Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem SQL Server-Überwachungsfeature können Sie Gruppen auf Serverebene und Datenbankebene von Ereignissen und einzelnen Ereignissen überwachen. Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine).
SQL Server-Audits bestehen aus null oder mehr Überwachungsaktionselementen. Diese Überwachungsaktionselemente können entweder eine Gruppe von Aktionen wie Server_Object_Change_Group oder einzelne Aktionen wie SELECT-Vorgänge in einer Tabelle sein.
Hinweis
Server_Object_Change_Group umfasst CREATE, ALTER und DROP für jedes Serverobjekt (Datenbank oder Endpunkt).
Audits können die folgenden Aktionskategorien aufweisen:
Serverebene. Zu diesen Aktionen gehören Servervorgänge, z. B. Verwaltungsänderungen und Anmelde- und Abmeldevorgänge.
Datenbankebene. Diese Aktionen umfassen Datenmanipulationssprachen (Data Manipulation Languages, DML) und DDL-Vorgänge (Data Definition Language).
Überwachungsebene. Zu diesen Aktionen gehören Aktionen im Überwachungsprozess.
Einige Aktionen, die für SQL Server-Überwachungskomponenten ausgeführt werden, werden in einer bestimmten Überwachung systemintern überwacht, und in diesen Fällen treten Überwachungsereignisse automatisch auf, da das Ereignis im übergeordneten Objekt aufgetreten ist.
Die folgenden Aktionen werden systemintern überwacht:
- Änderung des Serverüberwachungsstatus (Festlegen des Status auf EIN oder AUS)
Die folgenden Ereignisse werden nicht systemintern überwacht:
ERSTELLEN DER SERVER-PRÜFUNGSSPEZIFIKATION
ALTER-SERVER-ÜBERPRÜFUNGSSPEZIFIKATION
DROP SERVER-ÜBERWACHUNGSSPEZIFIKATION
DATENBANKÜBERWACHUNGSSPEZIFIKATION ERSTELLEN
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Alle Audits werden deaktiviert, wenn sie ursprünglich erstellt wurden.
Server-Level Aktionsgruppen überwachen
Überwachungsaktionsgruppen auf Serverebene sind Aktionen ähnlich wie SQL Server-Sicherheitsüberwachungsereignisklassen. Weitere Informationen finden Sie unter SQL Server-Ereignisklassenreferenz.
In der folgenden Tabelle werden die Überwachungsaktionsgruppen auf Serverebene beschrieben und gegebenenfalls die entsprechende SQL Server-Ereignisklasse bereitgestellt.
| Aktionsgruppenname | BESCHREIBUNG |
|---|---|
| ANWENDUNGSROLLE_PASSWORT_WECHSEL_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Kennwort für eine Anwendungsrolle geändert wird. Entspricht der Ereignisklasse 'Kennwortänderungsereignis der Audit App Rolle'. |
| AUDIT_CHANGE_GROUP | Dieses Ereignis wird ausgelöst, wann immer eine Überprüfung erstellt, geändert oder gelöscht wird. Dieses Ereignis wird ausgelöst, wenn eine Überwachungsspezifikation erstellt, geändert oder gelöscht wird. Jede Änderung an einem Audit wird in diesem Audit geprüft. Entspricht der Überwachungsereignisklasse "Audit Change Audit". |
| BACKUP_RESTORE_GROUP | Dieses Ereignis wird ausgelöst, wenn ein Sicherungs- oder Wiederherstellungsbefehl ausgegeben wird. Entspricht der Ereignisklasse "Sicherung und Wiederherstellung überwachen". |
| BROKER_LOGIN_GROUP | Dieses Ereignis wird ausgelöst, um Überwachungsmeldungen im Zusammenhang mit der Service Broker-Transportsicherheit zu melden. Entspricht der Audit-Broker-Anmelde-Ereignisklasse. |
