SQL Server 审核（Audit）-- 审核组件

关于审核的架构如下图。 

SQL Server 审核

审核是由“服务器操作组”、“数据库操作组”等操作组合而成，可用于收集与监视服务器级别或数据库级别的操作。审核内部是使用“扩展事件（Extended Events）”所创建。审核组件位于SQL Server实例级别。每个 SQL Server 实例可以具有多个审核。定义审核时，将指定结果的输出位置。 这是审核的目标位置。 审核是在禁用状态下创建的，因此不会自动审核任何操作。 启用审核后，审核目标将从审核接收数据。

服务器审核规范

“服务器审核规范”对象属于审核。 您可以为每个审核创建一个服务器审核规范，因为它们都是在 SQL Server 实例范围内创建的。

服务器审核规范可收集许多由扩展事件功能引发的服务器级操作组。 您可以在服务器审核规范中包括“审核操作组”。 审核操作组是预定义的操作组，它们是数据库引擎中发生的原子事件。 这些操作将发送到审核，审核将它们记录到目标中。

数据库审核规范

“数据库审核规范”对象也属于 SQL Server 审核。 针对每个审核，您可以为每个 SQL Server 数据库创建一个数据库审核规范。

数据库审核规范可收集由扩展事件功能引发的数据库级审核操作。 您可以向数据库审核规范添加审核操作组或审核事件。“审核事件”是可以由 SQL Server 引擎审核的原子操作。 “审核操作组”是预定义的操作组。 它们都位于 SQL Server 数据库作用域。 这些操作将发送到审核，审核将它们记录到目标中。请勿在用户数据库审核规范中包括服务器范围的对象（如系统视图）。

目标

审核结果将发送到目标，目标可以是文件、Windows 安全事件日志或 Windows 应用程序事件日志。 必须定期查看和归档这些日志，以确保目标具有足够的空间来写入更多记录。

从安全角度来看，任何经过身份验证的用户可以读取和写入到 Windows 应用程序事件日志。 应用程序事件日志要求的权限比 Windows 安全事件日志低，安全性低于 Windows 安全事件日志。

必须将 SQL Server 服务帐户应添加到生成安全审核策略中才能写入 Windows 安全日志。 默认情况下，本地系统、本地服务和网络服务是此策略的一部分。此设置可通过使用安全策略管理单元 (secpol.msc) 来进行配置。 此外，对于“成功”和“失败”均必须启用“审核对象访问”安全策略。 此设置可通过使用安全策略管理单元 (secpol.msc) 配置。 在Windows Server 2008 中，可通过使用审核策略程序 (AuditPol.exe) 从命令行设置更详细的“应用程序生成的”策略。 Windows 事件日志对于 Windows 操作系统具有全局性。如果您需要关于审核的更精准权限，请使用二进制文件目标。

操作组和操作

使用 SQL Server Audit 功能，您可以对服务器级别和数据库级别事件组以及单个事件进行审核。

SQL Server 审核包括零个或多个审核操作项目。 这些审核操作项目可以是一组操作，例如 Server_Object_Change_Group，也可以是单个操作，例如对表的 SELECT 操作。

审核可以有以下类别的操作：

l 服务器级别。 这些操作包括服务器操作，例如管理更改以及登录和注销操作。

l 数据库级别。 这些操作包括数据操作语言 (DML) 和数据定义语言 (DDL) 操作。

l 审核级别。 这些操作包括审核过程中的操作。