本文將介紹如何利用 SQL Server Audit 追蹤登入密碼修改歷程。
SQL Server 2008 Enterprise 新增了 SQL Server Audit 功能,用來針對執行個體或資料庫某些動作與動作群組進行監視,進而達成伺服器層級或資料庫層級的稽核自動化作業之目的,本文以 SQL Server 2008 R2 為例介紹如何利用伺服器稽核規格來追蹤登入(Login)密碼修改的歷程。
【建立稽核】
啟用 SQL Server Audit 的第一個步驟,必須從【執行個體>安全性>稽核】上按右鍵選擇【新增稽核】。
在建立稽核視窗中預設【稽核名稱】為 Audit-yyyyMMdd-hhmmss 的格式(如下圖 1 處),預設【稽核儲存目的地】為儲存至 File (如下圖 2 處),所以需要在下圖3地方輸入【檔案路徑】,提醒您使用時必須注意到稽核檔案的大小,以免把硬碟空間吃光。此外 SQL Server Audit 您也將稽核紀錄儲存至 Security Log 和 Application Log,只要在【稽核目的地】的下拉選單中選擇即可。
建立好的稽核會在名稱前面有一個紅色的向下箭頭,代表該稽核預設是停用的。
接下來由【執行個體>安全性>伺服器稽核規則】上按右鍵選擇【新增伺服器稽核規則】。
在建立伺服器稽核規格視窗中【名稱】預設為 ServerAuditSpecification-yyyyMMdd-hhmmss,【稽核】為上一步驟所建立的稽核,可由下拉選單中選取,若下拉選單為空白,請先建立稽核。
本文示範的重點在於稽核 SQL Server 登入(Login)的密碼到底被誰修改,因此於【稽核動作類型】選擇 LOGIN_CHANGE_PASSWORD_GROUP。
建立好的伺服器稽核規格會在名稱前面有一個紅色的向下箭頭,代表該伺服器稽核規格預設是停用的。
於建立好的稽核上按滑鼠右鍵,選擇【啟用稽核】。
啟用成功應會看到如下圖的訊息。
於建立好的伺服器稽核規格上按滑鼠右鍵,選擇【啟用伺服器稽核規格】。
啟用成功應會看到如下圖的訊息。
接下來筆者修改 sa 登入的密碼(如下圖)。
接著從【執行個體>安全性>稽核】上按右鍵選擇【檢視稽核紀錄】。
就可以看到如下圖的稽核紀錄。
【參考資料】
