添加 SQL 服务器
最后更新于:
概述
在事件日志分析器中添加SQL Server实例
概述
EventLog Analyzer中SQL审计的核心功能
DDL/DML 监控
- 全面追踪数据定义语言(DDL)和数据操作语言(DML)活动。
- 监控用户操作、执行语句及应用程序详情,提供完整的审计轨迹。
高级审计
- 定期收集详细的服务器和数据库信息。
- 生成报表以深入了解数据库结构、活动及安全变更。
列完整性监控
- 在表中追踪列级别的变更,包括修改过程中旧值和更新后的值。
- 确保对表数据更新的精细化可见性,增强完整性与责任追溯能力。
风险态势分析
- EventLog Analyzer通过验证各类配置细节,识别潜在安全风险,提供风险态势分析。详情请访问此页面。
前提条件
1. 支持的 SQL Server 版本
- Windows SQL Server 2012 及更高版本
2. Windows应用程序日志文件大小
在EventLog Analyzer中配置SQL服务器后,审计策略将自动应用于该服务器。随后SQL服务器开始在Windows应用程序日志中生成日志,这些日志由EventLog Analyzer进行采集。但若事件生成速率过高,Windows可能在EventLog Analyzer完成采集前覆盖旧日志。为防止数据丢失,需根据日志流入量相应增加日志文件大小。 以下是根据日志量推荐的文件大小设置:
设备监控间隔:10分钟或实时
| 日志/秒 | 应用程序文件大小 |
|---|---|
| 250条日志/秒 | 1.0 GB |
| 500条日志/秒 | 2.0 GB |
| 750条日志/秒 | 3.0 GB |
| 1000条日志/秒 | 4.0 GB |
| 2000条日志/秒 | 8.0 GB |
3. SQL服务器发现
EventLog Analyzer可自动发现网络中可用的SQL服务器,便于您轻松选择实例并添加至产品。但需确保SQL Server浏览器服务正在运行且能通过1433端口通信。
4. SQL服务器配置
- 确保 SQL 服务器机器可从 EventLog Analyzer 服务器访问。
- 确保 TCP/IP 端口已启用。启用 TCP/IP 请遵循指定步骤。
- 导航至SQL服务器托管主机
- 导航至SQL Server 配置管理器 → SQL Server 网络配置。
- 右键单击TCP/IP并启用它。
- 配置有效的端口号。右键单击属性并输入端口号。
- 确保 SQL 服务器使用的 TCP/IP 端口可从 EventLog Analyzer 访问。验证防火墙未阻止该端口,以确保正常通信和数据收集。
- 确保在事件日志分析器中用于SQL服务器配置的用户账户具备此处详述的所有必要权限。
在EventLog Analyzer中添加SQL Server实例
要配置并监控SQL服务器日志,请执行以下步骤:
- 导航至设置 → 日志源配置 → 数据库审核 → SQL服务器,查看受监控的SQL服务器列表。
- 要添加新SQL服务器,请点击添加实例。
- 选择要配置的实例并点击添加。
- 添加完成后,在操作列中点击更新以更新设备和SQL服务器的凭据。
您也可选择"手动添加"选项进行实例配置。手动配置SQL服务器时请遵循以下步骤:
- Windows服务器配置
- 选择托管 SQL 服务器的 Windows 服务器,并输入有效的凭据。您也可以使用默认凭据。
- SQL Server实例配置
- 输入 实例名称(可选)、端口和身份验证凭据。
- 高级审核
- 启用高级审核时,系统将在SQL服务器中创建审核策略。
- 禁用该功能将从所选SQL Server实例中移除审核策略。
- 若需长期禁用高级审核功能,可手动配置审核策略,EventLog Analyzer仍将正常从设备获取日志。手动配置审核策略请点击此处。
- 实例身份验证
- 从下拉菜单中选择实例身份验证方式,可选Windows身份验证或SQL身份验证。
- 输入有效凭据后点击添加。
创建审核所需的最低权限
注意:这些权限仅用于启用、禁用、删除或创建审核,不适用于实际审核操作。
| 服务器角色 | 用户映射 | 安全对象 |
|---|---|---|
|
公共 |
|
EventLog Analyzer中的SQL Server审计机制
DDL/DML监控
- 当实例启用高级审核功能时,系统将在SQL服务器实例中创建服务器级审核规范,包含以下审核操作类型:
- 模式对象访问组
- BACKUP_RESTORE_GROUP
- DATABASE_ROLE_MEMBER_CHANGE_GROUP
- SERVER_ROLE_MEMBER_CHANGE_GROUP
- FAILED_LOGIN_GROUP
- 登录成功组
- 数据库变更组
- 数据库对象变更组
- 数据库主体变更组
- 模式对象变更组
- 服务器主体变更组
- 登录更改密码组
- 服务器状态变更组
- 系统为此审核模式使用从对应Windows设备收集的应用程序类型事件。
- 此审核模式下可用的报表组(报表选项卡 → 应用程序 → SQL Server)如下:
- SQL Server 事件
- SQLServer趋势报表
- DDL 审计报表
- DML 审计报表
- 审核账户管理
- 审计服务器报表
- 攻击报表
- 其他安全报表
注意:需启用高级审核功能才能自动创建服务器级审核规范。但若手动创建,即使在Eventlog Analyzer中禁用高级审核,系统仍会获取所需日志。
数据库审计
- 当实例启用高级审核功能时,系统将在每日晚上11点执行查询以收集事件。
- 在此审核模式下可提供以下报表(报表 → 应用程序 → SQL Server → 高级审核报表):
- 登录信息报表
- 表信息报表
- 表更新报表
- 服务器信息报表
- 等待信息报表
- 阻塞进程报表
- 模式变更历史
- 对象变更历史
- 安全变更报表
- 权限信息报表
- 数据库最近备份
- 最近一次DBCC操作
注意:仅当高级审核功能启用时,查询才会获取日志。
列完整性监控
- 当配置列完整性监控时,EventLog Analyzer会在SQL Server实例中创建一个触发器。当有人修改指定表中受监控列的值(即执行UPDATE查询)时,该触发器会自动将事件写入事件查看器。
- 列完整性监控报表显示:
- 修改者
- 何时修改值
- 变更发生的数据库及表名
- 原值与新值
- 请谨慎选择监控列,因为触发器是性能密集型操作。
- 此操作的预定义报表可在以下路径查看:报表 → 应用程序 → SQL Server → 高级审核报表 → 列修改报表
列监控的先决条件
- 在SQL Server中创建触发器前,必须先启用高级审核功能。
- 表必须具有主键才能使"AFTER TRIGGER"生效。
- 列的数据类型不能为 text、ntext 或 image。
创建触发器所需的最低权限
注意:这些权限仅用于删除/创建触发器,不适用于实际审计操作。
| 服务器角色 | 用户映射 | 可保护对象 |
|---|---|---|
|
将所有要添加的数据库映射到列完整性监控,并赋予上述权限。 |
|
手动创建SQL Server审核对象的步骤
- 打开MSSQL Server管理工作室,导航至对象资源管理器。
- 展开“安全性”节点。
- 右键单击"审核"文件夹 ,选择"新建审核"。
- 在创建新审核页面中:
- 在“审核名称”字段中输入合适的名称。
- 选择应用程序日志作为审核目标。
- 保持其他设置为默认值。
- 单击“保存”。
- 右键单击新创建的审核,选择启用审核。
- 右键单击“服务器审核规范”文件夹,选择新建服务器审核规范。
- 在创建审核规范窗口中,
- 右键单击创建的审核规范,然后单击启用服务器审核规范。