Overvåking Microsoft SQL Server er avgjørende for å identifisere sikkerhetsproblemer og brudd. I tillegg er revisjon AV SQL Server et krav for overholdelse av forskrifter som PCI DSS og HIPAA.
det første trinnet er å definere hva som skal revideres. Du kan for eksempel overvåke brukerpålogginger, serverkonfigurasjon, endringer i skjema og endringer i overvåkingsdata. Deretter må du velge hvilke sikkerhetsovervåkingsfunksjoner som skal brukes. Nyttige funksjoner inkluderer følgende:
- C2-Overvåking
- Vanlige Samsvarskriterier
- Påloggingsovervåking
- Sql Server-Overvåking
- SQL-Spor
- Utvidede Hendelser
- Endre Datafangst
- DML, DDL
denne Artikkelen Er For Databaseadministratorer (Dba) Som Ser På Ved Hjelp Av C2-Overvåking, Vanlige Samsvarskriterier Og Sql Server-Overvåking. Vi vil ikke se på noen tredjeparts revisjonsverktøy, selv om de kan være til stor hjelp, spesielt for større miljøer og i regulerte næringer.
Aktivere C2-Overvåking Og Samsvar Med Vanlige Kriterier
hvis DU ikke overvåker SQL Server for øyeblikket, er Det enkleste stedet å starte ved å aktivere c2-overvåking. C2-overvåking er en internasjonalt akseptert standard som kan slås på I SQL Server. Den reviderer hendelser som brukerpålogginger, lagrede prosedyrer og opprettelse og fjerning av objekter. Men det er alt eller ingenting-du kan ikke velge hva det reviderer, og det kan generere mye data. Videre er C2 revisjon i vedlikeholdsmodus, så det vil trolig bli fjernet i en fremtidig versjon AV SQL Server.
Common Criteria Compliance Er en nyere standard som erstatter c2-revisjon. DEN ble utviklet Av Eu og kan aktiveres I Enterprise og Datacenter utgaver AV SQL Server 2008 R2 og senere. Men det kan føre til ytelsesproblemer hvis serveren din ikke er tilstrekkelig spec ‘ d til å takle den ekstra overhead.
slik aktiverer Du c2-overvåking I SQL Server 2017:
1. ÅPNE SQL Server Management Studio.
2. Koble til databasemotoren som du vil aktivere c2 overvåking. Kontroller At Servertypen er satt Til Databasemotor i Dialogboksen Koble Til Server, og klikk Deretter Koble til.
3. I Objektutforsker-panelet til venstre høyreklikker DU SQL Server-forekomsten øverst og velger Egenskaper fra menyen.
4. I Vinduet Serveregenskaper klikker Du Sikkerhet under Velg en side.
5. På Sikkerhetssiden kan du konfigurere påloggingsovervåking. Som standard registreres bare mislykkede pålogginger. Alternativt kan du overvåke bare vellykkede pålogginger, eller både mislykkede og vellykkede pålogginger.
Figur 1. Konfigurere tilgangsovervåking
6. Sjekk Aktiver c2 overvåking sporing Under Alternativer.
7. Hvis Du vil aktivere overvåking Av Samsvar Med Vanlige Kriterier for c2, kontrollerer Du Aktiver samsvar Med felles Kriterier.
Common Criteria (CC) Compliance Er en fleksibel standard som kan implementeres med Ulike Evalueringssikkerhetsnivåer (Eals), fra 1 til 7. Høyere EALs har en mer krevende verifikasjonsprosess. Når du sjekker Aktiver Felles Kriterier samsvar I SQL Server, aktiverer DU CC Samsvar EAL1. DET er mulig å konfigurere SQL Server manuelt for EAL4+.
Aktivering AV CC-Samsvar endrer SQL Server-virkemåten. AVSLÅ tillatelser på TABELLNIVÅ vil for eksempel ha forrang over Stipender på kolonnenivå, og både vellykkede og mislykkede pålogginger blir revidert. I Tillegg er Residual Information Protection (RIP) aktivert, som over skriver minnetildelinger med et mønster av biter før de brukes av en ny ressurs.
8. Klikk OK.
9. Basert på de valgte alternativene, kan DU bli bedt OM å starte SQL Server på NYTT. Hvis du får denne meldingen, klikker DU OK i advarselsdialogen. Hvis Du aktiverte C2 Common Criteria Compliance, starter du serveren på nytt. Ellers høyreklikker DU SQL Server-forekomsten i Object Explorer igjen og velger Start På nytt fra menyen. Klikk Ja I dialogboksen advarsel for å bekrefte AT DU vil starte SQL Server på NYTT.
