Hur du aktiverar SQL Server-granskning och granskar granskningsloggen

granskning av Microsoft SQL Server är avgörande för att identifiera säkerhetsproblem och överträdelser. Dessutom är granskning av SQL Server ett krav för att följa regler som PCI DSS och HIPAA.

det första steget är att definiera vad som ska granskas. Du kan till exempel granska användarinloggningar, serverkonfiguration, schemaändringar och revisionsändringar. Därefter har du välja vilka säkerhetsgranskningsfunktioner som ska användas. Användbara funktioner inkluderar följande:

  • C2-revision
  • vanliga Efterlevnadskriterier
  • Inloggningsgranskning
  • SQL Server-revision
  • SQL-spår
  • utökade händelser
  • ändra datainsamling
  • DML, DDL, och inloggningsutlösare

den här artikeln är för databasadministratörer (dBA) som tittar på att använda C2-Revision, Vanliga Efterlevnadskriterier och SQL Server-revision. Vi kommer inte att titta på några tredjepartsgranskningsverktyg, även om de kan vara till stor hjälp, särskilt för större miljöer och i reglerade branscher.

aktivera C2-granskning och Common Criteria Compliance

om du för närvarande inte granskar din SQL Server är det enklaste stället att börja genom att aktivera C2-granskning. C2 revision är en internationellt accepterad standard som kan aktiveras i SQL Server. Den granskar händelser som användarinloggningar, lagrade procedurer och skapande och borttagning av objekt. Men det är allt eller ingenting — du kan inte välja vad det granskar, och det kan generera mycket data. Dessutom är C2-revision i underhållsläge, så det kommer sannolikt att tas bort i en framtida version av SQL Server.

Common Criteria Compliance är en nyare standard som ersätter C2-revision. Det utvecklades av Europeiska unionen och kan aktiveras i Enterprise-och Datacenter-utgåvor av SQL Server 2008 R2 och senare. Men det kan orsaka prestandaproblem om din server inte är tillräckligt spec ’ d att klara av den extra overhead.

så här aktiverar du C2-revision I SQL Server 2017:

1. Öppna SQL Server Management Studio.

2. Anslut till databasmotorn som du vill aktivera C2-granskning för. Kontrollera att servertypen är inställd på databasmotor i dialogrutan Anslut till Server och klicka sedan på Anslut.

3. Högerklicka på din SQL Server-instans längst upp i Object Explorer-panelen till vänster och välj Egenskaper från menyn.

4. I fönstret Serveregenskaper klickar du på säkerhet under Välj en sida.

5. På sidan säkerhet kan du konfigurera inloggningsövervakning. Som standard registreras endast misslyckade inloggningar. Alternativt kan du granska bara framgångsrika inloggningar, eller både misslyckade och framgångsrika inloggningar.

SQL Server Audit konfigurera Åtkomstgranskning

SQL Server Audit konfigurera Åtkomstgranskning

Figur 1. Konfigurera åtkomstgranskning

6. Markera Aktivera C2-granskningsspårning under Alternativ.

7. Om du vill aktivera C2 Common Criteria Compliance-granskning markerar du aktivera Common Criteria compliance.

Common Criteria (CC) Compliance är en flexibel standard som kan implementeras med olika EAL-nivåer (EAL), från 1 till 7. Högre EALs har en mer krävande verifieringsprocess. När du markerar aktivera Common Criteria compliance i SQL Server aktiverar du CC Compliance EAL1. Det är möjligt att konfigurera SQL Server manuellt för EAL4+.

aktivera CC efterlevnad ändrar SQL Server beteende. Till exempel har behörigheter på TABELLNIVÅ neka företräde framför bidrag på kolumnnivå, och både framgångsrika och misslyckade inloggningar granskas. Dessutom är Restinformationsskydd (RIP) aktiverat, vilket överskriver minnesallokeringar med ett mönster av bitar innan de används av en ny resurs.

8. Klicka på OK.

9. Baserat på de valda alternativen kan du bli ombedd att starta om SQL Server. Om du får det här meddelandet klickar du på OK i varningsdialogrutan. Om du aktiverade C2 Common Criteria Compliance, starta om servern. Annars högerklickar du på din SQL Server-instans i Object Explorer igen och väljer Starta om från menyn. Klicka på Ja i varningsdialogrutan för att bekräfta att du vill starta om SQL Server.

aktivera SQL Server Audit

SQL Server revision kan aktiveras istället för C2 revision; du kan också välja att aktivera båda. SQL Server Audit-objekt kan konfigureras för att samla in händelser på servernivå eller SQL Server-databasnivå.

skapa Serverrevisionsobjekt

Låt oss skapa ett SQL Server-revisionsobjekt på servernivå:

1. Expandera säkerhet i Object Explorer-panelen till vänster.

2. Högerklicka på revisioner och välj Ny revision… från menyn. Detta skapar ett nytt SQL Server-Granskningsobjekt för granskning på servernivå.

