❶ 如何將伺服器審核事件寫入安全日誌
在高度安全環境中,Windows 安全日誌是寫入記錄對象訪問的事件的合適位置。其他審核位置也受支持,但是更易被篡改。
將 SQL Server 伺服器審核寫入 Windows 安全日誌有兩個關鍵要求:
必須配置審核對象訪問設置以捕獲事件。可根據您的操作系統而採用最佳的配置方法。
在 Windows Vista 和 Windows Server 2008 中,使用審核策略工具 (
auditpol.exe
)。審核策略程序公開了
審核對象訪問
類別中的多種子策略設置。若要允許 SQL Server 審核對象訪問,請配置
應用程序生成的設置。
對於 Windows 的早期版本,審核策略工具不可用。請改用安全策略管理單元 (secpol.msc
)。如果可用,優先採用審核策略,因為可以配置更精細的設置。
SQL Server 服務正在其下運行的帳戶必須擁有
生成安全審核
許可權才能寫入 Windows 安全日誌。默認情況下,LOCAL SERVICE 和 NETWORK SERVICE 帳戶擁有此許可權。如果 SQL Server 正在其中一個帳戶下運行,則不需要此步驟。
將 Windows 審核策略配置為寫入 Windows 安全日誌時,可能會影響 SQL Server 審核,此時若該審核策略配置不正確,就可能導致事件丟失。通常,將 Windows 安全日誌設置為覆蓋較舊的事件。這樣可保留最新的事件。但如果 Windows 安全日誌未設置為覆蓋較舊的事件,則當安全日誌已滿時,系統將發出 Windows 事件 1104(日誌已滿)。此時:
不再記錄其他安全事件
SQL Server 將無法檢測系統是否能夠在安全日誌中記錄事件,從而導致可能丟失審核事件
Box 管理員修復安全日誌後,日誌記錄行為將恢復正常。
SQL Server 計算機的管理員應了解安全日誌的本地設置可能會被域策略覆蓋。在這種情況下,域策略可能覆蓋子類別設置 (
auditpol /get /subcategory:"application generated"
)。這可能會影響 SQL Server 在無法檢測 SQL Server 嘗試審核的事件是否將不被記錄的情況下記錄事件的能力。
您必須是 Windows 管理員,才能配置這些設置。