RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:8:30-17:00
你可能遇到了下面的问题
关闭右侧工具栏

新闻中心

这里有您想知道的互联网营销解决方案
sqlserver审核,sqlserver登录审核

审核失败 sqlserver

有人在尝试你的sa密码,去把sa密码设置复杂一些,长度10位以上,数字字母符号混合即可,或者装第三方防火墙软件,将此ip地址禁止连接

创新互联网站建设提供从项目策划、软件开发,软件安全维护、网站优化(SEO)、网站分析、效果评估等整套的建站服务,主营业务为成都做网站、网站设计,app软件开发以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。创新互联深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

如何开启sqlserver2008数据库审计功能

SQLSERVER2008新增的审核功能

在sqlserver2008新增了审核功能,可以对服务器级别和数据库级别的操作进行审核/审计,事实上,事件通知、更改跟踪、变更数据捕获(CDC)

都不是用来做审计的,只是某些人乱用这些功能,也正因为乱用这些功能导致踩坑

事件通知:性能跟踪

更改跟踪:用Sync Services来构建偶尔连接的系统

变更数据捕获(CDC):数据仓库的ETL 中的数据抽取(背后使用logreader)

而审核是SQLSERVER专门针对数据库安全的进行的审核,记住,他是专门的!

我们看一下审核的使用方法

审核对象

步骤一:创建审核对象,审核对象是跟保存路径关联的,所以如果你需要把审核操作日志保存到不同的路径就需要创建不同的审核对象

我们把审核操作日志保存在文件系统里,在创建之前我们还要在相关路径先创建好保存的文件夹,我们在D盘先创建sqlaudits文件夹,然后执行下面语句

--创建审核对象之前需要切换到master数据库

USE [master]

GO

CREATE SERVER AUDIT MyFileAudit TO FILE(FILEPATH='D:\sqlaudits') --这里指定文件夹不能指定文件,生成文件都会保存在这个文件夹

GO

实际上,我们在创建审核对象的同时可以指定审核选项,下面是相关脚本

把日志放在磁盘的好处是可以使用新增的TVF:sys.[fn_get_audit_file] 来过滤和排序审核数据,如果把审核数据保存在Windows 事件日志里查询起来非常麻烦

USE [master]

GO

CREATE SERVER AUDIT MyFileAudit TO FILE(

FILEPATH='D:\sqlaudits',

MAXSIZE=4GB,

MAX_ROLLOVER_FILES=6)

WITH (

ON_FAILURE=CONTINUE,

QUEUE_DELAY=1000);

ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)

MAXSIZE:指明每个审核日志文件的最大大小是4GB

MAX_ROLLOVER_FILES:指明滚动文件数目,类似于SQL ERRORLOG,达到多少个文件之后删除前面的历史文件,这里是6个文件

ON_FAILURE:指明当审核数据发生错误时的操作,这里是继续进行审核,如果指定shutdown,那么将会shutdown整个实例

queue_delay:指明审核数据写入的延迟时间,这里是1秒,最小值也是1秒,如果指定0表示是实时写入,当然性能也有一些影响

STATE:指明启动审核功能,STATE这个选项不能跟其他选项共用,所以只能单独一句

在修改审核选项的时候,需要先禁用审核,再开启审核

ALTER SERVER AUDIT MyFileAudit WITH(STATE =OFF)

ALTER SERVER AUDIT MyFileAudit WITH(QUEUE_DELAY =1000)

ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)

审核规范

在SQLSERVER审核里面有审核规范的概念,一个审核对象只能绑定一个审核规范,而一个审核规范可以绑定到多个审核对象

我们来看一下脚本

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFile

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

GO

CREATE SERVER AUDIT MyAppAudit TO APPLICATION_LOG

GO

ALTER SERVER AUDIT MyAppAudit WITH(STATE =ON)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=OFF)

GO

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile

FOR SERVER AUDIT MyAppAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

GO

我们创建一个服务器级别的审核规范CaptureLoginsToFile,然后再创建多一个审核对象MyAppAudit ,这个审核对象会把审核日志保存到Windows事件日志的应用程序日志里

我们禁用审核规范CaptureLoginsToFile,修改审核规范CaptureLoginsToFile属于审核对象MyAppAudit ,修改成功

而如果要把多个审核规范绑定到同一个审核对象则会报错

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFileA

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

GO

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFileB

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

GO

--消息 33230,级别 16,状态 1,第 86 行

--审核 'MyFileAudit' 的审核规范已经存在。

这里要说一下 :审核对象和审核规范的修改 ,无论是审核对象还是审核规范,在修改他们的相关参数之前,他必须要先禁用,后修改,再启用

--禁用审核对象

ALTER SERVER AUDIT MyFileAudit WITH(STATE =OFF)

--禁用服务器级审核规范

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=OFF)

GO

--禁用数据库级审核规范

ALTER DATABASE AUDIT SPECIFICATION CaptureDBLoginsToFile WITH (STATE=OFF)

GO

--相关修改选项操作

--启用审核对象

ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)

--启用服务器级审核规范

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=ON)

GO

--启用数据库级审核规范

ALTER DATABASE AUDIT SPECIFICATION CaptureDBLoginsToFile WITH (STATE=ON)

