faciliter la création d’un audit. Pour plus d'informations sur les événements étendus, consultez événements étendus.
SQL Server Audit
L’objet Audit SQL Server recueille une seule instance des actions et des groupes d’actions au niveau du serveur ou de la base de données à surveiller. L’audit est au niveau de l’instance SQL Server. Vous pouvez avoir plusieurs audits par instance SQL Server.
Lorsque vous définissez un audit, vous spécifiez l'emplacement de sortie des résultats. Il s'agit de la destination de l'audit. L'audit est créé dans un état désactivé et ne s'exécute pas automatiquement pour contrôler les actions. Les données d'audit sont transmises vers la destination de l'audit lorsque ce dernier est activé.
Spécification de l'audit du serveur
L'objet Spécification de l'audit du serveur appartient à un audit. Vous pouvez créer une spécification d’audit de serveur par audit, car les deux sont créées dans l’étendue de l’instance SQL Server.
La spécification de l'audit du serveur recueille de nombreux groupes d'actions au niveau du serveur déclenchées par la fonctionnalité Événements étendus. Vous pouvez inclure des groupes d'actions d'audit dans une spécification de l'audit du serveur. Les groupes d’actions d’audit sont des groupes d’actions prédéfinis, qui sont des événements atomiques qui se produisent dans le moteur de base de données. Ces actions sont envoyées à l'audit, qui les enregistre dans la cible.
Les groupes d’actions d’audit au niveau du serveur sont décrits dans la rubrique Actions et groupes d’actions SQL Server Audit.
Spécification de l'audit de la base de données
L’objet Database Audit Specification appartient également à un audit SQL Server. Vous pouvez créer une spécification d'audit de base de données par base de données SQL Server et par audit.
La spécification de l'audit de la base de données recueille des actions d'audit au niveau de la base de données déclenchées par la fonctionnalité Événements étendus. Vous pouvez ajouter des groupes d’actions d’audit ou des événements d’audit à une spécification de l’audit de la base de données. Les événements d’audit sont les actions atomiques qui peuvent être auditées par le moteur SQL Server. Lesgroupes d'actions d'audit sont des groupes d'actions prédéfinis. Les deux sont au niveau de l’étendue de la base de données SQL Server. Ces actions sont envoyées à l'audit, qui les enregistre dans la cible. N'incluez pas d'objets dans l'étendue du serveur, tels que les vues système, dans une spécification d'audit de base de données utilisateur.
Les actions d’audit et les groupes d’actions d’audit au niveau de la base de données sont décrits dans la rubrique Actions et groupes d’actions SQL Server Audit.
Cible
Les résultats d'un audit sont envoyés à une cible, qui peut être un fichier, le journal des événements de sécurité de Windows ou le journal des événements d'applications de Windows. Les journaux doivent être examinés et archivés périodiquement afin de s'assurer que la cible dispose d'un espace suffisant pour écrire des enregistrements supplémentaires.
Important
Tout utilisateur authentifié peut lire et écrire dans le journal des événements d'applications de Windows. Celui-ci requiert des autorisations inférieures au journal des événements de sécurité de Windows et il est moins sécurisé.
L’écriture dans le journal de sécurité Windows nécessite l’ajout du compte de service SQL Server à la stratégie Générer des audits de sécurité. Par défaut, les comptes Système Local, Service local et Service réseau font partie de cette stratégie. Ce paramètre peut être configuré à l'aide du composant logiciel enfichable de stratégie de sécurité (secpol.msc). En outre, la stratégie de sécurité Auditer l'accès aux objets doit être activée pour Succès et Échec. Ce paramètre peut être configuré à l'aide du composant logiciel enfichable de stratégie de sécurité (secpol.msc). Dans Windows Vista ou Windows Server 2008 (et versions ultérieures), vous pouvez définir la stratégie générée par l’application plus granulaire à partir de la ligne de commande à l’aide du programme de stratégie d’audit (AuditPol.exe). Pour plus d’informations sur les étapes permettant d’activer l’écriture dans le journal de sécurité de Windows, consultez Écrire des événements d’audit SQL Server dans le journal de sécurité. Pour en savoir plus sur le programme Auditpol.exe, consultez l’article 921469 de la Base de connaissances : Comment faire pour utiliser la stratégie de groupe pour configurer des paramètres d'audit de sécurité détaillés. Les journaux des événements de Windows sont communs à l'ensemble du système d'exploitation Windows. Pour plus d'informations sur les journaux des événements de Windows, consultez Vue d'ensemble de l'observateur d'événements. Si vous avez besoin d'autorisations plus précises sur l'audit, utilisez la cible de fichier binaire.
