添加 SQL 服务器

EventLog Analyzer 中 SQL 审计的关键功能

DDL/DML 监控

• 对数据定义语言（DDL）和数据操纵语言（DML）活动的全面跟踪。
• 监控用户操作、已执行的语句以及application的详细信息，以提供完整的审计轨迹。

高级审计

• 定期收集服务器和数据库的详细信息。
• 生成报告，以深入了解数据库结构、活动和安全变更。

列完整性监控

• 在表中按列级别跟踪更改，包括在修改期间的旧值和更新后的值。
• 确保对表数据更新的细粒度可见性，以提升完整性和可追溯性。

风险态势分析

• EventLog Analyzer 通过核查各种配置细节并识别潜在的安全风险，提供风险态势分析。有关详细信息，请访问 此 页面。

先决条件

1. 支持的 SQL Server 版本

• Windows SQL Server 2012 及以上

2. Windows application 日志文件大小

在 EventLog Analyzer 中配置 SQL 服务器后，审计策略会自动应用到该 SQL 服务器。随后，该 SQL 服务器开始在 Windows 应用程序日志中生成日志，EventLog Analyzer 会获取这些日志。然而，如果事件生成速率过高，Windows 可能会在 EventLog Analyzer 收集之前覆盖较旧的日志。为防止数据丢失，需要根据日志流入量增大日志文件大小。以下是基于日志量的推荐文件大小设置。

设备监控间隔： 10 分钟或实时

3. SQL 服务器发现

EventLog Analyzer 会自动发现网络中可用的 SQL Server，使您可以轻松选择这些实例并将它们添加到产品中。不过，要使其正常工作，SQL Server 浏览器服务必须正在运行，并且能够通过 1433 端口进行通信。

4. SQL Server 配置

• 确保 EventLog Analyzer 服务器能够访问 SQL 服务器主机。
• 确保已启用 TCP/IP 端口。要启用 TCP/IP，请按照以下步骤操作。
• 导航到 SQL Server 所在的主机
• 导航到 SQL Server 配置管理器 → SQL Server 网络配置。
• 右键单击 TCP/IP 并将其启用。

• 配置一个有效的端口号。为此，右键单击“属性”并输入端口号。

• 确保 SQL 服务器使用的 TCP/IP 端口可以从 EventLog Analyzer 访问。确认防火墙未阻止该端口，以便实现正常通信和数据采集。
• 确保在 EvenLog Analyzer 中用于 SQL Server 配置的用户账户具备此处所详述的全部所需权限。

在 EventLog Analyzer 中配置 SQL Server 实例的步骤

要配置和监控 SQL 服务器日志，请按以下步骤操作：

• 导航到 设置 → 日志源配置 →数据库审计 →SQL Server 以查看受监控的 SQL Server。

• 若要添加新的 SQL 服务器，请单击 添加实例。
• 选择要配置的实例并单击 添加。
• 添加后，在“操作”列中单击更新以更新设备和 SQL 服务器凭据。

或者，您也可以使用Add Manually选项来手动配置实例（单个或多个）。要手动配置 SQL 服务器，请按照以下步骤操作：

• Windows 服务器配置
  • 选择承载 SQL 服务器的 Windows 服务器，并输入有效的凭据。您也可以使用默认凭据。
• SQL Server 实例配置
  • 输入实例名称（可选）、端口和身份验证凭据。
• 高级审计
  • 启用高级审计时，系统会在 SQL Server 上创建审计策略。
  • 禁用后，会从所选的 SQL Server 实例中移除该审计策略。
  • 如果您希望保持高级审计处于禁用状态，您可以手动配置审计策略，EventLog Analyzer 仍然会从该设备获取日志。要手动配置审计策略，请单击此处。
• 实例身份验证
  • 从下拉列表中选择实例身份验证方法。您可以选择 Windows 身份验证或 SQL 身份验证。
  • 输入有效的凭据，然后单击添加。

