在SQLServer 2005中启用审计功能

Question

您是否曾经在生产数据库上使用SQL Server审计功能？

这对性能有何影响，以及您在不同版本的SQL Server之间是否存在差异。

我们还需要启用审计功能。

Answer 1

恐怕没有“审计功能”这样的事情。相反，您需要根据自己的需求来自行构建。有很多方法可以做到这一点，例如：

• 每当审计表中的数据发生变化时触发一个触发器。这里有一个例子：http://sqlserver2000.databases.aspfaq.com/how-do-i-audit-changes-to-sql-server-data.html
• 使用ORM，与这里的NHibernate 想法： Data Auditing in NHibernate and SqlServer

Answer 2

C2审核模式可能会给你一些你正在寻找的功能。虽然它没有专门记录用于访问数据的SQL语句，但会为您提供SQL Server上成功/失败安全请求的全面记录。

http://msdn.microsoft.com/en-us/library/ms187634.aspx

我们使用Idera SQL Compliance Manager做到符合SOX-SQL审计。我不是特别喜欢它，但它似乎是行业领导者之一，所以我认为它和任何产品一样好，并且它完成了工作。如果你想要满足一些外部要求（如在萨班斯 - 奥克斯利法案中），滚动你自己的账户可能不适合账单，你可以使用像这样的产品。

Answer 3

C2审核模式存在各种各样的问题，您的问题只涉及其中的一个 - 性能问题。 C2审计具有巨大的性能影响，非常高。

将性能问题放在一边，管理起来非常困难。这不是一个“即忘即忘”配置开关。您必须花费相当多的时间进行配置，设置日志记录以转到文件，然后当您完成时，其他人可以来到您的后面并轻松删除审计文件。无法快速轮询您的所有服务器，并确保C2审核工作正常，或者某人没有删除文件。

SQL Server 2008使遵从性更容易。我建议看看SQL Server 2008 Compliance portal，它有一个关于如何配置2008年新的法规遵从功能的出色白皮书。 2008年的新审计员使用xEvent处理，该处理大大降低了性能要求，并且管理起来更容易。您可以使用2008年的基于策略的管理来检查您的服务器，确保您正在审计，并在事情中断时帮助再次配置审计。

不幸的是，一个弱点仍然是审计输出文件的控制 - 坏人可以简单地删除文件。另一个缺点是缺乏报告 - 仅仅因为你拥有审计数据，并不意味着你可以对此做任何事情。您仍然必须编写自己的报告，以便分析审计数据并找出谁在做什么。这并不容易 - 但比SQL 2005的C2审计更容易，影响更小。

Answer 4

C2审计模式就是你要找的，触发器似乎不是审计的方式。你最终使用了什么？

Answer 5

Redgate的新免费工具DLM Dashboard使用DDL触发器将更改存储到单独的数据库，该数据库又由仪表板服务定期轮询，从而最大限度地降低对性能的任何影响。

这会记录模式更改，而不是（数据）更改。