Lorsque vous enregistrez des informations d'audit dans un fichier, pour éviter toute falsification, vous pouvez limiter l'accès à l'emplacement du fichier des façons suivantes :
Le compte de service SQL Server doit disposer à la fois de l’autorisation Lecture et Écriture.
Les administrateurs d'audit ont généralement besoin des autorisations d'accès en lecture et en écriture. Cela suppose que ces administrateurs sont des comptes Windows pour l'administration des fichiers d'audit, par exemple leur copie sur des partages différents, leur sauvegarde, entre autres.
Les lecteurs d'audit qui sont autorisés à lire les fichiers d'audit doivent disposer de l'autorisation d'accès en lecture.
Même lorsque le moteur de base de données écrit dans un fichier, d’autres utilisateurs Windows peuvent lire le fichier d’audit s’ils disposent d’autorisations. Le moteur de base de données ne prend pas de verrou exclusif qui empêche les opérations de lecture.
Étant donné que le moteur de base de données peut accéder au fichier, les connexions SQL Server disposant d’une autorisation CONTROL SERVER peuvent utiliser le moteur de base de données pour accéder aux fichiers d’audit. Pour enregistrer tout utilisateur qui lit le fichier d'audit, définissez un audit sur master.sys.fn_get_audit_file. Cela enregistre les connexions avec l’autorisation CONTROL SERVER qui ont accédé au fichier d’audit via SQL Server.
Si un administrateur d'audit copie le fichier à un autre emplacement (entre autres, à des fins d'archivage), les listes de contrôle d'accès du nouvel emplacement doivent disposer uniquement des autorisations suivantes :
Administrateur d’audit - Lecture/Écriture
Lecteur d’audit - Lecture
Nous vous recommandons de générer des rapports d’audit à partir d’une instance distincte de SQL Server, telle qu’une instance de SQL Server Express, à laquelle seuls les administrateurs d’audit ou les lecteurs d’audit ont accès. En utilisant une instance distincte du moteur de base de données pour la création de rapports, vous pouvez empêcher les utilisateurs non autorisés d’obtenir l’accès à l’enregistrement d’audit.
Vous pouvez offrir une protection supplémentaire contre tout accès non autorisé en chiffrant le dossier dans lequel le fichier d'audit est stocké à l'aide du chiffrement de lecteur BitLocker Windows ou du système de fichiers EFS Windows.
Pour plus d'informations sur les enregistrements d'audit qui sont écrits dans la cible, consultez SQL Server Audit Records.
Vue d'ensemble de l'utilisation de SQL Server Audit
Vous pouvez utiliser SQL Server Management Studio ou Transact-SQL pour définir un audit. Une fois l'audit créé et activé, la cible reçoit des entrées.
Vous pouvez lire les journaux des événements de Windows à l'aide de l'utilitaire Observateur d'événements de Windows. Pour les cibles de fichier, vous pouvez utiliser la visionneuse de fichiers journaux dans SQL Server Management Studio ou la fonction fn_get_audit_file pour lire le fichier cible.
Voici le processus général employé pour créer et utiliser un audit.
Créez un audit et définissez la cible.
Créez une spécification de l'audit du serveur ou une spécification de l'audit de la base de données mappée à l'audit. Activez la spécification d'audit.
Activez l'audit.
Lisez les événements d’audit à l’aide de l’ Observateur d’événementsWindows, de la Visionneuse du fichier journalou de la fonction fn_get_audit_file.
Pour plus d'informations, consultez Créer un audit du serveur et une spécification d’audit du serveur et Créer une spécification de l’audit du serveur et de la base de données.
Considérations
En cas d'échec pendant le lancement de l'audit, le serveur ne démarre pas. Dans ce cas, vous pouvez démarrer le serveur en saisissant l’option -f sur la ligne de commande.
Lorsqu'un échec de l'audit provoque l'arrêt ou empêche le démarrage du serveur car l'instruction ON_FAILURE=SHUTDOWN est spécifiée pour l'audit, l'événement MSG_AUDIT_FORCED_SHUTDOWN est écrit dans le journal. Étant donné que l'arrêt se produit lors de la première rencontre de ce paramètre, l'événement est écrit une seule fois. Cet événement est écrit après le message d'échec d'audit qui provoque l'arrêt. Un administrateur peut contourner les arrêts induits par l’audit en démarrant SQL Server en mode mono-utilisateur à l’aide de l’indicateur -m . Un démarrage en mode mono-utilisateur rétrograde les audits pour lesquels ON_FAILURE=SHUTDOWN est spécifié pour s'exécuter dans cette session comme ON_FAILURE=CONTINUE. Lorsque SQL Server est démarré à l’aide de l’indicateur -m , le message MSG_AUDIT_SHUTDOWN_BYPASSED est écrit dans le journal des erreurs.
