Jak włączyć usługę SQL Server Audit i przejrzeć dziennik inspekcji

inspekcja Microsoft SQL Server ma kluczowe znaczenie dla identyfikacji problemów z bezpieczeństwem i naruszeń. Ponadto audyt SQL Server jest wymogiem zgodności z przepisami takimi jak PCI DSS i HIPAA.

pierwszym krokiem jest zdefiniowanie, co należy skontrolować. Na przykład możesz kontrolować loginy użytkowników, konfigurację serwera, zmiany schematu i modyfikacje danych. Następnie musisz wybrać funkcje audytu zabezpieczeń, których chcesz użyć. Przydatne funkcje obejmują następujące:

  • audyt C2
  • wspólne kryteria zgodności
  • audyt logowania
  • audyt SQL Server
  • śledzenie SQL
  • rozszerzone zdarzenia
  • Zmiana przechwytywania danych
  • DML, DDL, i wyzwalacze logowania

Ten artykuł jest przeznaczony dla administratorów baz danych, którzy używają audytów C2, wspólnych kryteriów zgodności i audytu SQL Server. Nie będziemy przyglądać się żadnym zewnętrznym narzędziom do audytu, chociaż mogą one być bardzo pomocne, szczególnie w większych środowiskach i w regulowanych branżach.

Włączanie audytu C2 i zgodności z Common Criteria

jeśli obecnie nie przeprowadzasz audytu serwera SQL, najłatwiej zacząć od włączenia audytu C2. Audyt C2 jest międzynarodowym standardem, który można włączyć w SQL Server. Sprawdza zdarzenia, takie jak loginy użytkowników, procedury składowane oraz tworzenie i usuwanie obiektów. Ale to wszystko albo nic-nie można wybrać, co audyty it, i może generować wiele danych. Ponadto audyt C2 jest w trybie konserwacji, więc prawdopodobnie zostanie usunięty w przyszłej wersji SQL Server.

Common Criteria Compliance to nowszy standard, który zastępuje audyt C2. Został opracowany przez Unię Europejską i może być włączony w wersjach Enterprise i Datacenter SQL Server 2008 R2 i późniejszych. Może to jednak powodować problemy z wydajnością, jeśli serwer nie jest wystarczająco spec ’ d, aby poradzić sobie z dodatkowym obciążeniem.

oto jak włączyć audyt C2 w SQL Server 2017:

1. Otwórz SQL Server Management Studio.

2. Połącz się z silnikiem bazy danych, dla którego chcesz włączyć audyt C2. W oknie dialogowym Połącz z serwerem upewnij się, że typ serwera jest ustawiony na silnik bazy danych, a następnie kliknij przycisk Połącz.

3. W panelu Eksplorator obiektów po lewej stronie kliknij prawym przyciskiem myszy instancję serwera SQL u góry i wybierz Właściwości z menu.

4. W oknie Właściwości serwera kliknij Zabezpieczenia w obszarze Wybierz stronę.

5. Na stronie Bezpieczeństwo możesz skonfigurować monitorowanie logowania. Domyślnie rejestrowane są tylko nieudane logowania. Alternatywnie możesz kontrolować tylko udane logowanie lub zarówno nieudane, jak i udane logowanie.

SQL Server Audit Konfigurowanie kontroli dostępu

audyt serwera SQL Konfigurowanie audytu dostępu

Rysunek 1. Konfigurowanie kontroli dostępu

6. Zaznacz opcję Włącz śledzenie audytu C2 w obszarze Opcje.

7. Jeśli chcesz włączyć audyt zgodności C2 Common Criteria, zaznacz opcję Włącz zgodność Z Common Criteria.

zgodność Z Common Criteria (CC) to elastyczny standard, który można wdrożyć z różnymi poziomami oceny (Eals), od 1 do 7. Wyższe Eale mają bardziej wymagający proces weryfikacji. Po sprawdzeniu Włącz zgodność Z Common Criteria w SQL Server włączasz zgodność z CC EAL1. Istnieje możliwość ręcznej konfiguracji SQL Server dla EAL4+.

włączenie zgodności CC zmienia zachowanie serwera SQL. Na przykład Odmowa uprawnień na poziomie tabeli będzie miała pierwszeństwo przed przyznaniem uprawnień na poziomie kolumny, a zarówno udane, jak i nieudane logowanie będą kontrolowane. Ponadto włączona jest funkcja Residual Information Protection (RIP), która nadpisuje alokacje pamięci wzorcem bitów, zanim zostaną one wykorzystane przez nowy zasób.

8. Kliknij OK.

9. Na podstawie wybranych opcji może zostać wyświetlony monit o ponowne uruchomienie SQL Server. Jeśli pojawi się ten Komunikat, kliknij OK w oknie dialogowym ostrzeżenia. Jeśli włączyłeś C2 Common Criteria Compliance, uruchom ponownie serwer. W przeciwnym razie kliknij ponownie prawym przyciskiem myszy instancję serwera SQL w Eksploratorze obiektów i wybierz Restart z menu. W oknie dialogowym ostrzeżenia kliknij tak, aby potwierdzić, że chcesz ponownie uruchomić SQL Server.

Włączanie audytu SQL Server

zamiast audytu C2 można włączyć audyt SQL Server; można również włączyć oba. Obiekty audytu SQL Server mogą być skonfigurowane do zbierania zdarzeń na poziomie serwera lub bazy danych SQL Server.

