29、SQL Server 登录审计全解析

SQL Server 登录审计全解析

1. SQL Server 审计基础

从 SQL Server 2008 开始，引入了服务器端审计功能，它能让 SQL Server 将各种信息捕获到审计文件中。这些文件可以直接通过 SQL Server Management Studio 查看，也能使用 SQL Server Integration Services 批量加载到中央存储库，以便进行长期存储、查询和趋势分析。

1.1 更改日志记录级别

可以使用以下 T - SQL 代码更改日志记录级别：

EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\
Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 2
GO

1.2 创建审计

在使用新的服务器端审计规范审计信息时，首先要告诉 SQL Server 在哪里存储审计日志，这可以通过定义新的审计来实现。审计可以写入 SQL Server 本地硬盘上的文件、网络共享、Windows 应用程序日志或 Windows 系统日志。

如果审计日志已满，根据审计配置，可能会出现两种情况：审计停止或 SQL 实例关闭，这可以通过“Shut down server on audit log failure”复选框控制。

创建审计的方法有两种：
- 使用 SQL Server Management Studio