CREATE SERVER AUDIT (Transact-SQL)

Article
10/01/2013

Crée un objet d'audit de serveur à l'aide de SQL Server Audit. Pour plus d'informations, consultez SQL Server Audit (moteur de base de données).

Icône Lien de rubrique Conventions de syntaxe Transact-SQL

Syntaxe

CREATE SERVER AUDIT audit_name
{
    TO { [ FILE (<file_options> [ , ...n ] ) ] | APPLICATION_LOG | SECURITY_LOG }
    [ WITH ( <audit_options> [ , ...n ] ) ] 
    [ WHERE <predicate_expression> ]
}
[ ; ]

<file_options>::=
{
        FILEPATH = 'os_file_path'
    [ , MAXSIZE = { max_size { MB | GB | TB } | UNLIMITED } ]
    [ , { MAX_ROLLOVER_FILES = { integer | UNLIMITED } } | { MAX_FILES = integer } ]
    [ , RESERVE_DISK_SPACE = { ON | OFF } ] 
}

<audit_options>::=
{
    [   QUEUE_DELAY = integer ]
    [ , ON_FAILURE = { CONTINUE | SHUTDOWN | FAIL_OPERATION } ]
    [ , AUDIT_GUID = uniqueidentifier ]
}

<predicate_expression>::=
{
    [NOT ] <predicate_factor> 
    [ { AND | OR } [NOT ] { <predicate_factor> } ] 
    [,...n ]
}

<predicate_factor>::= 
    event_field_name { = | < > | ! = | > | > = | < | < = } { number | ' string ' }

