1. 程式人生 > >SQL Server 安全篇——安全元資料(3)——稽核元資料

SQL Server 安全篇——安全元資料(3)——稽核元資料

稽核除了應對使用者行為之外,還能進行“稽核稽核”以避免別人對自己的懷疑。比如一個惡意的 DBA關閉了稽核, 然後執行的是一個危險的行為, 則該操作本身將不會被稽核, 但 由於DBA已經關閉了審計, 然後再次將其重新開啟的時候,這個開啟操作將被稽核。 SQL Server提供了很多元資料物件來實現稽核增強,其中一個最常用的就是sys.fn_get_audit_file()函式。它能返回稽核檔案的內容,可以用於把稽核讀取然後插入到表中進行下一步的分析。 比如我們可以使用下面語句來獲取盤上的稽核資訊:
SELECT * FROM sys.fn_get_audit_file('E:\audit\*',NULL,NULL) ; 


不過一開始資訊較多,我們不妨先用下面的語句來查詢一些基本資訊,然後在進行後續的深入探討:
從中我們可以發現在某個時間target_server_principl_name(是sysadmin成員)對server_instance_name的database_name庫進行了statement裡面的操作。 更多的用法可以查閱官方文件說明然後自己根據實際情況進行修改。同樣我們在查閱的同時可以留意一下網頁左邊的其他函式以便更好地使用這些函式: