Opis SQL Server inspekcji

SQL Server inspekcji obiektu gromadzi pojedyncze wystąpienie serwera lub działania poziom bazy danych i grup akcji do monitorowania.Inspekcja jest w SQL Server poziom wystąpienie.Może mieć wiele audyty na SQL Server wystąpienie.

Podczas definiowania audytu, określ lokalizację dla wyjścia wyniki.Jest to obiekt obiekt docelowy inspekcji.Inspekcja jest tworzony w wyłączone Państwo, nie automatycznie inspekcji i działania.Po włączeniu inspekcji audytu obiekt docelowy odbiera dane z audytu.

Specyfikacji inspekcji serwera do inspekcji należy obiekt.Można utworzyć jeden specyfikacją inspekcji serwera na inspekcji, ponieważ obie są tworzone w SQL Server wystąpienie zakres.

Specyfikacja inspekcji serwer gromadzi liczbę grup akcja poziom serwera wywoływane przez funkcję rozszerzonych zdarzenia.Można dołączyć inspekcji grup akcja w serwerze inspekcji specyfikacji.Grupy akcja inspekcji są wstępnie zdefiniowane grupy akcja, które są niepodzielny zdarzenia występujące w Aparat baz danych.Działania te są wysyłane do inspekcji, który rejestruje je w miejsce docelowe.

Grupy akcja inspekcji poziom serwera są opisane w temacie Grupy akcji programu SQL Server inspekcji i działań.

Bazy danych inspekcji specyfikacji obiekt należy także do SQL Server inspekcji.Można utworzyć jeden specyfikacji inspekcji bazy danych na SQL Server bazy danych dla każdej inspekcji.

Specyfikacja bazy danych inspekcji zbiera inspekcji poziom bazy danych akcje wywoływane przez funkcję rozszerzonych zdarzenia.Można dodać albo grupy akcja audytu lub inspekcji zdarzeń specyfikacji inspekcji bazy danych.Inspekcja zdarzeń niepodzielny czynności, które mogą podlegać inspekcji przez SQL Server silnika.Inspekcja grup akcja są wstępnie zdefiniowane grupy akcja.Obie są w SQL Server bazę danych zakres.Działania te są wysyłane do inspekcji, który rejestruje je w miejsce docelowe.

Grupy akcja inspekcji poziom bazy danych i akcja inspekcji są opisane w temacie Grupy akcji programu SQL Server inspekcji i działań.

Wyniki audytu są wysyłane do miejsce docelowe, który może być plikiem zabezpieczeń systemu Windows zdarzenie dziennika lub aplikacji systemu Windows zdarzenie dziennika.(Zapisywanie w dzienniku zabezpieczeń nie jest dostępne w systemie Windows XP). Dzienniki należy ocenić i zarchiwizowane okresowo, aby upewnić się, że miejsce docelowe ma wystarczająco dużo miejsca do pisania dodatkowe rekordy.

Ważne:
Każdy uwierzytelniony użytkownik może odczytywać i zapisywać aplikacji systemu Windows zdarzenie dziennika.Aplikacja zdarzenie uprawnień niższe niż zabezpieczenia systemu Windows wymaga dziennika zdarzenie logowania i jest mniej bezpieczne niż zabezpieczeń systemu Windows zdarzenie dziennika.

Zapisywanie do zabezpieczenia systemu Windows wymaga dziennika SQL Server konto ma zostać dodany do usługa Generowanie inspekcji zabezpieczeń zasad.Domyślnie System lokalny, Usługa lokalna i Usługa sieciowa są częścią tej zasady. To ustawienie można skonfigurować za pomocą przystawki Zasady zabezpieczeń (secpol.msc).Ponadto inspekcji dostępu do obiektów zasady zabezpieczeń musi być włączony dla obu Sukces i awarii.To ustawienie można skonfigurować za pomocą przystawki Zasady zabezpieczeń (secpol.msc).In Windows Vista or Windows Server 2008, you can set the more granular application generated policy from the command line by using the audit policy program (AuditPol.exe).For more information about the steps to enable writing to the Windows Security log, see Jak Pisanie zdarzenia inspekcji serwera do dziennika zabezpieczeń.Aby uzyskać więcej informacji na temat programu Auditpol.exe, zobacz artykuł bazy wiedzy Knowledge Base 921469, sposobów korzystania z zasady grupy, aby skonfigurować inspekcję zabezpieczeń szczegółowe. Windows zdarzenie dzienniki są globalnego systemu operacyjnego.Aby uzyskać więcej informacji na temat systemu Windows zdarzenie dzienników, zobacz zdarzenie Omówienie podglądu. Dokładniejsze uprawnienia inspekcji, należy użyć miejsce docelowe plik binarny.

