Включение функции аудита в SQLServer 2005

Question

Вы когда-нибудь использовали функции аудита SQL Server на производственной базе данных?

Как это повлияло на производительность, и есть ли различия, которые вы заметили между различными версиями SQL Server.

Также, как нам нужно включить функции аудита.

Answer 1

Режим аудита C2 страдает от множества проблем, и ваш вопрос касается только одной из них - производительности. Аудит C2 оказывает огромное влияние на производительность, очень высокий.

Если оставить в стороне проблему с производительностью, управлять ею очень сложно. Это не конфигурационный переключатель типа «установил и забыл». Вы должны потратить немало времени на настройку, настройку ведения журнала для доступа к файлам, а затем, когда вы закончите, кто-то другой может прийти за вами и довольно легко избавиться от файлов аудита. Невозможно быстро опросить все ваши серверы и убедиться, что аудит C2 работает правильно или что кто-то не сбрасывает файлы.

SQL Server 2008 значительно упрощает соответствие. Я бы порекомендовал взглянуть на портал соответствия SQL Server 2008 , в котором содержится отличный технический документ по настройке новых функций соответствия 2008 года. Новый аудитор 2008 года использует обработку xEvent, которая значительно снижает требования к производительности и ею намного легче управлять. Вы можете использовать управление на основе политик 2008 года, чтобы проверять свои серверы, гарантировать, что вы проводите аудит, и помогать заново настраивать аудит в случае поломки.

К сожалению, одним из слабых мест по-прежнему остается контроль над выходными файлами аудита - злоумышленники могут просто удалить файлы. Еще одним недостатком является отсутствие отчетности - то, что у вас есть аудиторские данные, не означает, что вы можете с этим что-то сделать. Вам все еще нужно написать свои собственные отчеты, чтобы проанализировать данные аудита и выяснить, кто чем занимается. Это нелегко, но гораздо проще и эффективнее, чем аудит C2 в SQL 2005.

Answer 2

C2 Режим аудита - это то, что вы ищете, триггеры не подходят для аудита. Что вы в итоге использовали?

Answer 3

Новый бесплатный инструмент Redgate, DLM Dashboard , использует триггеры DDL для сохранения изменений в отдельной базе данных, которая, в свою очередь, регулярно опрашивается службой панели мониторинга, тем самым сводя к минимуму любое влияние на производительность.

Записывает изменения схемы, а не (пока) изменения данных.

Answer 4

C2 Audit Mode может дать вам некоторые функции, которые вы ищете. Хотя он специально не записывает операторы SQL, используемые для доступа к данным, он предоставит вам полную запись успешных / неудачных запросов безопасности на вашем SQL Server.

http://msdn.microsoft.com/en-us/library/ms187634.aspx

Мы используем Idera SQL Compliance Manager для проведения SOX-совместимого аудита SQL. Мне это не особо нравится, но, похоже, это один из лидеров отрасли, поэтому я полагаю, что он такой же хороший, как и любой другой, и он выполняет свою работу. Если вы хотите выполнить какое-то внешнее требование (как в случае с Сарбейнсом-Оксли), прокатка по вашему усмотрению может не соответствовать вашим требованиям, и вы можете использовать такой продукт, как этот.

Answer 5

Боюсь, что нет такой вещи, как «функция аудита». Вместо этого вам нужно создать его самостоятельно, в зависимости от того, какие у вас требования. Есть много способов сделать это, например

• Триггер срабатывает при каждом изменении данных в проверенных таблицах. Пример здесь: http://web.archive.org/web/20071006100909/http://sqlserver2000.databases.aspfaq.com:80/how-do-i-audit-changes-to-sql-server-data.html
• используя ваш ORM с NHIbernate идеи здесь: Аудит данных в NHibernate и SqlServer