| DATENBANK_ÄNDERUNGSGRUPPE | Dieses Ereignis wird ausgelöst, wenn eine Datenbank erstellt, geändert oder verworfen wird. Dieses Ereignis wird ausgelöst, wenn eine Datenbank erstellt, geändert oder verworfen wird. Entspricht der Ereignisklasse für Audit-Datenbankverwaltung. |
| DATENBANK_ABMELDE_GRUPPE | Dieses Ereignis wird ausgelöst, wenn sich ein enthaltener Datenbankbenutzer bei einer Datenbank abmeldet. Entspricht der Überwachungsdatenbankprotokoll-Ereignisklasse. |
| Datenbank-Spiegelungs-Anmeldegruppe | Dieses Ereignis wird ausgelöst, um Prüfnachrichten im Zusammenhang mit der Transportsicherheit der Datenbankspiegelung zu melden. Entspricht der Überwachungsdatenbankspiegelungs-Anmeldeereignisklasse. |
| Datenbank-Objekt-Zugriffsgruppe | Dieses Ereignis wird ausgelöst, wenn auf Datenbankobjekte wie Nachrichtentyp, Assembly, Vertrag zugegriffen wird. Dieses Ereignis wird für jeden Zugriff auf jede Datenbank ausgelöst. Anmerkung: Dies könnte möglicherweise zu großen Überwachungsdatensätzen führen. Entspricht der Access-Ereignisklasse des Überwachungsdatenbankobjekts. |
| Datenbankobjekt-Änderungsgruppe | Dieses Ereignis wird ausgelöst, wenn eine CREATE-, ALTER- oder DROP-Anweisung für Datenbankobjekte wie Schemas ausgeführt wird. Dieses Ereignis wird ausgelöst, wenn ein Datenbankobjekt erstellt, geändert oder verworfen wird.
Anmerkung: Dies könnte zu sehr großen Mengen von Überwachungsdatensätzen führen. Entspricht der Ereignisklasse "Audit Database Object Management". |
| DATENBANK_OBJEKT_EIGENTÜMERSCHAFT_ÄNDERUNGSGRUPPE | Dieses Ereignis tritt auf, wenn sich der Besitzer von Objekten im Datenbankbereich ändert. Dieses Ereignis wird für jede Änderung des Objektbesitzes in jeder Datenbank auf dem Server ausgelöst. Entspricht der Ereignisklasse "Audit Database Object Take Ownership". |
| Datenbankobjektberechtigungsänderungsgruppe | Dieses Ereignis wird ausgelöst, wenn eine GRANT-, REVOKE- oder DENY-Anweisung für Datenbankobjekte wie Assemblys und Schemas erstellt wurde. Dieses Ereignis wird für jede Objektberechtigungsänderung für jede Datenbank auf dem Server ausgelöst. Entspricht der DDR-Ereignisklasse "Audit Database Object". |
| Datenbankbetriebsgruppe | Dieses Ereignis wird ausgelöst, wenn Vorgänge in einer Datenbank auftreten, z. B. Prüfpunkt- oder abonnierte Abfragebenachrichtigungen. Dieses Ereignis wird für jeden Datenbankvorgang in jeder Datenbank ausgelöst. Entspricht der Ereignisklasse des Überwachungsdatenbankvorgangs. |
| DATENBANK_BESITZWECHSEL_GRUPPE | Dieses Ereignis wird ausgelöst, wenn Sie die ALTER AUTHORIZATION-Anweisung verwenden, um den Besitzer einer Datenbank zu ändern, und die Berechtigungen, die erforderlich sind, um dies zu tun, werden überprüft. Dieses Ereignis wird für jede Änderung des Datenbankbesitzes für jede Datenbank auf dem Server ausgelöst. Entspricht der Ereignisklasse "Besitzer der Überwachungsänderungsdatenbank". |
