如何启用 SQL Server 审核并查看审核日志

审核 Microsoft SQL Server 对于识别安全问题和漏洞至关重要。此外，审核 SQL Server 是遵守 PCI DSS 和 HIPAA 等法规的要求。

第一步是定义要审核的内容。例如，您可以审核用户登录、服务器配置、架构更改和审核数据修改。接下来，您必须选择要使用的安全审核功能。有用的功能包括以下内容：

• C2审计
• 通用合规标准
• 登录审核
• SQL Server 审计
• SQL跟踪
• 扩展活动
• 变更数据捕获
• DML、DDL 和登录触发器

本文面向正在考虑使用 C2 审核、通用合规性标准和 SQL Server 审核的数据库管理员 (DBA)。我们不会考虑任何第三方审计工具，尽管它们可以提供很大帮助，特别是对于更大的环境和受监管的行业。

启用 C2 审核和通用标准合规性

如果您当前没有审核 SQL Server，最简单的起点是启用 C2 审核。 C2 审核是国际公认的标准，可以在 SQL Server 中打开。它审核用户登录、存储过程以及对象的创建和删除等事件。但它要么全有，要么全无——你无法选择它审计的内容，而且它可以生成大量数据。此外，C2 审核处于维护模式，因此它可能会在 SQL Server 的未来版本中被删除。

通用标准合规性是取代 C2 审核的更新标准。它由欧盟开发，可以在 SQL Server 2008 R2 及更高版本的企业版和数据中心版中启用。但如果您的服务器没有足够的规格来应对额外的开销，则可能会导致性能问题。

以下是在 SQL Server 2017 中启用 C2 审核的方法：

1. 打开 SQL Server Management Studio。

2. 连接到要启用C2 审核的数据库引擎。在“连接到服务器”对话框中，确保“服务器类型”设置为“数据库引擎”，然后单击“连接”。

3. 在左侧的“对象资源管理器”面板中，右键单击顶部的 SQL Server 实例，然后从菜单中选择属性。

4. 在“服务器属性”窗口中，单击“选择页面”下的安全。

5. 在安全页面，您可以配置登录监控。默认情况下，仅记录失败的登录。或者，您可以仅审核成功的登录，或同时审核失败和成功的登录。

图 1. 配置访问审核

6. 选中“选项”下的“启用 C2 审计跟踪”。

7. 如果您想要启用 C2 通用标准合规性审核，请选中启用通用标准合规性。

通用标准 (CC) 合规性是一项灵活的标准，可以通过 1 到 7 级的不同评估保证级别 (EAL) 来实施。较高的 EAL 具有更严格的验证流程。当您在 SQL Server 中选中启用通用标准合规性时，您将启用 CC 合规性 EAL1。可以为 EAL4+ 手动配置 SQL Server。

启用 CC 合规性会更改 SQL Server 行为。例如，表级 DENY 权限将优先于列级 GRANT，并且成功和失败的登录都会受到审核。此外，还启用了残留信息保护 (RIP)，它会在新资源使用内存分配之前用位模式覆盖内存分配。

8. 单击确定。

9. 根据所选选项，系统可能会提示您重新启动 SQL Server。如果您收到此消息，请在警告对话框中单击确定。如果启用了 C2 通用标准合规性，请重新启动服务器。否则，请再次右键单击对象资源管理器中的 SQL Server 实例，然后从菜单中选择重新启动。在警告对话框中，单击是以确认您要重新启动 SQL Server。

启用 SQL Server 审核

可以启用SQL Server审计来代替C2审计；您也可以选择同时启用两者。 SQL Server Audit 对象可以配置为收集服务器级别或 SQL Server 数据库级别的事件。

创建服务器审计对象

让我们创建一个服务器级 SQL Server 审计对象：

1. 在左侧的“对象资源管理器”面板中，展开安全。

2. 右键单击审核，然后从菜单中选择新建审核...。这将为服务器级审核创建一个新的 SQL Server Audit 对象。

3. 在“创建审核”窗口中，在“审核名称”中为审核设置指定名称

4. 使用审核日志失败指定如果 SQL Server 审核失败应发生的情况。您可以选择继续或选择关闭服务器或停止审核的数据库操作。如果您选择操作失败，则未经审核的数据库操作将继续进行。

图 2. 创建服务器级 SQL Server 审核对象

5. 在“审核目标”下拉菜单中，您可以选择将 SQL 审核跟踪写入文件或审核 Windows 安全日志或应用程序事件日志中的事件。如果选择文件，则必须指定该文件的路径。

请注意，如果要写入 Windows 安全事件日志，则需要向 SQL Server 授予权限。为了简单起见，选择应用程序事件日志。此外，您可以将过滤器作为审核对象的一部分包含在内，以提供有限的结果集；筛选器必须使用 Transact-SQL (T-SQL) 编写。

6. 单击确定。

7. 现在，您将在“对象资源管理器”中的“审核”下方找到新的审核配置。右键单击新的审核配置，然后从菜单中选择启用审核。

8. 在“启用审核”对话框中单击关闭。

创建数据库审计对象

要创建用于数据库级审核的 SQL Server 审核对象，过程略有不同，您需要首先创建至少一个服务器级审核对象。

1. 在对象资源管理器中展开数据库，然后展开要配置审核的数据库。

2. 展开安全文件夹，右键单击数据库审核规范，然后从菜单中选择新建数据库审核规范...。

图 3. 为数据库级审核创建服务器审核规范

3. 在“属性”窗口的“操作”下，使用下拉菜单配置一种或多种审核操作类型，选择要审核的语句（例如 DELETE 或 INSERT）、执行操作的对象类等。

4. 完成后，单击确定，然后右键单击审核对象并选择启用数据库审核规范来启用该对象。

查看 SQL Server 审核日志

C2 审计 SQL Server审计日志存储在SQL Server实例的默认数据目录中。每个日志文件最大可为 200 MB。达到限制时会自动创建新文件。

建议使用名为日志文件查看器的本机解决方案来查看 SQL Server 审核日志。要使用它，请执行以下步骤：

1. 在 SQL Server Management Studio 的“对象资源管理器”面板中，展开安全并

2. 右键单击要查看的审核对象，然后从菜单中选择查看审核日志。

3. 在日志文件查看器中，日志将显示在右侧。无论日志是写入文件还是写入 Windows 事件日志，日志文件查看器都会显示日志。

4. 在日志文件查看器顶部，您可以单击过滤来自定义显示哪些日志条目。 SQL Server 文件日志以 .sqlaudit 格式保存且不可读，因此日志文件资源管理器允许您单击导出将日志保存为逗号分隔的 .log 文件格式。

图 4. 在日志文件查看器中查看 SQL Server 审核日志记录