创建审计的最低权限

EventLog Analyzer 中的 SQL Server 审计机制

DDL/DML 监控

• 当对某个实例启用高级审核时，系统会在该 SQL Server 实例中创建服务器级审核规范，并包含以下审核操作类型：
  • SCHEMA_OBJECT_ACCESS_GROUP
  • BACKUP_RESTORE_GROUP
  • DATABASE_ROLE_MEMBER_CHANGE_GROUP
  • SERVER_ROLE_MEMBER_CHANGE_GROUP
  • FAILED_LOGIN_GROUP
  • SUCCESSFUL_LOGIN_GROUP
  • DATABASE_CHANGE_GROUP
  • DATABASE_OBJECT_CHANGE_GROUP
  • DATABASE_PRINCIPAL_CHANGE_GROUP
  • SCHEMA_OBJECT_CHANGE_GROUP
  • SERVER_PRINCIPAL_CHANGE_GROUP
  • LOGIN_CHANGE_PASSWORD_GROUP
  • SERVER_STATE_CHANGE_GROUP
• 在此审计模式下，系统使用从相应的 Windows 设备收集的应用程序类型事件。
• 以下报表组（报表选项卡 → 应用程序 → SQL Server）在此审计模式下可用：
  • SQL Server 事件
  • SQLServer 趋势报表
  • DDL 审计报表
  • DML 审计报表
  • 审计账户管理
  • 审计 Server 报表
  • 攻击报表
  • 其他安全报表

数据库审计

• 当为实例启用高级审计时，系统每晚11点执行查询以收集事件。
• 以下报表（报表 → 应用程序 → SQL Server→ 高级审计报表）在此审计模式下可用：
  • 登录名信息报表
  • 表信息报表
  • 表更新报表
  • Server 信息报表
  • 等待信息报表
  • 阻塞进程报表
  • 架构更改历史
  • 对象更改历史
  • 安全性更改报表
  • 权限信息报表
  • 数据库的上次备份
  • 最近一次 DBCC 活动

列完整性监控

• 当配置列完整性监控时，EventLog Analyzer 会在 SQL Server 实例中创建一个触发器。当有人修改指定表中受监控的列值时（即执行 UPDATE 查询），该触发器会自动将事件写入事件查看器。
• 列完整性监控报告显示：
  • 谁更改了该值
  • 该值何时被更改
  • 更改发生的数据库和表
  • 旧值和新值
• 请谨慎选择用于监控的列，因为触发器是性能开销较大的操作。
• 此操作的预定义报表可在以下路径查看：报表 → 应用程序 → SQL Server→ 高级审计报表 → 列修改报表

列监控的先决条件

1. 必须先启用高级审计，才能在 SQL Server 中创建触发器。
2. 为了使 "AFTER 触发器" 正常工作，表必须具有主键。
3. 列不能将 text、ntext 或 image 作为数据类型。

创建触发器所需的最低权限

手动创建 SQL Server 审核对象的步骤

1. 打开 MSSQL Server 管理工作室 并导航到 对象资源管理器。
2. 展开安全性节点。
3. 右键单击 审核 文件夹，然后选择 新建审核。
4. 在创建新审核页面：
   • 在审核名称字段中输入一个合适的名称。
   • 选择“应用程序日志”作为审核目标。
   • 保持其他设置为默认值。
   • 单击保存。

5. 右键单击新创建的审核，然后选择 启用审核。
6. 右键单击 Server 审核规范 文件夹，然后选择 新建 Server 审核规范。
7. 在创建审计规范窗口中，
   • 在审计字段中选择在步骤 4 中创建的审计。
   • 添加以下审计操作类型，然后单击确定。
     • SCHEMA_OBJECT_ACCESS_GROUP
     • DATABASE_ROLE_MEMBER_CHANGE_GROUP
     • SERVER_ROLE_MEMBER_CHANGE_GROUP
     • FAILED_LOGIN_GROUP
     • SUCCESSFUL_LOGIN_GROUP
     • DATABASE_CHANGE_GROUP
     • DATABASE_OBJECT_CHANGE_GROUP
     • DATABASE_PRINCIPAL_CHANGE_GROUP
     • SCHEMA_OBJECT_CHANGE_GROUP
     • SERVER_PRINCIPAL_CHANGE_GROUP
     • LOGIN_CHANGE_PASSWORD_GROUP
     • SERVER_STATE_CHANGE_GROUP
     • BACKUP_RESTORE_GROUP
8. 右键单击已创建的 审核规范，然后单击 启用 Server 审核规范。