| DATENBANK_BERECHTIGUNGEN_GRUPPE_ÄNDERN | Dieses Ereignis wird ausgelöst, wenn ein GRANT-, REVOKE- oder DENY-Element für eine Anweisungsberechtigung von einem beliebigen Prinzipal in SQL Server ausgegeben wird (Dies gilt für nur Datenbankereignisse, z. B. das Erteilen von Berechtigungen für eine Datenbank). Dieses Ereignis wird für jede Datenbankberechtigungsänderung (DDR) für jede Datenbank auf dem Server ausgelöst. Entspricht der Ereignisklasse "Audit-Datenbankbereich" des GDR. |
| Datenbankhauptgruppenänderung | Dieses Ereignis wird ausgelöst, wenn Hauptakteure, wie z. B. Benutzer, in einer Datenbank angelegt, geändert oder entfernt werden. Entspricht der Ereignisklasse "Audit-Datenbank-Prinzipalverwaltungsereignis". (Entspricht auch der Ereignisklasse "Audit Add DB Principal", die bei den veralteten gespeicherten Prozeduren sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal und sp_dropPrincipal aufgerufen wird.) Dieses Ereignis wird ausgelöst, wenn eine Datenbankrolle mithilfe der sp_addrole, sp_droprole gespeicherten Prozeduren hinzugefügt oder entfernt wird. Dieses Ereignis wird ausgelöst, wenn Datenbankprinzipale erstellt, geändert oder aus einer beliebigen Datenbank gelöscht werden. Entspricht der Überwachungsereignisklasse "Rollen hinzufügen". |
| DATABASE_PRINCIPAL_IMPERSONATION_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Impersonation-Vorgang im Datenbankbereich vorhanden ist, z. B. EXECUTE AS <principal> oder SETPRINCIPAL. Dieses Ereignis wird für Identitätswechsel in einer beliebigen Datenbank ausgelöst. Entspricht der Überwachungsdatenbankprinzipal-Identitätswechselereignisklasse. |
| Datenbankrollenmitgliederänderungsgruppe | Dieses Ereignis wird ausgelöst, wenn eine Anmeldung einer Datenbankrolle hinzugefügt oder daraus entfernt wird. Diese Ereignisklasse wird für die gespeicherten Prozeduren sp_addrolemember, sp_changegroup und sp_droprolemember ausgelöst. Dieses Ereignis wird bei jeder Änderung von Datenbankrollenmitgliedern in jeder Datenbank ausgelöst. Entspricht der Audit Add Member zur DB Role Event Class. |
| DBCC_GROUP | Dieses Ereignis wird ausgelöst, wenn ein Prinzipal einen DBCC-Befehl ausgibt. Entspricht der DbCC-Ereignisklasse "Audit". |
| FEHLGESCHLAGENE_DATENBANK_AUTHENTIFIZIERUNG_GRUPPE | Gibt an, dass ein Benutzer versuchte, sich bei einer enthaltenen Datenbank einzuloggen und nicht erfolgreich war. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Ereignisklasse "Audit Login fehlgeschlagen". |
| FEHLER_BEI_ANMELDEGRUPPE | Gibt an, dass ein Prinzipal versucht hat, sich bei SQL Server anzumelden und fehlgeschlagen ist. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Ereignisklasse "Überwachungsanmeldung fehlgeschlagen". |
| FULLTEXT_GROUP | Gibt an, dass ein Ereignis mit Volltext eingetreten ist. Entspricht der Audit-Volltextereignisklasse. |
| ANMELDEN_PASSWORT_ÄNDERN_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Anmeldekennwort durch den ALTER LOGIN-Befehl oder die gespeicherte sp_password-Prozedur geändert wird. Entspricht der Ereignisklasse "Anmeldung ändern Kennwortüberwachung". |
| LOGOUT_GRUPPE | Gibt an, dass sich ein Prinzipal von SQL Server abgemeldet hat. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Audit-Logout-Ereignisklasse. |
