審計（Audit）用於追蹤和記錄SQL Server實例或數據庫中發生的事件，審計主要包括審計對象（Audit）和審計規範（Audit Specification），創建審計首先需要創建一個SQL Server 實例級的審計對象，然後，創建從屬於它的“服務器審計規範”或“數據庫審計規範”。審計數據可以輸出到審計文件（File）、安全日誌（Security Log）和應用程序日誌（Application Log）。

啟用審計的目的一般是為了監控SQL Server執行的操作，例如，記錄什麽人在什麽時候查詢數據、修改數據，登陸SQL Server實例等，由於審計記錄的數據有可能很豐富，因此，啟用審計可能產生大量的日誌數據，占用磁盤的大量空間。審計使用一句話來概括就是：記錄誰在什麽時候做了什麽事，審計對象（Audit）定義：記錄在何處，而審計規範（Audit Specification）定義：記錄什麽事，一旦特定的事件觸發，SQL Server引擎就使用審計記錄事件發生的現場信息。

創建和使用審計的一般步驟是：

• step1：創建服務器級別的審計對象，並啟用審計對象；
• step2：創建審計規範，並映射到審計對象審核，啟用審計規範，審計對象開始追蹤和記錄數據；
• step3：查看審計數據，可以通過使用SSMS的”Log Files Viewer“或函數sys.fn_get_audit_file 查看記錄的日誌數據。

一，創建審計對象

首先創建服務器級別的審計對象，展開"Security"，右擊Audits，通過“New Audit”，打開“Create Audit”窗體開始創建審計對象，審計輸出的數據保存到“Audit destination”中，本文選擇File，把數據存儲到審計文件中，其他類型是：Security Log和Application Log。Queue delay是指數據寫入到審計文件的延遲，默認是1s。審計對象的作用是指定審計數據保存的路徑，以及寫入數據的延遲和數據文件的大小，審計對象主要是存儲審計規範的數據。

根據硬盤空間的限制，設置審計對象的屬性 Audit File maximum Limit、Maximum File size、以及Reserve disk space，控制審計文件的大小，管理硬盤空間的使用，避免硬盤爆掉。

創建的審計對象默認是禁用（Disable）的，在使用審計對象之前，必須啟用，選中新建的審計對象，右擊，選中“Enable Audit”。

二，創建服務器級別的審計規範

展開Security，選中“Server Audit Specifications”，右擊彈出快捷菜單，選擇“New Server Audit Specifications”，打開“Create Server Audit Specifications”的窗體，通過UI創建審計規範：

審計規範指定審計對象記錄的事件類型，在審計規範中指定的事件類型，SQL Server 一旦檢測到事件發生，就會把跟該事件相關的信息寫入到審計對象指定的文件中，保存起來，以便於後續的檢查（review）。

1，添加審計操作組

創建審計規範，選擇審計對象，從Audit Action Type列表中選擇審計操作組，創建的審計規範默認是禁用的，選中新建的審計規範，右擊彈出快捷菜單，選中”Enable Server Audit Specifications “啟用：

從審核操作類型列表中選擇審計操作組，審計操作組是審計記錄的事件操作類型，常用的審計操作組是：

• DATABASE_OBJECT_ACCESS_GROUP：訪問數據庫對象時將引發此事件；
• DATABASE_OBJECT_CHANGE_GROUP：針對數據庫對象（如架構）執行 CREATE、ALTER 或 DROP 語句時將引發此事件。 創建、更改或刪除任何數據庫對象時均將引發此事件。
• DATABASE_OPERATION_GROUP：數據庫中發生操作（如檢查點或訂閱查詢通知）時將引發此事件。 對於任何數據庫的任何操作都將引發此事件。
• FAILED_DATABASE_AUTHENTICATION_GROUP：指示某個主體嘗試登錄到數據庫並且失敗。
• FAILED_LOGIN_GROUP：指示主體嘗試登錄到 SQL Server ，但是失敗。
• SUCCESSFUL_LOGIN_GROUP：指示主體已成功登錄到 SQL Server。

2，查看審計數據

點擊審計對象，右擊彈出快捷菜單，點擊”View Audit Logs“查看審計對象記錄的數據：

或者通過TSQL 函數查看審計數據，

sys.fn_get_audit_file ( file_pattern,   
    { default | initial_file_name | NULL },   
    { default | audit_record_offset | NULL } )  

審計文件名由四部分組成：AuditName_GUID_n_m.sqlaudit，第一個參數是file_pattern，包括路徑和文件名，對於文件名，可以通過特殊的匹配符指定：

• *：表示所有的字符；
• {}：指定GUID；
• 如果文件名以擴展名( .sqlaudit）結尾，表示查看特定的文件；

例如，查看所有的審計文件的數據：

select *
from sys.fn_get_audit_file(‘E:\AuditFiles\*‘,default,default)

三，創建數據庫級別的審計規範

在數據庫的Security中右擊“Database Audit Specifications”，數據庫級別的審計操作組，大部分和服務器級別的審計操作組很相似，除了數據庫級別的審計動作（Database-Level Audit Actions），在數據庫對象上發生以下操作（Action）時，記錄事件的信息：

• SELECT
• UPDATE
• INSERT
• DELETE
• EXECUTE
• REFERENCES

數據庫級別的審計操作追蹤和記錄的是數據庫對象（schema，objects）上發生的事件，因此必須配置Object Class、Object Schema，Object Name 和 Principal Name字段：

查看審計數據，選中Server級別的審計對象，通過”View Audit Logs“查看記錄的日誌數據。

四，維護審計

創建審計很簡單，DBA需要更多關註的是審計數據的維護

略，後續補充

參考文檔：

SQLSERVER2008新增的審核/審計功能

SQL Server Audit (Database Engine)

SQL Server Audit Action Groups and Actions

sys.fn_get_audit_file (Transact-SQL)

SQL Server 審計