计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
态势感知 SA
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive
本文导读

查看或下载审计日志

更新时间:2024-10-28 GMT+08:00

RDS for SQL Server实例将默认开启SQL审计功能,并且不支持关闭。SQL审计功能会将对服务级、数据库级、表级的主要变更操作记录进审计日志文件,方便用户查看并下载。

使用RDS for SQL Server Audit 功能,您可以对服务器级别和数据库级别事件组以及各个事件进行审核,RDS for SQL Server审核包括零个或多个审核操作项目。表1介绍了服务器级审核操作组,并提供了适用的等效RDS for SQL Server事件类。有关详细信息,请参阅SQL Server 审核操作组官方说明

说明:
  • 审计日志的每个文件最大50MB,可以保留50个文件。
  • RDS for SQL Server 2008 web版和RDS for SQL Server 2008 标准版不支持SQL审计功能。
  • 创建job,修改参数,修改服务器属性参数,sql agent属性参数,数据库扩展属性等暂无审计。
  • 审计日志中出现“succeeded”字段,表示触发事件的操作是否成功。 该字段不可为 null。 对于除登录事件之外的所有事件,它仅报告权限检查(而不是操作)成功或失败。
  • 表级、列级架构变化审计描述请以RDS for SQL Server引擎审计结果为准。
  • 如果需要读取审计日志内容,可以从控制台获取审计日志文件名后,直接进行查询:

    select * from msdb.dbo.rds_fn_get_audit_file('D:\ServerAudit\audit\RDSAudit_test.sqlaudit', default, default)

    如果将审计日志下载到本地,需要连上本地的SQL Server后,通过本地路径进行查询(本地账号需要有CONTROL SERVER权限):

    select * from sys.fn_get_audit_file('\\path\RDSAudit_test.sqlaudit', default, default)

表1 审计包含的操作组

操作组名称

描述

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP

更改应用程序角色的密码引发事件。

DATABASE_CHANGE_GROUP

创建、更改、删除数据库。

DATABASE_OBJECT_CHANGE_GROUP

针对数据库对象(如架构)执行create/alter/drop语句时将引发此事件。

DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP

在数据库范围内更改对象所有者时,将触发此事件。

DATABASE_OBJECT_PERMISSION_CHANGE_GROUP

针对数据库对象(例如,程序集和架构)发出GRANT、REVOKE或DENY语句时将引发此事件。

DATABASE_OWNERSHIP_CHANGE_GROUP

使用alter authorization语句更改数据库的所有者时,引发此事件。

DATABASE_PERMISSION_CHANGE_GROUP

sqlserver中任何主体针对某语句权限发出的GRANT、REVOKE或DENY语句时均引发此事件(仅适用于数据库事件,例如授予对某数据库的权限)

DATABASE_PRINCIPAL_CHANGE_GROUP

在数据库中创建、更改或删除主体(如用户)时,将引发此事件。

DATABASE_ROLE_MEMBER_CHANGE_GROUP

向数据库角色添加登录名或从中删除登录名时将引发此事件。

FAILED_LOGIN_GROUP

指示主体尝试登录到SQL Server,但是失败。此类中的事件由新连接引发或由连接池中重用的连接引发。

LOGIN_CHANGE_PASSWORD_GROUP

通过alter login语句或sp_password 存储过程更改登录密码时,将引发此事件。

SCHEMA_OBJECT_CHANGE_GROUP

针对架构执行create、alter或drop 操作时引发此事件。

SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP

检查更改架构对象(例如表、过程或函数)的所有者的权限时,会引发此事件。

SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP

对架构对象执行grant、deny或revoke语句时将引发此事件。

SERVER_OBJECT_CHANGE_GROUP

针对服务器对象执行create、alter、drop操作时引发此事件。

SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP

服务器范围中的对象的所有者发生更改时将引发此事件。

SERVER_OBJECT_PERMISSION_CHANGE_GROUP

sqlserver中的任何主体针对某服务器对象权限发出grant、revoke、deny语句时,将引发此事件。

SERVER_PERMISSION_CHANGE_GROUP

为获取服务器范围内的权限而发出grant、revoke、deny语句时,将引发此事件。

SERVER_PRINCIPAL_CHANGE_GROUP

创建、更改、删除服务器主体时将引发此事件。

SERVER_ROLE_MEMBER_CHANGE_GROUP

向固定服务器角色添加登录名或从中删除登录名时将引发此事件。

SERVER_STATE_CHANGE_GROUP

修改SQL Server服务状态时将引发此事件。

USER_CHANGE_PASSWORD_GROUP

每当使用alter user语句更改包含数据库用户的密码时,都将引发此事件。(SQL Server 2008版本不涉及)。

查看审计日志

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 单击页面左上角的,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。
  4. 在“实例管理”页面,选择目标实例,单击实例名称,进入实例的“概览”页签。
  5. 在左侧导航栏单击日志管理,在“运行日志”页签下,选择“下载”页签。
  6. 在“下载”页面,记录所生成的审计日志文件名。

    图1 RDS for SQL Server审计日志
    说明:

    审计日志文件名称以RDSAudit开头,会自动添加GUID和时间戳组合为文件名。

  7. 通过SQL Server客户端连接目标实例,具体操作请参见通过公网连接SQL Server实例
  8. 目标实例连接成功后,通过执行如下sql查看审计日志详情。

    select * from msdb.dbo.rds_fn_get_audit_file(file_pattern, initial_file_name, audit_record_offset)

    表2 参数说明

    参数

    说明

    file_pattern

    指定要读取的审核文件集目录(或路径)和文件名。

    initial_file_name

    指定审核文件集中要开始读取审核记录的特定文件的路径和名称。

    audit_record_offset

    指定一个已知位置,该位置包含initial_file_name指定的文件。

    查看审计日志详情,示例如下:

    select * from msdb.dbo.rds_fn_get_audit_file('D:\ServerAudit\audit\*.sqlaudit', default, default)

    图2 审计日志详情

下载审计日志

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 单击页面左上角的,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。
  4. 在“实例管理”页面,选择目标实例,单击实例名称,进入实例的“概览”页签。
  5. 在左侧导航栏单击日志管理,在“运行日志”页签下,选择“下载”页签。
  6. 选择目标日志文件,单击操作列中的“下载”

    1. 系统会在“下载”弹出框中自动加载下载准备任务,加载时长受日志文件大小及网络环境影响。
      • 下载准备过程中,状态显示为“准备中...”。
      • 下载准备完成,状态显示为“准备完成”。
      • 下载准备工作失败,状态显示为“异常”。
    2. “下载”弹出框中,对于“准备完成”的日志文件,单击“确定”,下载审计日志。单击“取消”,则不下载审计日志文件,直接返回下载页签。

      下载链接有效期为5分钟。如果超时,提示用户下载链接已失效,关闭窗口后执行6重新下载日志文件。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容