| SCHEMA_OBJEKT_ZUGRIFFSGRUPPE | Dieses Ereignis wird ausgelöst, wenn eine Objektberechtigung im Schema verwendet wurde. Entspricht der Ereignisklasse für den Zugriff auf Überwachungsschemaobjekte. |
| Schema-Objekt-Änderungsgruppe | Dieses Ereignis wird ausgelöst, wenn ein CREATE-, ALTER- oder DROP-Vorgang für ein Schema ausgeführt wird. Entspricht der Ereignisklasse "Audit Schema Object Management". Dieses Ereignis wird für Schemaobjekte ausgelöst. Entspricht der abgeleiteten Berechtigungsereignisklasse des Audit-Objekts. Dieses Ereignis wird ausgelöst, wenn sich jedes Schema einer Datenbank ändert. Entspricht der "Audit Statement Permission Event Class". |
| SCHEMA_OBJEKT_EIGENTUMSWECHSEL_GRUPPE | Dieses Ereignis wird ausgelöst, wenn die Berechtigungen zum Ändern des Besitzers des Schemaobjekts (z. B. eine Tabelle, Prozedur oder Funktion) überprüft werden. Dies tritt auf, wenn die ALTER AUTHORIZATION-Anweisung verwendet wird, um einem Objekt einen Besitzer zuzuweisen. Dieses Ereignis wird für jede Schemabesitzeränderung für jede Datenbank auf dem Server ausgelöst. Entspricht der Ereignisklasse "Audit Schema Object Take Ownership". |
| Schema-Objekt-Berechtigungsänderungsgruppe | Dieses Ereignis wird ausgelöst, wenn für ein Schemaobjekt ein Grant-, Verweigerungs-, Revoke-Objekt ausgeführt wird. Entspricht der Überwachungsschemaobjekt-DDR-Ereignisklasse. |
| SERVER_OBJECT_ÄNDERUNGSGRUPPE | Dieses Ereignis wird für CREATE-, ALTER- oder DROP-Vorgänge für Serverobjekte ausgelöst. Entspricht der Überwachungsserver-Objektverwaltungsereignisklasse. |
| SERVER_OBJEKT_EIGENTUMSÄNDERUNG_GRUPPE | Dieses Ereignis wird ausgelöst, wenn der Besitzer für Objekte im Serverbereich geändert wird. Entspricht der Audit Server-Objekt "Take Ownership"-Ereignisklasse. |
| SERVER_OBJEKTBERECHTIGUNGEN_ÄNDERUNGSGRUPPE | Dieses Ereignis wird ausgelöst, wenn ein GRANT-, REVOKE- oder DENY-Befehl für eine Serverobjektberechtigung von einem beliebigen Principal in SQL Server erteilt wird. Entspricht der DDR-Ereignisklasse des Audit Server-Objekts. |
| SERVER-BETRIEBSGRUPPE | Dieses Ereignis wird ausgelöst, wenn Sicherheitsüberwachungsvorgänge wie Ändern von Einstellungen, Ressourcen, externem Zugriff oder Autorisierung verwendet werden. Entspricht der Überwachungsserver-Ereignisklasse. |
| SERVER_BERECHTIGUNGEN_GRUPPE_ÄNDERN | Dieses Ereignis wird ausgelöst, wenn ein GRANT,REVOKE oder DENY für Berechtigungen im Serverbereich ausgegeben wird, z. B. das Erstellen einer Anmeldung. Entspricht der DDR-Ereignisklasse des Überwachungsserverbereichs. |
| SERVER_PRINZIPIAL_ÄNDERUNGSGRUPPE | Dieses Ereignis wird ausgelöst, wenn Server-Prinzipale erstellt, geändert oder gelöscht werden. Entspricht der Überwachungsserverprinzipalverwaltungsereignisklasse. Dieses Ereignis wird ausgelöst, wenn ein Prinzipal die gespeicherten Prozeduren sp_defaultdb oder sp_defaultlanguage oder die ALTER LOGIN-Anweisung ausgibt. Entspricht der Ereignisklasse Audit Addlogin. Dieses Ereignis wird für die gespeicherten Prozeduren sp_addlogin und sp_droplogin ausgelöst. Entspricht auch der Ereignisklasse "Überwachungsanmeldungsänderungseigenschaft". Dieses Ereignis wird für die gespeicherten Prozeduren sp_grantlogin oder sp_revokelogin ausgelöst. Entspricht der DDR-Ereignisklasse "Audit Login". |