Aktivering AV SQL Server-Revisjon
SQL Server-overvåking kan aktiveres i stedet For c2-overvåking. du kan også velge å aktivere begge deler. SQL Server-Overvåkingsobjekter kan konfigureres til å samle hendelser på servernivå eller SQL Server-databasenivå.
Opprett Serverrevisjonsobjekt
la oss opprette ET SQL Server-overvåkingsobjekt på servernivå:
1. Utvid Sikkerhet i Objektutforsker-panelet til venstre.
2. Høyreklikk På Revisjoner og velg Ny Revisjon… fra menyen. Dette vil opprette et NYTT SQL Server-Overvåkingsobjekt for overvåking på servernivå.
3. I Vinduet Opprett Revisjon gir du overvåkingsinnstillingene et navn i Revisjonsnavnet
4. Angi hva som skal skje hvis SQL Server-overvåking mislykkes ved Hjelp Av Feilen På Overvåkingslogg Du kan Velge Fortsett eller velge å avslutte serveren eller stoppe databaseoperasjoner som er revidert. Hvis du velger Fail operation, fortsetter databaseoperasjoner som ikke er revidert, å fungere.
Figur 2. Opprette ET SQL Server-overvåkingsobjekt på SERVERNIVÅ
5. I Rullegardinmenyen Overvåkingsmål kan du velge å skrive SQL-overvåkingssporet til en fil eller overvåke hendelser i Windows – sikkerhetsloggen eller Programhendelsesloggen. Hvis du velger en fil, må du angi en bane for filen.
Merk at HVIS DU vil skrive Til hendelsesloggen For Windows-Sikkerhet, MÅ SQL Server gis tillatelse. For enkelhets skyld velger Du Programhendelsesloggen. I tillegg kan du inkludere et filter som en del av overvåkingsobjektet for å gi et smalt sett med resultater; filtre må skrives I Transact-SQL (T-SQL).
6. Klikk OK.
7. Du finner nå den nye revisjonskonfigurasjonen i Object Explorer under Revisjoner. Høyreklikk på den nye overvåkingskonfigurasjonen, og velg Aktiver Overvåking fra menyen.
8. Klikk Lukk i Dialogboksen Aktiver Revisjon.
Opprett Databaseovervåkingsobjekt
hvis du vil opprette ET SQL Server-overvåkingsobjekt for overvåking på databasenivå, er prosessen litt annerledes, og du må først opprette minst ett overvåkingsobjekt på servernivå.
1. Utvid Databaser I Objektutforsker, og utvid databasen du vil konfigurere overvåking på.
2. Utvid sikkerhetsmappen, høyreklikk Database Audit Spesifikasjoner og velg Ny Database Audit Specification … fra menyen.
Figur 3. Opprette en serverrevisjonsspesifikasjon for overvåking på databasenivå
3. I Egenskapsvinduet under Handlinger bruker du rullegardinmenyene til å konfigurere en eller flere overvåkingshandlingstyper, velge setningene du vil overvåke (FOR EKSEMPEL SLETTE eller SETTE inn), objektklassen som handlingen utføres på, og så videre.
4. Når DU er ferdig, klikker DU OK, og deretter aktiverer du overvåkingsobjektet ved å høyreklikke Det og velge Aktiver Databaseovervåkingsspesifikasjon.
Vise Sql Server-Overvåkingslogger
C2-Overvåking SQL Server-overvåkingslogger lagres i standard datakatalog FOR SQL Server-forekomsten. Hver loggfil kan være maksimalt 200 megabyte. En ny fil opprettes automatisk når grensen er nådd.
en opprinnelig løsning som anbefales for å vise sql Server-overvåkingslogger kalt Log File Viewer. For å bruke det, gjør du følgende:
1. Utvid Sikkerhet og
2 i Objektutforsker-panelet I SQL Server Management Studio. Høyreklikk overvåkingsobjektet du vil vise, og velg Vis Overvåkingslogger fra menyen.
3. I Loggfilviseren vises loggene på høyre side. Uansett om loggene er skrevet til en fil eller Til Windows Hendelsesloggen, Vil Log File Viewer vise loggene.
4. Øverst I Loggfilvisning kan du klikke På Filter for å tilpasse hvilke loggoppføringer som vises. SQL Server fil logger lagres i .sqlaudit format og er ikke lesbar, Så Log File Explorer lar deg klikke Eksport for å lagre logger til et kommaseparert .loggfilformat.
Figur 4. Se GJENNOM SQL Server audit logging I Loggfilvisning
IT-konsulent og forfatter som spesialiserer seg på ledelse og sikkerhetsteknologi. Russell har mer enn 15 års erfaring I IT, han har skrevet en bok Om Windows-sikkerhet, og han medforfatter en tekst For Microsofts Offisielle Akademiske Kurs (MOAC) – serie.