Arguments

TO { FILE | APPLICATION_LOG | SECURITY_LOG }
Détermine l'emplacement de la cible de l'audit. Les options sont un fichier binaire, le journal des applications Windows ou le journal de sécurité Windows. SQL Server ne peut pas écrire dans le journal de sécurité Windows sans configurer d'autres paramètres dans Windows. Pour plus d'informations, consultez Écrire des événements d'audit SQL Server dans le journal de sécurité.
FILEPATH ='os_file_path'
Chemin d'accès du journal d'audit. Le nom de fichier est généré en fonction du nom d'audit et du GUID d'audit.
MAXSIZE = { max_size }
Taille maximale que peut atteindre le fichier d'audit. La valeur max_size doit être un entier suivi de MB, GB, TB ou doit être UNLIMITED. La taille minimale que vous pouvez spécifier pour max_size est 2 MB (soit 2 Mo) et la taille maximale est 2 147 483 647 TB (soit 2 147 483 647 To). Lorsque UNLIMITED est spécifié, la taille du fichier peut croître jusqu'à ce que le disque soit saturé. (0 correspond également à UNLIMITED.) La spécification d'une valeur inférieure à 2 Mo génère l'erreur MSG_MAXSIZE_TOO_SMALL. La valeur par défaut est UNLIMITED.
MAX_ROLLOVER_FILES ={ integer | UNLIMITED }
Spécifie le nombre maximal de fichiers à conserver dans le système de fichiers en plus du fichier actuel. La valeur MAX_ROLLOVER_FILES doit être un entier ou UNLIMITED. La valeur par défaut est UNLIMITED. Ce paramètre est évalué chaque fois que l'audit redémarre (ce qui peut se produire lorsque l'instance du moteur de base de données redémarre ou lorsque l'audit est désactivé, puis réactivé) ou qu'un nouveau fichier est nécessaire, car la valeur de MAXSIZE a été atteinte. Lorsque MAX_ROLLOVER_FILES est évalué, si le nombre de fichiers dépasse la valeur du paramètre MAX_ROLLOVER_FILES, le fichier le plus ancien est supprimé. Par conséquent, lorsque la valeur du paramètre MAX_ROLLOVER_FILES est 0, un fichier est créé chaque fois que le paramètre MAX_ROLLOVER_FILES est évalué. Seul un fichier est automatiquement supprimé lorsque le paramètre MAX_ROLLOVER_FILES est évalué ; par conséquent, lorsque la valeur de MAX_ROLLOVER_FILES diminue, le nombre de fichiers n'est pas réduit tant que les anciens fichiers ne sont pas supprimés manuellement. Le nombre maximal de fichiers qui peuvent être spécifiés est 2 147 483 647.
MAX_FILES =integer
Spécifie le nombre maximal de fichiers d'audit qui peuvent être créés. N'effectue pas de substitution vers le premier fichier lorsque la limite est atteinte. Lorsque la limite de MAX_FILES est atteinte, toute action qui entraîne la génération d'événements d'audit supplémentaires échoue avec une erreur.
RESERVE_DISK_SPACE = { ON | OFF }
Cette option pré-alloue la valeur MAXSIZE au fichier sur le disque. Elle s'applique uniquement si MAXSIZE n'est pas égal à UNLIMITED. La valeur par défaut est OFF.
QUEUE_DELAY =integer
Détermine la durée, en millisecondes, qui peut s'écouler avant que le traitement des actions d'audit soit forcé. Une valeur de 0 indique la remise synchrone. La valeur minimale du délai de requête définissable est 1000 (1 seconde), qui est la valeur par défaut. Le maximum est 2 147 483 647 (2 147 483,647 secondes ou 24 jours, 20 heures, 31 minutes, 23,647 secondes). L'indication d'un nombre non valide génèrera l'erreur MSG_INVALID_QUEUE_DELAY.
ON_FAILURE = { CONTINUE | SHUTDOWN | FAIL_OPERATION }
Indique si l'instance qui écrit dans la cible doit échouer, continuer ou arrêter SQL Server si la cible ne peut pas écrire dans le journal d'audit. La valeur par défaut est CONTINUE.
- CONTINUE
  Les opérations SQL Server continuent. Les enregistrements d'audit ne sont pas conservés. L'audit poursuit sa tentative de consignation des événements et reprend les opérations d'enregistrement une fois la défaillance résolue. La sélection de l'option CONTINUE peut permettre l'exécution d'une activité non auditée susceptible d'enfreindre vos stratégies de sécurité. Utilisez cette option lorsque la poursuite de l'opération du moteur de base de données est plus importante que la conservation d'un audit complet.
- SHUTDOWN
  Force un arrêt du serveur lorsque l'instance de serveur qui écrit dans la cible ne peut pas écrire de données dans la cible d'audit. La connexion qui émet cette commande d'arrêt doit avoir l'autorisation SHUTDOWN. Si la connexion n'a pas cette autorisation, cette fonction échoue et un message d'erreur est généré. Aucun événement audité ne se produit. Utilisez cette option si une défaillance de l'audit risque de compromettre la sécurité ou l'intégrité du système.
- FAIL_OPERATION
  Les actions de base de données échouent si elles entraînent des événements audités. Les actions qui n'entraînent pas d'événements audités peuvent continuer, mais aucun événement audité ne peut se produire. L'audit poursuit sa tentative de consignation des événements et reprend les opérations d'enregistrement une fois la défaillance résolue. Utilisez cette option lorsqu'il est plus important de conserver un audit complet que de disposer d'un accès complet au moteur de base de données.
AUDIT_GUID =uniqueidentifier
Pour prendre en charge des scénarios tels que la mise en miroir de bases de données, un audit a besoin d'un GUID spécifique qui correspond au GUID trouvé dans la base de données mise en miroir. Le GUID ne peut pas être modifié après la création de l'audit.
predicate_expression
Spécifie l'expression de prédicat utilisée pour déterminer si un événement doit ou non être traité. Les expressions de prédicat sont limitées à 3 000 caractères, ce qui limite les arguments de chaîne.
event_field_name
Nom du champ d'événement qui identifie la source de prédicat. Les champs d'audit sont décrits dans sys.fn_get_audit_file (Transact-SQL). Tous les champs peuvent être audités sauf file_name et audit_file_offset.
number
Tout type numérique, y compris decimal. Le manque de mémoire physique ou un nombre trop grand pour être représenté sous forme d'entier 64 bits sont les seules limitations.
' string '
Chaîne ANSI ou Unicode, comme requis par la comparaison de prédicat. Aucune conversion implicite de type chaîne n'est effectuée pour les fonctions de comparaison de prédicat. La transmission d'un type incorrect provoque une erreur.