| SERVER_PRINCIPAL_IMPERSONATION_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Identitätswechsel innerhalb des Serverbereichs erfolgt, z. B. EXECUTE AS <Login>. Entspricht der Audit-Server-Prinzipal-Impersonierungsereignisklasse. |
| SERVER_ROLE_MEMBER_CHANGE_GROUP | Dieses Ereignis wird ausgelöst, wenn eine Anmeldung hinzugefügt oder aus einer festen Serverrolle entfernt wird. Dieses Ereignis wird für die gespeicherten Prozeduren sp_addsrvrolemember und sp_dropsrvrolemember ausgelöst. Entspricht der Überwachungs-Login-zur-Serverrolle-Hinzufügen-Ereignisklasse. |
| SERVER_STATE_CHANGE_GROUP | Dieses Ereignis wird ausgelöst, wenn der SQL Server-Dienststatus geändert wird. Entspricht der Überwachungsserver-Start- und Stoppereignisklasse. |
| ERFOLGREICHE_DATENBANK_AUTHENTIFIZIERUNGS_GRUPPE | Gibt an, dass ein Prinzipal erfolgreich bei einer enthaltenen Datenbank angemeldet wurde. Entspricht der Ereignisklasse "Erfolgreiche Datenbankauthentifizierung überwachen". |
| SUCCESSFUL_LOGIN_GROUP | Gibt an, dass ein Prinzipal erfolgreich bei SQL Server angemeldet wurde. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Entspricht der Überwachungs-Anmeldungsereignisklasse. |
| TRACE_CHANGE_GROUP | Dieses Ereignis wird für alle Anweisungen ausgelöst, die darauf prüfen, ob die ALTER TRACE-Berechtigung vorhanden ist. Entspricht der Ereignisklasse "Alter Trace" des Überwachungsservers. |
| USER_CHANGE_PASSWORD_GROUP | Dieses Ereignis wird ausgelöst, wenn das Kennwort eines enthaltenen Datenbankbenutzers mithilfe der ALTER USER-Anweisung geändert wird. |
| BENUTZER_DEFINIERTE_PRÜFGRUPPE | Diese Gruppe überwacht Ereignisse, die mithilfe von sp_audit_write (Transact-SQL) ausgelöst werden. In der Regel werden Trigger oder gespeicherte Prozeduren aufgerufen, um die Überwachung wichtiger Ereignisse zu sp_audit_write ermöglichen. |
Überlegungen
Aktionsgruppen auf Serverebene behandeln Aktionen in einer SQL Server-Instanz. Beispielsweise wird jede Schemaobjektzugriffsprüfung in einer Datenbank aufgezeichnet, wenn die entsprechende Aktionsgruppe einer Serverüberwachungsspezifikation hinzugefügt wird. In einer Datenbanküberwachungsspezifikation werden nur Schemaobjektzugriffe in dieser Datenbank aufgezeichnet.
Aktionen auf Serverebene lassen keine detaillierte Filterung für Aktionen auf Datenbankebene zu. Eine Überwachung auf Datenbankebene, z. B. die Überwachung von SELECT-Aktionen in der Tabelle "Kunden" für Anmeldungen in der Gruppe "Mitarbeiter" ist erforderlich, um detaillierte Aktionsfilterung zu implementieren. Schließen Sie keine serverbezogenen Objekte, z. B. die Systemansichten, in eine Benutzerdatenbanküberwachungsspezifikation ein.
Database-Level Audit-Aktionsgruppen
Database-Level Überwachungsaktionsgruppen sind Aktionen, die den Sicherheitsüberwachungs-Ereignisklassen von SQL Server ähneln. Weitere Informationen zu Ereignisklassen finden Sie in der SQL Server-Ereignisklassenreferenz.
In der folgenden Tabelle werden die Aktionsgruppen auf Datenbankebene beschrieben und gegebenenfalls die entsprechende SQL Server-Ereignisklasse bereitgestellt.