Podczas zapisywania do pliku informacji o inspekcji, aby zapobiec modyfikacjom, można ograniczyć dostęp do lokalizacji pliku w następujący sposób:

• SQL Server Konto usługi musi mieć uprawnienia odczytu i zapisu.

• Administratorzy inspekcji zwykle wymagają uprawnienia Odczyt i zapis.Założono, że administratorzy inspekcji takich jak są konta systemu Windows dla administracji pliki inspekcji: kopiowanie ich do różnych udziałów, tworzenie ich kopii w górę, itd.

• Czytniki inspekcji autoryzowane do odczytu plików inspekcji musi mieć uprawnienia odczytu.

Nawet wtedy, gdy zapisywania do pliku, innych użytkowników systemu Windows można odczytać pliku inspekcji, jeśli mają uprawnienia. Aparat baz danych Nie blokada na wyłączność uniemożliwia operacji odczytu.

Ponieważ Aparat baz danych można uzyskać dostępu do pliku SQL Server z uprawnieniem sterowania serwera logowania za pomocą Aparat baz danych do dostępu do plików inspekcji.Rejestrowanie każdy użytkownik, który odczytuje plik inspekcji, należy zdefiniować inspekcji na master.sys.fn_get_audit_file.To rekordy logowania z uprawnieniami sterowania serwera, który mógł uzyskać dostęp do pliku inspekcji przez SQL Server.

Jeśli Administrator inspekcji kopiuje plik do innej lokalizacji (dla celów archiwizacji i tak dalej), listy ACL w nowej lokalizacji powinna zostać zmniejszona do następujących uprawnień:

• Administrator — inspekcji odczytu / zapisu

• Czytnik — inspekcji odczytu

Firma Microsoft zaleca, aby wygenerować raporty inspekcji z osobne wystąpienie SQL Server, takie jak wystąpienie SQL Server Express, do którego tylko administratorzy inspekcji lub audytu czytniki mają dostęp.Za pomocą osobne wystąpienie Aparat baz danych za zgłoszenie, można zapobiec nieautoryzowanym użytkownikom uzyskanie dostępu do rekordu audytu.

Może oferować dodatkowej ochrony przed nieautoryzowanym dostępem przez zaszyfrowanie folderu, w którym jest przechowywany plik inspekcji przy użyciu szyfrowania dysków funkcją BitLocker systemu Windows lub systemu szyfrowania plików systemu Windows.

Aby uzyskać więcej informacji dotyczących rekordów inspekcji, które są zapisywane do miejsce docelowe, zobacz SQL ServerRekordy audytu.

Dołączanie bazy danych, która ma specyfikację inspekcji i określa identyfikator GUID, który nie istnieje na serwerze spowoduje, że oddzielonych inspekcji specyfikacji.Ponieważ inspekcji z pasującego identyfikatora GUID nie istnieje na serwerze wystąpienie, zdarzenia inspekcji nie będą rejestrowane.Aby naprawić tę sytuację, należy użyć polecenia zmiany specyfikacji inspekcji bazy danych połączyć specyfikacji oddzielony inspekcji istniejących inspekcji serwera.Lub użyj polecenia Utwórz inspekcji serwera do utworzenia nowej inspekcji serwera z określonym identyfikatorem GUID.

Można dołączyć bazy danych zawierającej specyfikację inspekcji zdefiniowanych go do innej wersji SQL Server , nie obsługuje SQL Server inspekcji, takich jak SQL Server Express , ale nie będą rejestrowane zdarzenia inspekcji.

Baza danych o specyfikacji inspekcji bazy danych zdefiniowanych i że zastosowań dublowanie bazy danych będzie zawierać baza danych inspekcji specyfikacji.Do poprawnej pracy na dublowany SQL wystąpienie, należy skonfigurować następujące elementy:

• serwer duplikatu musi mieć inspekcji z tego samego identyfikatora GUID włączyć specyfikacji inspekcji bazy danych do zapisu rekordów audytu.This can be configured by using the command CREATE AUDIT WITH GUID=<GUID from source Server Audit>.

• Dla celów plik binarny serwer duplikatu konto usługa musi mieć odpowiednie uprawnienia do lokalizacji, w której zapisywane w dzienniku inspekcji.

• Dla systemu Windows zdarzenie dziennika cele, zasady zabezpieczeń na komputerze, na którym znajduje się serwer duplikatu musi umożliwić dostęp do konta usługa zabezpieczeń lub aplikacji zdarzenie dziennika.