任何安全解决方案的一个重要组成部分就是出于可说明性和法规遵从性的考虑而进行审核的能力。SQL Server 2008包含很多特性,使审核活动成为可能。
所有动作审核
SQL Server 2008通过Audit对象提供审核支持,这使管理员能够捕获数据库服务器中的活动并将其存储在日志中。使用SQL Server 2008,您可以将审核信息存储在以下目标中:
文件
Windows应用程序日志
Windows安全日志
要写入Windows安全日志,必须将SQL Server服务配置为作为Local System、Local Service、Network Service或拥有SeAuditPrivilege权限且不是交互用户的域帐户运行。
要创建Audit对象,必须使用CREATE SERVER AUDIT语句。该语句定义Audit对象并将其与目标关联。用于配置Audit对象的特定选项取决于审核目标。例如,以下Transact-SQL代码创建了两个Audit对象;一个将活动记录到文件,另一个将活动记录到 Windows应用程序日志。
CREATE SERVER AUDIT HIPAA_File_Audit |
注意当记录到文件目标时,文件名没有在 CREATE SERVER AUDIT 语句中指定。审核文件名采用 AuditName_AuditGUID_nn_TS.sqlaudit 的形式,其中 AuditName是 Audit 对象的名称,AuditGUID是与该 Audit 对象相关的惟一标识符,nn是用于分区文件集的分区号,而 TS是时间戳的值。例如,通过前面的代码样例创建的 HIPAA_FILE_Audit Audit 对象可以生成一个与以下名称类似的日志文件:
HIPAA_File_Audit_{95A481F8-DEF3-40ad-B3C6-126B68257223}_00_29384.sqlaudit
可以使用 QUEUE_DELAY 审核选项实现出于性能原因的异步审核,可以使用 ON_FAILURE 选项确定无法向目标写入审核信息时采取的操作。在过去不久的文章里展示的 HIPAA_AppLog_Audit 示例中,ON_FAILURE选项被配置为在无法写入日志时关闭 SQL Serve r实例;在这种情况下,执行CREATE SERVER AUDIT 语句的用户必须拥有 SHUTDOWN 权限。
在创建 Audit 对象之后,可以通过使用 CREATE SERVER AUDIT SPECIFICATION 和 CREATE DATABASE AUDIT SPECIFICATION 语句对其添加事件。CREATE SERVER AUDIT SPECIFICATION 向 Audit 添加服务器级的操作组(即可以在服务器级发生的预定义的相关操作集合)。例如,以下代码将 FAILED_LOGIN_GROUP 操作组(它记录了失败的登录尝试)添加到HIPAA_File_Audit Audit。
CREATE SERVER AUDIT SPECIFICATION Failed_Login_Spec |
CREATE DATABASE AUDIT SPECIFICATION 语句向 Audit 添加数据库级的操作组和单个数据库事件。添加单个操作使您能根据对象筛选记录的操作以及操作涉及的用户。例如,以下代码样例向HIPAA_AppLog_Audit Audit 添加了 DATABASE_OBJECT_CHANGE_GROUP 操作组(它记录数据库中的任何 CREATE、ALTER 或 DROP 操作)以及在 Sales 架构中由 SalesUser 或 SalesAdmin 用户对对象执行的 INSERT、UPDATE 或 DELETE 语句。
CREATE DATABASE AUDIT SPECIFICATION Sales_Audit_Spec |
Audit 对象提供了一个可管理的审核框架,该框架使定义应记录的事件和事件应存储的位置变得很容易。SQL Server 添加的这个功能帮助您实现综合的审核解决方案以确保数据库的安全并满足法规遵从性的要求。
DDL触发器
DDL 触发器是在 SQL Server 2005 中引入的。与表中数据发生变化时执行 Transact-SQL 代码的DML 触发器不同,DDL 触发器在表结构发生变化时激活。这是跟踪和审核数据库架构的结构性变化的极佳方式。
这些触发器的语法与 DML 触发器的类似。DDL 触发器是 AFTER 触发器,为了响应 DDL 语言事件而激活;它们不会为了响应执行类似 DDL 操作的系统存储过程而激活。它们是完全事务性的,因此您可以 ROLLBACK 一个 DDL 变更。您可以在 DDL 触发器中运行 Transact-SQL 或者 CLR代码。 DDL 触发器还支持类似其他模块的 EXECUTE AS 子句。
SQL Server 将关于触发器事件的信息作为非类型化的 XML 提供。可以通过称为 EVENTDATA()的能够发出 XML 数据的新内置功能获得这些信息。可以使用 XQuery 表达式解析 EVENTDATA() XML 以发现事件属性,如架构名称、目标对象名称、用户名,以及导致触发器最先激活的整个Transact-SQL DDL语句。例如,请参见 SQL Server Books Online 中的 EVENTDATA (Transact-SQL)。数据库级 DDL 触发器由数据库或更低级别的 DDL 语言事件激活。例如,CREATE_TABLE、 ALTER_USER等等。服务器级 DDL 触发器由服务器级的 DDL 语言事件激活,例如 CREATE_DATABASE、ALTER_LOGIN 等等。为了管理方便,您可以使用事件组,比如 DDL_TABLE_EVENTS,来简称所有 CREATE_TABLE、ALTER_TABLE 和 DROP_TABLE 事件。各种 DDL 事件组和事件类型及其相关 XML EVENTDATA()在SQL Server Books Online 上均有记述。
与 DML 触发器名称不同(它是架构范围的),DDL 触发器是数据库范围或服务器范围的。
使用此目录视图发现 DML 触发器和数据库级 DDL 触发器的触发器元数据:
SELECT * FROM sys.triggers ; |
假如 parent_class_desc 列中存在 'DATABASE' 的值,那么它就是 DDL 触发器,并通过数据库本身确定名称范围。Transact-SQL 触发器的代码体可以在 sys.sql_modules 目录视图中找到,并且可以将它连接到 sys.triggers 的object_id 列中。 关于 CLR 触发器的元数据可以在 sys.assembly_modules 目录视图中找到,同样可以连接到 sys.triggers 的 object_id 列中。
使用此目录视图发现服务器范围的 DDL 触发器的元数据:
SELECT * FROM sys.server_triggers ; |
Transact-SQL 服务器级别的触发器的代码体可以在 sys.server_sql_modules 目录视图中找到,可以将它连接到 sys.server_triggers 的 object_id 列上。关于一个 CLR 服务器级别的触发器的元数据可以在 sys.server_assembly_modules 目录视图中找到,同样可以将它连接到 sys.server_triggers 的 object_id 列上。
可以使用 DDL 触发器来捕捉和审核数据库中的 DDL 活动。创建一个带有非类型化的 XML 列的审核表。为 DDL 事件或您感兴趣的事件组创建一个 EXECUTE AS SELF DDL 触发器。这个DDL 触发器的代码体可以简单地将 EVENTDATA() XML 插入到审核表中。
DDL 触发器的另一个有趣的使用是由 CREATE_USER 事件激活然后添加代码到自动权限管理。例如,假设您想让所有的数据库用户获得一个对存储过程 P1、P2 和 P3 的 GRANT EXECUTE 权限。DDL 触发器可以从 EVENTDATA() XML 中提取用户名称,动态地生成一个语句,像 ‘GRANT EXECUTE ON P1 TO someuser’,然后对它执行EXEC()。