等級保護項目SQL?Server審計方案
解決方案
對於用戶來講,Default Trace只能關閉或開啟該跟蹤,無法修改任何參數。因此,我們只有將跟蹤文件同步出來保存。
計劃在備域控服務器上,通過Windows自帶的robocopy來同步集中交易數據庫的*.trc文件到本地,長期保存。
robocopy "\\10.198.1.111\e$\MSSQL12.XXX\MSSQL\Log" "D:\Robocopy\10.198.1.111" *.trc /MON:1 /mot:15 /mon:2
-- ====
Robocopy能實時監視要備份的文件夾,只要文件夾修改到一定時間和程序,Robocopy就會立即開始備份。它會一直監視文件夾,除非用戶自己終止。
[簡單命令]
robocopy d:\work e:\back /e /copyall /mot:1 /mon:2
[參數講解]
上述命令表示復制文件夾所有信息到目標文件夾並進行監視。執行此命令後,命令提示符窗口如下圖所示。一旦時間過了一分鐘,並且源文件夾至少有或2處以上的修改,Robocopy就會自動啟動另一個進程
,執行上述備份操作。Robocopy能監視源文件夾結構、文件和文件夾名稱、大小、最後修改時間,在這裏,甚至連屬性和權限等信息被修改時,Robocopy也會記為修改次數。
-- ==== Default Trace 介紹 ===============================================
SQL Server Default Trace 在SQL Server實例安裝後,默認開啟。是SQL Server中默認開啟的最輕量級跟蹤,由5個跟蹤文件(.trc)組成,每個文件的最大值為20MB,存儲在SQL Server log目錄。如下圖,當SQL Server重啟後,或者當當前使用的文件達到最大值時,最舊的文件被刪除。
它記錄的有用的審計有 Object事件 和 Security Audit事件。
Objects事件包括:
Object Altered
Object Deleted
Security Audit事件包括:
Audit Add DB user event
Audit Add login to server role event
Audit Add Member to DB role event
Audit Add Role event
Audit Add login event
Audit Backup/Restore event
Audit Change Database owner
Audit DBCC event
Audit Database Scope GDR event (Grant, Deny, Revoke)
Audit Login Change Property event
Audit Login Failed
Audit Login GDR event
Audit Schema Object GDR event
Audit Schema Object Take Ownership
Audit Server Starts and Stops
等級保護項目SQL?Server審計方案