Utwórz obiekt audytu serwera

stwórzmy obiekt audytu serwera SQL na poziomie serwera:

1. W panelu Eksplorator obiektów po lewej stronie rozwiń zabezpieczenia.

2. Kliknij prawym przyciskiem myszy audyty i wybierz nowy audyt… z menu. Spowoduje to utworzenie nowego obiektu SQL Server Audit do kontroli na poziomie serwera.

3. W oknie Utwórz audyt nadaj ustawieniom audytu nazwę w polu Nazwa audytu

4. Określ, co powinno się stać, jeśli audyt SQL Server nie powiedzie się korzystając z błędu dziennika audytu On, możesz wybrać Kontynuuj lub zamknąć serwer lub zatrzymać operacje bazy danych, które są kontrolowane. Jeśli wybierzesz opcję Fail operation, operacje bazy danych, które nie są kontrolowane, będą nadal działać.

SQL Server Audit Tworzenie obiektu audytu SQL Server na poziomie serwera

audyt serwera SQL Tworzenie obiektu audytu serwera SQL na poziomie serwera

Rysunek 2. Tworzenie obiektu audytu serwera SQL na poziomie serwera

5. W menu rozwijanym miejsce audytu można zapisać ścieżkę audytu SQL do pliku lub kontrolować zdarzenia w dzienniku zabezpieczeń systemu Windows lub dzienniku zdarzeń aplikacji. Jeśli wybierzesz plik, musisz określić ścieżkę do niego.

zauważ, że jeśli chcesz zapisać do dziennika zdarzeń bezpieczeństwa systemu Windows, SQL Server będzie musiał uzyskać pozwolenie. Dla uproszczenia wybierz dziennik zdarzeń aplikacji. Dodatkowo, można dołączyć filtr jako część obiektu audytu, aby zapewnić wąski zestaw wyników; filtry muszą być zapisane w Transact-SQL (T-SQL).

6. Kliknij OK.

7. Nowa konfiguracja audytu znajduje się w Eksploratorze obiektów poniżej audyty. Kliknij prawym przyciskiem myszy nową konfigurację audytu i wybierz opcję Włącz audyt z menu.

8. Kliknij Zamknij w oknie dialogowym Włącz kontrolę.

Utwórz obiekt audytu bazy danych

aby utworzyć obiekt audytu SQL Server do audytu na poziomie bazy danych, Proces jest nieco inny i musisz najpierw utworzyć co najmniej jeden obiekt audytu na poziomie serwera.

1. Rozwiń bazy danych w Eksploratorze obiektów i rozwiń bazę danych, w której chcesz skonfigurować inspekcję.

2. Rozwiń folder Bezpieczeństwo, kliknij prawym przyciskiem myszy specyfikację audytu bazy danych i wybierz nową specyfikację audytu bazy danych… z menu.

SQL Server Audit tworzenie specyfikacji audytu serwera dla audytu na poziomie bazy danych

audyt serwera SQL tworzenie specyfikacji audytu serwera dla audytu na poziomie bazy danych

Rysunek 3. Tworzenie specyfikacji audytu serwera dla audytów na poziomie bazy danych

3. W oknie Właściwości w obszarze operacje użyj menu rozwijanych, aby skonfigurować jeden lub więcej typów operacji audytowych, wybierając instrukcje, które chcesz skontrolować (takie jak Usuń lub Wstaw), klasę obiektu, dla której operacja jest wykonywana, i tak dalej.

4. Po zakończeniu kliknij OK, a następnie włącz obiekt audyt, klikając go prawym przyciskiem myszy i wybierając opcję Włącz specyfikację audytu bazy danych.

Wyświetlanie dzienników audytu SQL Server

dzienniki audytu SQL Server C2 są przechowywane w domyślnym katalogu danych instancji SQL Server. Każdy plik dziennika może mieć maksymalnie 200 megabajtów. Nowy plik jest tworzony automatycznie po osiągnięciu limitu.

natywne rozwiązanie, które jest zalecane do przeglądania dzienników audytu SQL Server o nazwie Log File Viewer. Aby go użyć, wykonaj następujące kroki:

1. W SQL Server Management Studio, w Panelu Object Explorer rozwiń zabezpieczenia i

2. Kliknij prawym przyciskiem myszy obiekt audytu, który chcesz wyświetlić, i wybierz z menu Wyświetl dzienniki audytu.

3. W przeglądarce plików dziennika dzienniki będą wyświetlane po prawej stronie. Niezależnie od tego, czy dzienniki są zapisywane do pliku, czy do dziennika zdarzeń systemu Windows, przeglądarka plików dziennika wyświetli dzienniki.

4. W górnej części przeglądarki plików dziennika możesz kliknąć filtr, aby dostosować, które wpisy dziennika są wyświetlane. Logi plików SQL Server są zapisywane w .format sqlaudit i nie są czytelne, więc Eksplorator plików dziennika pozwala kliknąć Eksportuj, aby zapisać logi do rozdzielanych przecinkami .format pliku dziennika.

SQL Server Audit przeglądanie SQL Server audit logowanie w przeglądarce plików dziennika

SQL Server Audit przeglądanie SQL Server audit logowanie w przeglądarce plików dziennika

Rysunek 4. Przeglądanie SQL Server audit logowanie w przeglądarce plików dziennika

Konsultant IT i autor specjalizujący się w technologiach zarządzania i bezpieczeństwa. Russell ma ponad 15-letnie doświadczenie w branży IT, napisał książkę o bezpieczeństwie systemu Windows i jest współautorem tekstu do serii Official Academic Course (MOAC) firmy Microsoft.



+