SQL Server 2012 稽核管理面面觀 DBI311 陳俊宇 Derrick sharedderrick.blogspot.com SQL Server Audit新增強的功能 陳俊宇 Derrick sharedderrick.blogspot.com 精誠資訊恆逸教育訓練中心
稽核 發生資料外洩事件 人、事、時、地、物 法令規範 商業機密
資料庫系統的稽核 先前 C2 稽核模式、SQL 追蹤(Trace)... 挑戰 資源耗損 交易鎖定 不易控制 無整合介面
SQL Server Audit 擴充事件(Extended Event) 耗用資源少 非同步 量身訂做
主要元件
SQL Server Audit 新增功能 全支援:伺服器層級稽核 更彈性的稽核設定 使用者定義稽核事件 篩選稽核記錄 T-SQL堆疊(Stack) 框架資訊
全支援:伺服器層級稽核 伺服器層級稽核 資料庫層級稽核 無需SQL Trace 效能更好 全版本都支援 Enterprise版本 SQL Server Express
稽核檔案的存取權 服務啟動帳戶 寫入到網路共用資料夾
寫入到網路資料夾
將SQL Server Audit的目標記錄檔案寫入到網路共用資料夾
建立伺服器稽核規格
建立、修改與刪除資料庫與檢視稽核記錄
失敗時處理 繼續 關閉伺服器 失敗作業
調整稽核記錄失敗時的處理 任務四:調整稽核記錄失敗時的處理 選擇:「繼續」模式
最大換用檔案與最大檔案數目 最大換用檔案 最大檔案數目 SQL Server 2012
調整稽核檔案數目上限
稽核記錄檔案的篩選
認識對稽核記錄檔案的篩選
使用者定義稽核群組 支援層級 「伺服器稽核規格」、「資料庫稽核規格」 sp_audit_write自訂觸發
T-SQL堆疊(Stack) XML格式 sp_audit_write觸發的相關資訊
認識使用者定義稽核群組
我該如何保護稽核記錄檔案? 包含DBA?
保護稽核記錄 Windows 安全性記錄(Security Log) 複製稽核記錄到安全位置 組合兩者 「防止篡改(Tamper-proof)」 記錄 DBA 無法清除記錄 SCOM收集稽核記錄 複製稽核記錄到安全位置 DBA或服務啟動帳戶無法存取 稽核記錄檔案正在使用時,是僅能讀取 組合兩者 使用Windows安全性記錄,稽核「篡改(tamper)」活動 其他稽核活動,存放到檔案
稽核失敗,導致系統關機?
稽核失敗,系統關機?
單一使用者模式下啟動
應用程式架構1
應用程式架構2
提醒 規劃保護稽核檔案 將稽核記錄寫入到檔案,速度比寫入到Windows事件記錄來的快 分析稽核的真正需求 監控管理人員的活動,避免竄改記錄 無法加密或壓縮 將稽核記錄寫入到檔案,速度比寫入到Windows事件記錄來的快 分析稽核的真正需求 監控管理人員的活動,避免竄改記錄
結論 SQL Server Audit 全支援:伺服器層級稽核 更彈性的稽核設定 使用者定義稽核事件 篩選稽核記錄 T-SQL堆疊(Stack) 框架資訊