| Aktionsgruppenname | BESCHREIBUNG |
|---|---|
| APPLICATION_ROLLEN_PASSWORTÄNDERUNGS_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Kennwort für eine Anwendungsrolle geändert wird. Entspricht der Ereignisklasse Passwortänderung der Audit-App-Rolle. |
| PRÜFUNGSÄNDERUNGSGRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Audit erstellt, geändert oder gelöscht wird. Dieses Ereignis wird ausgelöst, wenn eine Überwachungsspezifikation erstellt, geändert oder gelöscht wird. Jede Änderung an einer Prüfung wird in dieser Prüfung geprüft. Entspricht der Audit-Änderung-Auditereignisklasse. |
| BACKUP_WIEDERHERSTELLUNG_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein Sicherungs- oder Wiederherstellungsbefehl ausgegeben wird. Entspricht der Ereignisklasse "Sicherung und Wiederherstellung prüfen". |
| Datenbankänderungsgruppe | Dieses Ereignis wird ausgelöst, wenn eine Datenbank erstellt, geändert oder verworfen wird. Entspricht der Ereignisklasse 'Audit-Datenbankverwaltungsprüfung'. |
| DATENBANK_ABMELDUNG_GRUPPE | Dieses Ereignis wird ausgelöst, wenn sich ein enthaltener Datenbankbenutzer bei einer Datenbank abmeldet. Entspricht der Ereignisklasse "Sicherung und Wiederherstellung überwachen". |
| Datenbankobjekt-Zugriffsgruppe | Dieses Ereignis wird ausgelöst, wenn auf Datenbankobjekte wie Zertifikate und asymmetrische Schlüssel zugegriffen wird. Entspricht der Access-Ereignisklasse des Überwachungsdatenbankobjekts. |
| Datenbankobjektänderungsgruppe | Dieses Ereignis wird ausgelöst, wenn eine CREATE-, ALTER- oder DROP-Anweisung für Datenbankobjekte wie Schemas ausgeführt wird. Entspricht der Ereignisklasse "Audit Database Object Management". |
| DATENBANK_OBJEKT_EIGENTÜMER_WECHSEL_GRUPPE | Dieses Ereignis wird ausgelöst, wenn eine Änderung des Besitzers für Objekte innerhalb des Datenbankbereichs auftritt. Entspricht der Ereignisklasse Audit Database Object Take Ownership Event Class. |
| Gruppe zur Änderung von Datenbankobjektberechtigungen | Dieses Ereignis wird ausgelöst, wenn ein GRANT-, REVOKE- oder DENY-Befehl für Datenbankobjekte wie Assemblys und Schemas ausgeführt wurde. Entspricht der DDR-Ereignisklasse "Audit Database Object". |
| DATENBANKBETRIEBSGRUPPE | Dieses Ereignis wird ausgelöst, wenn Vorgänge in einer Datenbank auftreten, z. B. Prüfpunkt- oder abonnierte Abfragebenachrichtigungen. Entspricht der Ereignisklasse des Überwachungsdatenbankvorgangs. |
| DATENBANK_BESITZER_WECHSEL_GRUPPE | Dieses Ereignis wird ausgelöst, wenn Sie die ALTER AUTHORIZATION-Anweisung verwenden, um den Besitzer einer Datenbank zu ändern, und die Berechtigungen, die erforderlich sind, um dies zu tun, werden überprüft. Entspricht der Ereignisklasse "Besitzer der Überwachungsänderungsdatenbank". |
| DATENBANK_BERECHTIGUNGSÄNDERUNG_GRUPPE | Dieses Ereignis wird ausgelöst, wenn ein GRANT-, REVOKE- oder DENY-Element für eine Anweisungsberechtigung von jedem Benutzer in SQL Server für Nur-Datenbank-Ereignisse wie das Erteilen von Berechtigungen für eine Datenbank ausgestellt wird. Entspricht der DDR-Ereignisklasse "Überwachungsdatenbankbereich". |
| DATABASE_PRINCIPAL_CHANGE_GROUP | Dieses Ereignis wird ausgelöst, wenn Prinzipale, z. B. Benutzer, erstellt, geändert oder aus einer Datenbank gelöscht werden. Entspricht der Ereignisklasse "Datenbankprinzipalverwaltung überwachen". Entspricht auch der Audit Add DB User Event Class, die für veraltete sp_grantdbaccess, sp_revokedbaccess, sp_adduser und sp_dropuser gespeicherte Prozeduren auftritt. Dieses Ereignis wird ausgelöst, wenn eine Datenbankrolle mithilfe veralteter sp_addrole und sp_droprole gespeicherten Prozeduren hinzugefügt oder entfernt wird. Entspricht der Überwachungsereignisklasse "Rolle hinzufügen". |