Pour plus d’informations sur les options de démarrage de service, consultez Options de démarrage du service moteur de base de données.
Attachement d'une base de données avec un audit défini
L'attachement d'une base de données qui a une spécification d'audit et spécifie un GUID qui n'existe pas sur le serveur génère une spécification d'audit orpheline . Étant donné qu'il n'existe pas d'audit avec un GUID correspondant sur l'instance de serveur, aucun événement d'audit n'est enregistré. Pour remédier à cette situation, utilisez la commande ALTER DATABASE AUDIT SPECIFICATION pour connecter la spécification d'audit orpheline à un audit du serveur existant. Ou utilisez la commande CREATE SERVER AUDIT pour créer un nouvel audit de serveur avec le GUID spécifié.
Vous pouvez attacher une base de données qui a une spécification d’audit définie dessus à une autre édition de SQL Server qui ne prend pas en charge l’audit SQL Server, telle que SQL Server Express, mais elle n’enregistre pas les événements d’audit.
Mise en miroir de bases de données et SQL Server Audit
Une base de données qui possède une spécification d'audit définie et qui utilise la mise en miroir de bases de données inclut la spécification de l'audit de la base de données. Pour fonctionner correctement sur l'instance SQL en miroir, les éléments suivants doivent être configurés :
Le serveur miroir doit avoir un audit avec le même GUID afin de permettre à la spécification de l'audit de la base de données d'écrire des enregistrements d'audit. Cela peut être configuré à l’aide de la commande CREATE AUDIT WITH GUID GUID =<à partir de l’audit> du serveur source.
Si la cible est un fichier binaire, le compte de service de serveur miroir doit avoir des autorisations appropriées pour l'emplacement où le journal d'audit est écrit.
Si la cible est le journal des événements Windows, la stratégie de sécurité sur l'ordinateur où le serveur miroir se trouve doit autoriser l'accès du compte de service au journal des événements de sécurité ou des applications.
Administrateurs d'audit
Les membres du rôle serveur fixe sysadmin sont identifiés comme utilisateur dbo dans toutes les bases de données. Pour auditer les actions des administrateurs, auditez les actions de l'utilisateur dbo .
Création et gestion d'audits avec Transact-SQL
Vous pouvez utiliser des instructions DDL, des vues de gestion dynamique et des fonctions et des vues de catalogue pour implémenter tous les aspects de l’audit SQL Server.
Instructions DDL (Data Definition Language)
Vous pouvez utiliser les instructions DDL suivantes pour créer, modifier et supprimer des spécifications d'audit :
| Instructions DDL | Description |
|---|---|
| ALTER AUTHORIZATION | Change la propriété d'un élément sécurisable. |
| ALTER DATABASE AUDIT SPECIFICATION | Modifie un objet de spécification d’audit de base de données à l’aide de la fonctionnalité SQL Server Audit. |
| ALTER SERVER AUDIT | Modifie un objet d’audit du serveur à l’aide de la fonctionnalité SQL Server Audit. |
| ALTER SERVER AUDIT SPECIFICATION | Modifie un objet de spécification d’audit de serveur à l’aide de la fonctionnalité SQL Server Audit. |
| CREATE DATABASE AUDIT SPECIFICATION | Crée un objet de spécification d’audit de base de données à l’aide de la fonctionnalité SQL Server Audit. |
| CREATE SERVER AUDIT | Crée un objet d’audit de serveur à l’aide de SQL Server Audit. |
| CREATE SERVER AUDIT SPECIFICATION | Crée un objet de spécification d’audit de serveur à l’aide de la fonctionnalité SQL Server Audit. |
| DROP DATABASE AUDIT SPECIFICATION | Supprime un objet de spécification d’audit de base de données à l’aide de la fonctionnalité SQL Server Audit. |
| DROP SERVER AUDIT | Supprime un objet d'audit du serveur à l'aide de la fonctionnalité SQL Server Audit. |
| DROP SERVER AUDIT SPECIFICATION | Supprime un objet de spécification d’audit de serveur à l’aide de la fonctionnalité SQL Server Audit. |
Fonctions et vues dynamiques
Le tableau suivant répertorie les vues et fonctions dynamiques que vous pouvez utiliser pour l’audit SQL Server.