3. I fönstret Skapa granskning ger du granskningsinställningarna ett namn i Granskningsnamnet

4. Ange vad som ska hända om SQL Server-granskningen misslyckas med felet på granskningsloggen du kan välja Fortsätt eller välja att stänga av servern eller stoppa databasoperationer som granskas. Om du väljer Fail operation fortsätter databasoperationer som inte granskas att fungera.

SQL Server Audit skapa ett SQL Server-granskningsobjekt på servernivå

SQL Server Audit skapa ett SQL Server audit-objekt på servernivå

Figur 2. Skapa ett SQL Server-granskningsobjekt på servernivå

5. I rullgardinsmenyn Granskningsdestination kan du välja att skriva SQL – granskningsspåret till en fil eller att granska händelser i Windows säkerhetslogg eller programhändelseloggen. Om du väljer en fil måste du ange en sökväg för filen.

Observera att om du vill skriva till Windows säkerhetshändelseloggen måste SQL Server ges tillstånd. För enkelhetens skull, välj applikations händelseloggen. Dessutom kan du inkludera ett filter som en del av granskningsobjektet för att ge en smal uppsättning resultat; filter måste skrivas i Transact-SQL (T-SQL).

6. Klicka på OK.

7. Du hittar nu den nya revisionskonfigurationen i Object Explorer nedan revisioner. Högerklicka på den nya revisionskonfigurationen och välj Aktivera revision från menyn.

8. Klicka på Stäng i dialogrutan Aktivera granskning.

skapa Databasgranskningsobjekt

för att skapa ett SQL Server-granskningsobjekt för databasnivågranskning är processen lite annorlunda och du måste skapa minst ett granskningsobjekt på servernivå först.

1. Expandera databaser i Object Explorer och expandera databasen som du vill konfigurera granskning på.

2. Expandera säkerhetsmappen, högerklicka på Databasgranskningsspecifikationer och välj Ny Databasgranskningsspecifikation… från menyn.

SQL Server Audit skapa en serverrevisionsspecifikation för granskning på databasnivå

SQL Server Audit skapa en serverrevisionsspecifikation för granskning på databasnivå

Figur 3. Skapa en serverrevisionsspecifikation för granskning på databasnivå

3. I fönstret Egenskaper under Åtgärder använder du rullgardinsmenyerna för att konfigurera en eller flera typer av granskningsåtgärder, välja de uttalanden du vill granska (till exempel ta bort eller infoga), objektklassen som åtgärden utförs på och så vidare.

4. När du är klar klickar du på OK och aktiverar sedan granskningsobjektet genom att högerklicka på det och välja aktivera Databasgranskningsspecifikation.

visa SQL Server-granskningsloggar

C2 Audit SQL Server-granskningsloggar lagras i STANDARDDATAKATALOGEN för SQL Server-instansen. Varje loggfil kan vara högst 200 megabyte. En ny fil skapas automatiskt när Gränsen nås.

en inbyggd lösning som rekommenderas för att visa SQL Server-granskningsloggar som heter Log File Viewer. För att använda det, gör följande steg:

1. I SQL Server Management Studio, i Object Explorer-panelen, expandera säkerhet och

2. Högerklicka på det granskningsobjekt som du vill visa och välj Visa granskningsloggar på menyn.

3. I Loggfilvisaren visas loggarna på höger sida. Oavsett om loggarna skrivs till en fil eller till Windows-händelseloggen, kommer Log File Viewer att visa loggarna.

4. Högst upp i Log File Viewer kan du klicka på Filter för att anpassa vilka loggposter som visas. SQL Server fil loggar sparas i .sqlaudit format och är inte läsbar, så Log File Explorer kan du klicka på Exportera för att spara loggar till en kommaseparerad .logga filformat.

SQL Server revision granska SQL Server revision loggning i loggfilen Viewer

SQL Server revision granska SQL Server revision loggning i loggfilen Viewer

Figur 4. Granska SQL Server-granskningsloggning i Loggfilvisaren

IT-konsult och författare som specialiserat sig på hantering och säkerhetsteknik. Russell har mer än 15 års erfarenhet av IT, han har skrivit en bok om Windows-säkerhet och han medförfattade en text för Microsofts officiella akademiska kurs (MOAC) – serie.



+