| DATABASE_PRINCIPAL_IMPERSONATION_GROUP | Dieses Ereignis wird ausgelöst, wenn ein Identitätswechsel innerhalb des Datenbankbereichs vorhanden ist, z. B. EXECUTE AS-Benutzer <> oder SETUSER. Entspricht der Überwachungsdatenbankprinzipal-Identitätswechselereignisklasse. |
| DATABASE_ROLE_MEMBER_CHANGE_GRUPPE | Dieses Ereignis wird ausgelöst, wenn eine Anmeldung einer Datenbankrolle hinzugefügt oder daraus entfernt wird. Diese Ereignisklasse wird mit den gespeicherten Prozeduren sp_addrolemember, sp_changegroup und sp_droprolemember verwendet. Entspricht der Audit Add Member zur DB Role Event Class |
| DBCC_GROUP | Dieses Ereignis wird ausgelöst, wenn ein Prinzipal einen DBCC-Befehl ausgibt. Entspricht der DbCC-Ereignisklasse "Audit". |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Gibt an, dass ein Prinzipal versucht hat, sich bei einer enthaltenen Datenbank anzumelden und fehlgeschlagen ist. Ereignisse in dieser Klasse werden durch neue Verbindungen oder durch Verbindungen ausgelöst, die aus einem Verbindungspool wiederverwendet werden. Dieses Ereignis wird ausgelöst. |
| SCHEMA_OBJEKT_ZUGRIFFSGRUPPE | Dieses Ereignis wird ausgelöst, wenn eine Objektberechtigung im Schema verwendet wurde. Entspricht der Ereignisklasse für den Zugriff auf Überwachungsschemaobjekte. |
| SCHEMA_OBJECT_CHANGE_GROUP | Dieses Ereignis wird ausgelöst, wenn ein CREATE-, ALTER- oder DROP-Vorgang für ein Schema ausgeführt wird. Entspricht der Ereignisklasse "Audit Schema Object Management". Dieses Ereignis wird für Schemaobjekte ausgelöst. Entspricht der abgeleiteten Berechtigungsereignisklasse des Audit-Objekts. Entspricht auch der Audit-Bericht-Berechtigungsereignisklasse. |
| SCHEMA_OBJEKT_EIGENTUMSÄNDERUNG_GRUPPE | Dieses Ereignis wird ausgelöst, wenn die Berechtigungen zum Ändern des Besitzers von Schemaobjekten wie einer Tabelle, Prozedur oder Funktion überprüft werden. Dies tritt auf, wenn die ALTER AUTHORIZATION-Anweisung verwendet wird, um einem Objekt einen Besitzer zuzuweisen. Entspricht der Ereignisklasse "Audit Schema Object Take Ownership". |
| SCHEMA_OBJEKT_BERECHTIGUNGSÄNDERUNGS_GRUPPE | Dieses Ereignis wird ausgelöst, wann immer eine Erteilung, Ablehnung oder ein Widerruf für ein Schemaobjekt ausgeführt wird. Entspricht der Überwachungsschemaobjekt-DDR-Ereignisklasse. |
| ERFOLGREICHE_DATENBANK_AUTHENTIFIZIERUNGS_GRUPPE | Gibt an, dass ein Benutzer erfolgreich in eine enthaltene Datenbank eingeloggt wurde. Entspricht der Ereignisklasse "Erfolgreiche Datenbankauthentifizierungsüberprüfung". |
| BENUTZER_PASSWORT_ÄNDERUNGS_GRUPPE | Dieses Ereignis wird ausgelöst, wenn das Kennwort eines enthaltenen Datenbankbenutzers mithilfe der ALTER USER-Anweisung geändert wird. |
| BENUTZERDEFINIERTE_ÜBERPRÜFUNGSGRUPPE | Diese Gruppe überwacht Ereignisse, die mithilfe von sp_audit_write (Transact-SQL) ausgelöst werden. |
Database-Level Überwachungsaktionen
Aktionen auf Datenbankebene unterstützen die Überwachung bestimmter Aktionen direkt für Datenbankschema- und Schemaobjekte, z. B. Tabellen, Ansichten, gespeicherte Prozeduren, Funktionen, erweiterte gespeicherte Prozeduren, Warteschlangen, Synonyme. Typen, XML-Schemasammlung, Datenbank und Schema werden nicht überwacht. Die Überwachung von Schemaobjekten kann auf Schema und Datenbank konfiguriert werden. Dies bedeutet, dass Ereignisse für alle Schemaobjekte, die im angegebenen Schema oder in der angegebenen Datenbank enthalten sind, überwacht werden. In der folgenden Tabelle werden Überwachungsaktionen auf Datenbankebene beschrieben.