| Fonctions et vues dynamiques | Description |
|---|---|
| sys.dm_audit_actions | Retourne une ligne pour chaque action d’audit qui peut être signalée dans le journal d’audit et chaque groupe d’actions d’audit qui peut être configuré dans le cadre de l’audit SQL Server. |
| sys.dm_server_audit_status | Fournit des informations sur l'état actuel de l'audit. |
| sys.dm_audit_class_type_map | Retourne une table qui mappe le champ class_type dans le journal d'audit au champ class_desc dans sys.dm_audit_actions. |
| fn_get_audit_file | Retourne des informations à partir d'un fichier d'audit créé par un audit du serveur. |
Affichages catalogue
Le tableau suivant répertorie les vues de catalogue que vous pouvez utiliser pour l’audit SQL Server.
| Affichages catalogue | Description |
|---|---|
| sys.database_audit_specifications | Contient des informations sur les spécifications d’audit de base de données dans un audit SQL Server sur une instance de serveur. |
| sys.database_audit_specification_details | Contient des informations sur les spécifications d’audit de base de données dans un audit SQL Server sur une instance de serveur pour toutes les bases de données. |
| sys.server_audits | Contient une ligne pour chaque audit SQL Server dans une instance de serveur. |
| sys.server_audit_specifications | Contient des informations à propos des spécifications de l'audit du serveur dans un audit SQL Server sur une instance de serveur. |
| sys.server_audit_specifications_details | Contient des informations sur les détails de la spécification d’audit du serveur (actions) dans un audit SQL Server sur une instance de serveur. |
| sys.server_file_audits | Contient des informations étendues sur le type d’audit de fichier dans un audit SQL Server sur une instance de serveur. |
Autorisations
Chaque fonctionnalité et commande pour SQL Server Audit a des exigences d’autorisation individuelles.
Pour créer, modifier ou supprimer un audit du serveur ou une spécification de l'audit du serveur, les principaux du serveur requièrent l'autorisation ALTER ANY SERVER AUDIT ou CONTROL SERVER. Pour créer, modifier ou supprimer une spécification de l'audit de la base de données, les principaux de la base de données requièrent l'autorisation ALTER ANY DATABASE AUDIT, ou l'autorisation ALTER ou CONTROL sur la base de données. De plus, les principaux doivent soit avoir l'autorisation de se connecter à la base de données, soit disposer des autorisations ALTER ANY SERVER AUDIT ou CONTROL SERVER.
L’autorisation VIEW ANY DEFINITION fournit l’accès permettant d’afficher les vues d’audit au niveau du serveur ; l’autorisation VIEW DEFINITION fournit un accès permettant d’afficher les vues d’audit au niveau de la base de données. Si ces autorisations sont refusées, il n’est plus possible d’afficher les vues de catalogue, même si le principal dispose de l’autorisation ALTER ANY SERVER AUDIT ou ALTER ANY DATABASE AUDIT.
Pour plus d’informations sur l’octroi de droits et d’autorisations, consultez GRANT (Transact-SQL).
Attention
Les principaux dans le rôle sysadmin peuvent falsifier tout composant d'audit et ceux dans le rôle db_owner peuvent falsifier les spécifications d'audit dans une base de données. SQL Server Audit vérifie qu’une ouverture de session qui crée ou modifie une spécification d’audit a au moins l’autorisation ALTER ANY DATABASE AUDIT. Toutefois, aucune validation n'est effectuée lorsque vous attachez une base de données. Vous devez supposer que toutes les spécifications de l'audit de la base de données sont aussi dignes de confiance que les principaux dans le rôle sysadmin ou db_owner.
Tâches associées
Créer un audit du serveur et une spécification d’audit du serveur
Créer une spécification de l’audit du serveur et de la base de données
Afficher un journal d’audit SQL Server
Écrire des événements d’audit SQL Server dans le journal de sécurité
Rubriques étroitement associées à l'audit
Propriétés du serveur (page Sécurité)
Explique comment activer l’audit de connexion pour SQL Server. Les enregistrements d'audit sont stockés dans le journal des applications Windows.
Mode d’audit C2 (option de configuration de serveur)
Explique le mode d’audit de conformité de la sécurité C2 dans SQL Server.
Audit de sécurité, catégorie d’événement (SQL Server Profiler)
Explique les événements d’audit que vous pouvez utiliser dans SQL Server Profiler. Pour en savoir plus, voir SQL Server Profiler.
Trace SQL
Explique comment SQL Trace peut être utilisé à partir de vos propres applications pour créer des traces manuellement, au lieu d’utiliser SQL Server Profiler.
Déclencheurs DDL
Explique comment utiliser des déclencheurs DDL (Data Definition Language) pour effectuer le suivi des modifications de vos bases de données.
Microsoft TechNet : SQL Server TechCenter : SQL Server 2005 – Sécurité et protection
Fournit des informations à jour sur la sécurité de SQL Server.
Voir aussi
Actions et groupes d’actions SQL Server Audit
Enregistrements SQL Server Audit
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour