Методика аудита базы данных SQL Server

Аудит в целом относится к процессу отслеживания или мониторинга изменений, которые произошли в системе. Теперь вопрос в том, зачем нам нужен аудит и какое отношение он имеет к SQL Server? Для человека, долгое время работающего с SQL Server, действительно хотелось бы знать ответы на поставленный выше вопрос. Таким образом, мы переходим к основам аудита и тому, как он появился в SQL Server.

Давайте сделаем обзор того, что мы собираемся обсудить на этой странице.

Важность аудита

Возникает логичный вопрос: что вам нужно проверять. С точки зрения безопасности, аудит стал незаменимым для отслеживания действий человека, работающего в системе. Различные злонамеренные действия, влияющие на систему, привели к необходимости аудита. Его нельзя использовать для предотвращения каких-либо действий, но да, вы можете просмотреть действия, которые произошли в системе, и это даст вам представление о том, какие действия были выполнены и кто их выполнил.

Аудит как концепция существует теоретически, но практически, это следующая сложная задача, потому что она требует внедрения индивидуальных решений и значительных ресурсов и времени.

Введение в аудит в SQL Server 2005

Аудит SQL-сервера может сбивать с толку, потому что термин «аудит» может использоваться во многих контекстах. Однако здесь это относится к следованию набору практик для отслеживания изменений или действий, которые происходят на сервере SQL. Аудит регистрирует действия пользователя на уровне сервера или базы данных. Полная запись о том, кто что и что делает с SQL-сервером. Это может быть как ведение журнала, так и попытки подключения к SQL-серверу. Вы можете описать аудит SQL Server как краткий аудит того, к какому типу объектов получают доступ пользователи в организации.

Как проводился аудит в SQL Server 2005

Аудит в SQL Server 2005 проводился с помощью комбинации инструментов. Функция аудита позволяет администраторам выполнять аудит на двух уровнях.

1. Согласно требованиям безопасности данных
2. Согласно требованиям безопасности C2

Аудит проводился с Трассировка / профилировщик SQL с использованием API хранимых процедур. Профилировщик SQL – это служебная программа для отслеживания событий, происходящих на сервере SQL. Затем он сохраняет эту информацию в таблицах или в виде файлов с расширением .TRC. Однако он не соответствует некоторым основным критериям, которые требовались в организации. У него были следующие ограничения.

• Расширенная без поддержки инструментов управления
• Неспособен к детальному аудиту
• Вовлечено много накладных расходов

Чтобы устранить несоответствия, связанные с аудитом в SQL Server 2005, в SQL Server 2008 R2 была введена новая функция аудита. Давайте получим представление об этом.

Введение в аудит в SQL Server 2008 R2

Прежде чем разбираться в функции аудита в SQL Server 2008, нам сначала нужно выяснить причину ее внедрения. В рамках стратегии анализа и оценки рисков защита данных стала одной из основных задач организации, внедряющей SQL-сервер, и была выявлена ​​необходимость выполнения следующих требований.

1. Личная информация, позволяющая установить личность
2. Для соответствия нормативным требованиям
3. Провести стратегию безопасности данных
4. Отслеживание использования конфиденциальной информации

Ответ пришел, представив SQL server. 2008 R2 предложил новую концепцию аудита, в целом обращаясь к механизму аудита с четырьмя основными целями. Созданный для решения проблем в области безопасности, производительности, управляемости и доступности, SQL Server 2008 R2 обеспечивает детальный уровень аудита, которого не было в SQL Server 2005.

Особенности аудита SQL Server 2008

• Включает мелкозернистый аудит языков определения данных и языков манипулирования данными
• Интегрирован с управлением на основе политик
• Аудит различных активностей в базе данных
• Работает в среде SQL Server Engine
• Представляет аудит на уровне базы данных и на уровне сервера

Чтобы понять процесс аудита в SQL-сервере, давайте рассмотрим систематическую процедуру создания аудитов.

Демонстрация аудита базы данных SQL Server в SQL Server 2008

Базовый процесс создания аудита SQL Server 2008 R2 представлен ниже.

# Создание пакета аудита

Пакет аудита устанавливает свойства аудита и указывает, что собранная информация должна быть сохранена в месте назначения. Для доступа к пакетам аудита

Перейти к безопасность << Аудиты

# Создание спецификации аудита базы данных

Спецификация аудита базы данных записывает все события на уровне базы данных, связанные с объектами базы данных. Здесь события базы данных включают такие операторы DDL / DML, как ВЫБРАТЬ, ОБНОВИТЬ, УДАЛИТЬ и ВСТАВИТЬ. Спецификация аудита базы данных осуществляется через SSMS (SQL Server Management Studio).

Следующий код создаст спецификацию аудита базы данных в базе данных Adventure Plan2008R2.

# Включение спецификации аудита

Наконец, вам нужно включить спецификацию аудита базы данных. Это делается путем перехода к следующим настройкам

Спецификация аудита базы данных << Щелкните правой кнопкой мыши DDL_ACCESS_AUDIT_SPEC << Включить спецификацию аудита базы данных

Как только вы включите спецификацию аудита базы данных, вы получите сообщение, показанное ниже

# Запрос созданного файла аудита

Функция, которая используется для запроса файла аудита, приведена ниже.

fn_get_audit_file

Запрос SQL для возврата данных, которые были проверены, выполняется следующим образом.

# Анализ проведенных аудитов

Чтобы просмотреть журналы аудита, которые были созданы, щелкните правой кнопкой мыши на АУДИТ файл, а затем выберите вариант ‘Просмотр журналов аудита’.

Это откроет окно SQL просмотрщик журналов. Здесь вы можете анализировать все файлы журналов и отслеживать действия человека.

Вывод

Аудит баз данных SQL Server получил новый импульс в судебной экспертизе данных. Причина в том, что доступность файлов журналов дала новое измерение процедуре расследования, когда судебные эксперты полагаются на эффективное представление доказательств. Экспортируя журналы на подходящую платформу, судебные следователи могут эффективно их анализировать.