Professional Association for SQL Server Аудит в SQL Server 2012 Князев Алексей Екатеринбург EastWind MVP, MCP, MCTS, MCITP

Содержание Что нового в SQL Server 2012 в сравнении с SQL Server 2008? Влияние аудита на производительность? Можно ли защитить журнал аудита от DBA? Что произойдет, если аудит не сможет писать события? Что делать, если SQL Server не запускается из-за аудита? Что еще я должен знать про аудит?

Что изменилось по сравнению с SQL Server 2008?

Много чего. Аудит в SQL Server стал более гибким и надежным.

Подсистема аудита SQL Server Улучшения Аудит поддерживается во всех редакциях SQL ServerПовышенная устойчивость аудитаПользовательские события аудитаФильтрация событий аудитаT-SQL Стек выполнения

Аудит поддерживается во всех редакциях Основные возможности аудита –Аудит сервера –Аудит БД только в Enterprise Больше не нужен SQLTrace (!) –В будущих версия может быть удалён Основные преимущества аудита –Производительность –Несколько аудитов для нескольких целей –Управляемость и изоляция –Несколько сценариев реагирования на сбой аудита SQL Server Express

Улучшение устойчивости Было: –В случаи сбоя записи событий аудита они могли потеряться –Использовалось ON_FAILURE = SHUTDOWN Теперь: –Автоматическое восстановление при большинстве сбоев –Добавлено ON_FAILURE = FAIL_OPERATION –Добавлено MAX_FILES option Select… Rollback

T-SQL Стек выполнения (дополнительная информация в аудите) Audit Log dbo.Get_Speaker dbo.Speaker24PASS exec dbo.Get_Speaker Select Speaker, City from dbo.Speaker24PASS

Professional Association for SQL Server Демонстрация T-SQL Стек выполнения

Пользовательские события аудита exec sp_audit_write 1234, 1, @user_defined_info Audit Log

Professional Association for SQL Server Демонстрация Аудит пользовательских событий

Запись с фильтрацией CREATE SERVER AUDIT audit_name TO { [ FILE ( [,...n ]) ] | APPLICATION_LOG | SECURITY_LOG } [ WITH ( [,...n ] ) ] [ FILTER = ] } … ::= { [ NOT ] | {( ) } [ { AND | OR } [ NOT ] { | ( ) } ] [,...n ] } Запись в журнал аудита только ключевых событий –Остальные события аудита генерируются, но не записываются Используется XEvent (расширенные события) фильтрация

Professional Association for SQL Server Демонстрация Аудит с фильтром

Создаёт ли аудит дополнительную нагрузку на сервер БД?

Да...

Производительность Аудита Зависит от: –Рабочей нагрузки –Того, что отслеживаем Сравнение аудита SQL Server с SQL Trace для 5 разных типичных рабочих нагрузок у клиентов... Workload 1Workload 2Workload 3Workload 4Workload 5 11 dbs, ranging from 1.94 MB to MB. 755 tables with average of 2761 rows 1,219,234 stmts executed. 2 dbs ranging from 64 MB to MB 35 tables with average of 49,141 rows 1,633,557 stmts executed 3 dbs ranging from 1.94 MB to MB 154 tables with average of 586 rows, Here is the activity 585,400 stmts executed 1 db at MB 84 tables with average of 144,245 rows 3,435,303 stmts executed. 1 db at MB 152 tables with average of 4,108 rows 296,642 stmts executed.

SQL Server Audit vs SQL Trace

Можно ли защитить журнал аудита от DBA? Вечная борьба с SA

Да!

Защита данных аудита Windows Security Log Tamper-proof log (защищённый журнал) DBA не может очистить журнал (если он не Administrator на сервере) System Center Operations Manager пакет Audit Collection Service Копирование журналов аудита в безопасное место Папка или «шара» может быть закрыта от DBA Журналы аудита доступны только на чтение, когда аудит активен Можно обеспечить дополнительную защиту от несанкционированного доступа путем шифрования папки Комбинируйте решения Фиксируйте все попытки изменить аудит в Windows Security Log Все остальные события записывайте в файл

Что произойдет, если аудит не сможет писать события?

Запустится снова...

Audit Write Failure (Shutdown) Остановка службы События аудита из буфера теряются

Audit Write Failure (Continue) Размер буфера аудита Размер буфера аудита варьируется, но составляет около 4 Мб (эквивалент не менее 170 событий, в зависимости от текста инструкции) Сервер блокирует новые события аудита Не оказывает влияние на другие Аудиты Блокировка продолжается пока нет возможности записать в буфер или Аудит не доступен Аудит сессии не происходит Производится запись в журнал ошибок SQL Server Все последующие события вновь пытаются записаться в лог Аудита При каждом новом события Аудит пытается перезапуститься Buffer filled System error

Audit Write Failure (Fail Operation) Размер буфера аудита Размер буфера аудита варьируется, но составляет около 4 Мб (эквивалент не менее 170 событий, в зависимости от текста инструкции) Сервер откатывает все события, которые должны попасть в Аудит Не влияет на другие Аудиты Все повторные события откатываются пока Аудит не доступен Все последующие события продолжают осуществлять попытку записи в журнал Аудита Buffer filled

Что делать, если SQL Server не запускается из-за аудита?

Потребуется запуск сервера в однопользовательском режиме

Запуск после сбоя Шаг 1 Устранить причину сбоя Например очистить диск Шаг 2 Запуск SQL Server в однопользовательском режиме, -m Аудит работает, но режим shutdown-on-failure не активен Администратор аудита изменяет настройки Аудита Шаг 3 Запуск в минимальной конфигурации, -f Аудит отключен, но события DDL продолжают логироваться. Бонус Если используется Fail Operation и AUDIT_ CHANGE_GROUP, используйте DAC подключение События аудита генерируются но не вызывают сбой

Professional Association for SQL Server Демонстрация Использование Аудита совместно с политиками (Policy-Based Management)

Что еще я должен знать про аудит?

Всего несколько ключевых вещей.

Что ещё вы должны знать про аудит Параметризованные запросы Журналы аудита не сжаты и не зашифрованы Запись в файл быстрее чем в журнал событий Нет аудита выходных рекордсетов

Заключение Аудит в SQL Server 2012 претерпел ряд изменений Повысилась управляемость и отказоустойчивость Появились новые возможности (пользовательские события, фильтры, T-SQL стек, политики) Высокая производительность Мониторинг активности администратора и предотвращение фальсификации журналов Аудита.

Ресурсы – мой блог Books Online: –Security Enhancements (Database Engine), –SQL Server Audit (Database Engine), Whitepaper: –Auditing in SQL Server 2008, SQL Server Security Forum: – SQL Security Blog: –

Professional Association for SQL Server Аудит в SQL Server 2012 Князев Алексей Екатеринбург EastWind MVP, MCP, MCTS, MCITP