4

试图确定一台服务器输出的审计文件是否可以在没有 CONTROL SERVER 访问该服务器的情况下被读取。MSDN 文档建议这是可能的:

即使数据库引擎正在写入文件,如果其他 Windows 用户有权限,他们也可以读取审计文件。数据库引擎不采用阻止读取操作的排他锁。

并且:

我们建议您从单独的 SQL Server 实例(例如 SQL Server Express 实例)生成审计报告,只有审计管理员或审计读者才能访问该实例。通过使用数据库引擎的单独实例进行报告,您可以帮助防止未经授权的用户获得对审计记录的访问权限。

简而言之,我可以这样做吗?

  • 在 Prod DB 上配置审核以输出到文件共享
  • 授予审核读者对文件共享的读取权限
  • 使用来自单独数据库的 sys.fn_get_audit_file('fileshare*') 生成审计报告。

[澄清] q 的关键部分是,您能否使用 sys.fn_get_audit_file 从单独的数据库访问文件,而无需对创建审计信息的数据库进行管理员访问。这样,我们就可以将具有文件系统访问权限的审计阅读器与具有数据库管理员访问权限的 DBA 分开。很抱歉最初没有说清楚。

关于您的回答,这个查询可以从一个不相关的 SQL Mgmt Studio/DB 运行,由不是原始 DB 上的 DBA 的人运行吗?

SELECT 
    event_time, action_id, session_id, object_id, class_type, 
    database_principal_name, database_name, object_name, statement
FROM 
    sys.fn_get_audit_file('\\Temp\Audit\*',NULL,NULL);
4

1 回答 1

2

确实,这行得通。

USE [master]
GO

CREATE SERVER AUDIT [SQL2012-Audit-20121214-Demo]
TO FILE 
(   FILEPATH = N'\\Temp\Audit'
    ,MAXSIZE = 2 MB
    ,MAX_FILES = 32
    ,RESERVE_DISK_SPACE = OFF
) WITH (QUEUE_DELAY = 2000,ON_FAILURE = CONTINUE)
GO

ALTER SERVER AUDIT [SQL2012-Audit-20121214-Demo] WITH (STATE = ON);

USE [Performance]
GO

CREATE DATABASE AUDIT SPECIFICATION [SQL2012-DBAudit-20121214-Demo]
FOR SERVER AUDIT [SQL2012-Audit-20121214-Demo]
ADD (SELECT,INSERT,DELETE,UPDATE,EXECUTE ON DATABASE::[Performance] BY [dbo])
WITH (STATE = ON);
GO

在服务器审核和数据库审核到位并激活后,第一个审核文件立即创建,并且无法删除,因为 Windows 声明该文件正在使用中。

但是,从文件中选择始终有效。这是审计设置捕获的活动的“工作量”:

SELECT * INTO partition_stats_4 FROM Performance.sys.dm_db_partition_stats
SELECT * INTO partition_stats_3 FROM Performance.sys.dm_db_partition_stats
SELECT * INTO partition_stats_2 FROM Performance.sys.dm_db_partition_stats
SELECT * INTO partition_stats_1 FROM Performance.sys.dm_db_partition_stats
SELECT * INTO partition_stats   FROM Performance.sys.dm_db_partition_stats

DELETE FROM partition_stats
DELETE FROM partition_stats_1
DELETE FROM partition_stats_2
DELETE FROM partition_stats_3
DELETE FROM partition_stats_4

DROP TABLE partition_stats_4
DROP TABLE partition_stats_3
DROP TABLE partition_stats_2
DROP TABLE partition_stats_1
DROP TABLE partition_stats

结果如下:

SELECT 
    event_time, action_id, session_id, object_id, class_type, 
    database_principal_name, database_name, object_name, statement
FROM 
    sys.fn_get_audit_file('\\Temp\Audit\*',NULL,NULL);

SQL Server 2012 - 数据库审核结果

顺便说一句,这与服务器端跟踪文件的模式完全相同。我们一直在运行跟踪,并且文件是“可查询的”,没有任何问题。

审核愉快!

于 2012-12-14T16:48:50.953 回答