Notes

Lorsqu'un audit de serveur est créé, il est dans un état désactivé.

L'instruction CREATE SERVER AUDIT fait partie de l'étendue d'une transaction. Si la transaction est restaurée, l'instruction l'est également.

Autorisations

Pour créer, modifier ou supprimer un audit du serveur, les principaux requièrent l'autorisation ALTER ANY SERVER AUDIT ou CONTROL SERVER.

Lorsque vous enregistrez des informations d'audit dans un fichier, pour éviter toute falsification, limitez l'accès à l'emplacement du fichier.

Exemples

A.Création d'un audit du serveur avec une cible de fichier

L'exemple suivant crée un audit du serveur nommé HIPPA_Audit avec un fichier binaire comme cible et aucune option.

CREATE SERVER AUDIT HIPAA_Audit
    TO FILE ( FILEPATH ='\\SQLPROD_1\Audit\' );

B.Création d'un audit du serveur avec le journal des applications Windows comme cible et des options

L'exemple suivant crée un audit du serveur nommé HIPPA_Audit avec la cible définie sur le journal des applications Windows. La file d'attente est écrite chaque seconde et arrête le moteur SQL Server en cas d'échec.

CREATE SERVER AUDIT HIPAA_Audit
    TO APPLICATION_LOG
    WITH ( QUEUE_DELAY = 1000,  ON_FAILURE = SHUTDOWN);

C.Création d'un audit de serveur contenant une clause WHERE

L'exemple suivant crée une base de données, un schéma et deux tables pour l'exemple. La table DataSchema.SensitiveData contient des données confidentielles et tout accès à cette table doit être enregistré dans l'audit. La table DataSchema.GeneralData ne contient pas de données confidentielles. La spécification de l'audit de la base de données audite les accès à tous les objets du schéma DataSchema. L'audit du serveur est créé avec une clause WHERE qui limite l'audit à la seule table SensitiveData. L'audit du serveur présume qu'un dossier d'audit existe dans C:\SQLAudit.

CREATE DATABASE TestDB;
GO
USE TestDB;
GO
CREATE SCHEMA DataSchema;
GO
CREATE TABLE DataSchema.GeneralData (ID int PRIMARY KEY, DataField varchar(50) NOT NULL);
GO
CREATE TABLE DataSchema.SensitiveData (ID int PRIMARY KEY, DataField varchar(50) NOT NULL);
GO
-- Create the server audit in the master database
USE master;
GO
CREATE SERVER AUDIT AuditDataAccess
    TO FILE ( FILEPATH ='C:\SQLAudit\' )
    WHERE object_name = 'SensitiveData' ;
GO
ALTER SERVER AUDIT AuditDataAccess WITH (STATE = ON);
GO
-- Create the database audit specification in the TestDB database
USE TestDB;
GO
CREATE DATABASE AUDIT SPECIFICATION [FilterForSensitiveData]
FOR SERVER AUDIT [AuditDataAccess] 
ADD (SELECT ON SCHEMA::[DataSchema] BY [public])
WITH (STATE = ON);
GO
-- Trigger the audit event by selecting from tables
SELECT ID, DataField FROM DataSchema.GeneralData;
SELECT ID, DataField FROM DataSchema.SensitiveData;
GO
-- Check the audit for the filtered content
SELECT * FROM fn_get_audit_file('C:\SQLAudit\AuditDataAccess_*.sqlaudit',default,default);
GO