GO

审核服务器级别事件

审核服务级别事件,我们一般用得最多的就是审核登录失败的事件,下面的脚本就是审核登录成功事件和登录失败事件

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFile

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

GO

修改审核规范

--跟审核对象一样,更改审核规范时必须将其禁用

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE =OFF)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile

ADD (login_change_password_gourp),

DROP (successful_login_group)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE =ON)

GO

审核操作组

每个审核操作组对应一种操作,在SQLSERVER2008里一共有35个操作组,包括备份和还原操作,数据库所有权的更改,从服务器和数据库角色中添加或删除登录用户

添加审核操作组的只需在审核规范里使用ADD,下面语句添加了登录用户修改密码操作的操作组

ADD (login_change_password_gourp)

这里说一下服务器审核的内部实际上使用的是SQL2008新增的扩展事件里面的其中一个package:SecAudit package,当然他内部也是使用扩展事件来收集服务器信息

审核数据库级别事件

数据库审核规范存在于他们的数据库中,不能审核tempdb中的数据库操作

CREATE DATABASE AUDIT SPECIFICATION和ALTER DATABASE AUDIT SPECIFICATION

工作方式跟服务器审核规范一样

在SQLSERVER2008里一共有15个数据库级别的操作组

7个数据库级别的审核操作是:select ,insert,update,delete,execute,receive,references

相关脚本如下:

--创建审核对象

USE [master]

GO

CREATE SERVER AUDIT MyDBFileAudit TO FILE(FILEPATH='D:\sqldbaudits')

GO

ALTER SERVER AUDIT MyDBFileAudit WITH (STATE=ON)

GO

--创建数据库级别审核规范

USE [sss]

GO

CREATE DATABASE AUDIT SPECIFICATION CaptureDBActionToEventLog

FOR SERVER AUDIT MyDBFileAudit

ADD (database_object_change_group),

ADD (SELECT ,INSERT,UPDATE,DELETE ON schema::dbo BY PUBLIC)

WITH (STATE =ON)

我们先在D盘创建sqldbaudits文件夹

第一个操作组对数据库中所有对象的DDL语句create,alter,drop等进行记录

第二个语句监视由任何public用户(也就是所有用户)对dbo架构的任何对象所做的DML操作

创建完毕之后可以在SSMS里看到相关的审核

启动账号和审核级别可以用脚本修改吗

SQL code--无

EXEC master.dbo.xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 0

GO

--仅限成功登陆

EXEC master.dbo.xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 1

GO

--失败和成功的登录

EXEC master.dbo.xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 3

GO

--仅限失败登陆

EXEC master.dbo.xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 2

GO

------解决方案--------------------

其实SQL Server Login auditing是通过写注册表的方式来存储的。存储的注册表位置如下:

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\MSSQL.1\MSSQLServer\AuditLevel

修改方式如以下:

SQL code

USE [master]

GO

EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE'

, N'Software\Microsoft\MSSQLServer\MSSQLServer'

, N'AuditLevel'

, REG_DWORD

, 0/*--住需要修改这个地方的值为0、1、2或者3即可。

0:None

2:Failed Logins Only

1:Successful logins only

3:Both failed and successful logins only

*/

GO

------解决方案--------------------

1. 通过本地用户管理,建立一个本地用户sqlserver,密码:123456;

2. 如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:

Source:Service Control Manager

Event ID:7000

Description:

The %service% service failed to start due to the following error:

The service did not start due to a logon failure.

No Data will be available.

这是因为作为一个普通用户是无法启动服务的,我们需要给sqlserver用户分配必要的权限。

SQL Server服务启动账号必须有3个基本权限:

l 数据库本地目录的读写权限;

l 启动本地服务的权限;

l 读取注册表的权限;

3. 赋予sqlserver用户mssql(WINDOWS平台上强大的数据库平台)目录的读写权限;

因为我的SQL SERVER是安装在D盘,所以我在权限管理中,将D:\PROGRMAM FILE\Microsoft SQL Server\mssql(WINDOWS平台上强大的数据库平台)读写权限赋予sqlserver用户。

4. 分配sqlserver用户启动本地服务的权限;

这个比较复杂,我只举例作为成员服务器的情况。

l 启动“Local Security Setting” MMC 管理单元。

l 展开Local Policy,然后单击User Rights Assignment。

l 在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。

l 在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK

l 在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK

l 在右侧窗格中,右键单击Act as part of the operating systme,将用户添加到该策略,然后单击OK

l 在右侧窗格中,右键单击Bypass traverse checking,将用户添加到该策略,然后单击OK

l 在右侧窗格中,右键单击Replace a process level token,将用户添加到该策略,然后单击OK

l 关闭“Local Security Setting” MMC 管理单元。

如图:

5. 重新启动系统,用sqlserver用户登陆系统;

6. 再重新启动系统,已administrator用户登陆,打开SERVICES管理工具,配置用该用户启动mssql(WINDOWS平台上强大的数据库平台)SERVER服务;

这样我们就可以通过限制SQLSERVER用户的权限来控制SQLSERVER扩展存储过程的权限。


文章标题:sqlserver审核,sqlserver登录审核
标题路径:http://lswzjz.com/article/dsdjege.html