| Maßnahme | BESCHREIBUNG |
|---|---|
| AUSWÄHLEN | Dieses Ereignis wird ausgelöst, wenn eine SELECT ausgegeben wird. |
| Aktualisierung | Dieses Ereignis wird ausgelöst, wenn ein UPDATE ausgegeben wird. |
| Einfügen | Dieses Ereignis wird ausgelöst, wenn ein INSERT ausgegeben wird. |
| Löschen | Dieses Ereignis wird ausgelöst, wenn ein DELETE-Befehl ausgeführt wird. |
| AUSFÜHREN | Dieses Ereignis wird jedes Mal ausgelöst, wenn ein EXECUTE ausgegeben wird. |
| EMPFANGEN | Dieses Ereignis wird ausgelöst, wenn ein RECEIVE ausgegeben wird. |
| REFERENZEN | Dieses Ereignis wird ausgelöst, wann immer eine REFERENCES-Berechtigung überprüft wird. |
Überlegungen
Überwachungsaktionen auf Datenbankebene gelten nicht für Spalten.
Wenn der Abfrageprozessor die Abfrage parametrisiert, kann der Parameter im Überwachungsereignisprotokoll anstelle der Spaltenwerte der Abfrage angezeigt werden.
RPC-Anweisungen werden nicht protokolliert.
Audit-Level Audit-Aktionsgruppen
Sie können die Aktionen im Prüfungsprozess ebenfalls prüfen. Dies kann sich im Serverbereich oder im Datenbankbereich befinden. Im Datenbankbereich tritt er nur für Datenbanküberwachungsspezifikationen auf. In der folgenden Tabelle werden Aktionsgruppen auf Prüfungsebene beschrieben.
| Aktionsgruppenname | BESCHREIBUNG |
|---|---|
| PRÜFUNG_ ÄNDERUNGSGRUPPE | Dieses Ereignis wird ausgelöst, wenn einer der folgenden Befehle ausgegeben wird: – SERVERÜBERWACHUNG ERSTELLEN - ALTER SERVER AUDIT - Befehl: SERVER-AUDIT LÖSCHEN - SERVERPRÜFUNGSSPEZIFIKATION ERSTELLEN (CREATE SERVER AUDIT SPECIFICATION) - ALTER SERVER AUDIT SPECIFICATION - SERVER-AUDIT-SPEZIFIKATION ENTFERNEN - DATENBANKÜBERWACHUNGSSPEZIFIKATION ERSTELLEN - ALTER DATABASE AUDIT SPECIFICATION - DROP DATABASE AUDIT SPECIFICATION |
Verwandte Inhalte
Erstellen einer Serverüberwachung und einer Serverüberwachungsspezifikation
Erstellen einer Serverüberwachungs- und Datenbanküberwachungsspezifikation
CREATE SERVER AUDIT (Transact-SQL)
ÄNDERUNGSÜBERPRÜFUNG DES SERVERS (Transact-SQL)
DROP SERVER AUDIT (Transact-SQL)
CREATE SERVER AUDIT SPECIFICATION (Transact-SQL)
ÄNDERN DER SERVER-PRÜFUNGSSPEZIFIKATION (Transact-SQL)
DROP SERVER AUDIT SPECIFICATION (Transact-SQL)
ERSTELLE DATENBANK-ÜBERWACHUNGSSPEZIFIKATION (Transact-SQL)
ALTER DATABASE AUDIT SPECIFICATION (Transact-SQL)
DROP DATABASE AUDIT SPECIFICATION (Transact-SQL)
ÄNDERN DER AUTORISIERUNG (Transact-SQL)
sys.fn_get_audit_file (Transact-SQL)
sys.server_audits (Transact-SQL)
sys.server_file_audits (Transact-SQL)
sys.server_audit_specifications (Transact-SQL)
sys.server_audit_specification_details (Transact-SQL)
sys.database_audit_specifications (Transact-SQL)
sys.database_audit_specification_details (Transact-SQL)
sys.dm_server_audit_status (Transact-SQL)