Auditoria en SQL Server
Content
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Auditoria en SQL Server 2008
Auditoría de una instancia de SQL Server o una base de datos de SQL Server implica el
seguimiento y registro de eventos que ocurren en el sistema. Basándose en la información
acumulada que sería capaz de rastrear los cambios en la base de datos, el acceso a la base
de datos, etc. Una auditoría es la combinación de varios elementos en un solo paquete
para un grupo específico de acciones de servidor o base de datos de acciones. Los
componentes de SQL Server Audit se combinan para producir una salida que se llama una
auditoría, así como una definición de informe junto con los gráficos y elementos de datos
produce un informe.
Si bien estamos trabajando con SQL Server 2008 de auditoría que tenemos que tener
presentes cuatro cosas en mente:
1) SQL Server Audit
2) Especificación de auditoría de servidor (Eventos para capturar en el nivel de
instancia de servidor)
3) Base de datos de auditoría pliego de condiciones (Eventos para capturar en una
base de datos específica)
4) Target (sería el caso de los eventos se registra)
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Creación de un Servidor de Auditoria en SQL Server 2008
Paso 1:
Exploramos la carpeta de seguridad en el Explorador de objetos y seleccionamos la carpeta de
Auditoría.
Paso 2:
Clic derecho en la Carpeta de Auditoría y seleccionamos la opción “New auditoría” en el menú.
Paso 3:
El SQL Server 2008 se abrirá un cuadro de diálogo “Crear Auditoría”, con algunos campos. Es
importante entender el significado de cada uno de estos campos. **Los detalles de estos campos se
proporcionan al final.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 4:
Una vez que se crea la Comisión de Auditoría, se podrá encontrar en la carpeta de Seguridad.
Como se puede ver aparece deshabilitada la auditoria, para permitir a la Auditoría simplemente
se hace clic derecho sobre la auditoría de servidor que acabamos de crear y del menú
seleccionamos “Habilitar Auditoría”.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Al finalizar se puede ver un cuadro de dialogo con el mensaje de éxito, si la operación tiene
éxito.
Paso 5:
Se hace clic derecho sobre la Auditoria recién creada y seleccionamos la opción “Ver los registros
de Auditoria”.
Esto abre un cuadro de diálogo que contiene los registros de auditoría. Como se puede ver en la
imagen siguiente nos muestra los datos más relevantes de;
“Hora del evento”; que nos dice la hora en que se inició sesión.
“Nombre de la Instancia del Servidor”; en este caso se manejó de manera local, es por
eso que nada más aparece la misma instancia. Pero también se puede manejar la
auditoria con varios servidores.
“Action ID”; que es la acción de la auditoria en inicio de sesión.
“File Name”; Cada vez que iniciamos sesión se ejecuta la auditoria y nos genera un
archivo que es SQLAUDIT esto se guarda en la carpeta que se asignó a la hora de crear
la auditoria, que es la información que se muestra en la imagen.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 6:
Si se desea podemos crear el script de la auditoria. Hacemos Clic derecho sobre la Auditoria,
seleccionamos “Script de Auditoria como”, después CREATE To y escogemos una de las 3
opciones que no da ya sea como Archivo, Portapapeles y Agente de Empleo.
Como Archivo:
Al seleccionar crear script como archivo nos mostrara una ventana en donde nosotros podemos
decidir donde guardar el Script, además de ponerle un nombre. En nuestro caso usamos la
unidad D, en ella está creada una carpeta en especial para los Scripts.
En la siguientes imágenes se pude ver ya creado en la carpeta especificada el Script, si lo
deseamos podemos abrir el Script con el manejador de base de datos, esto nos mostrara en
código la creación del Auditoria ya hecha por asistente.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 7:
En SQL Server 2008 las políticas son una herramienta muy potente para los DBA y equipos de
desarrollo ya que con ella vamos a poder controlar y garantizar por ejemplo nuestras buenas
prácticas de trabajo.
Las políticas forman parte del integrante del SQL Server 2008, de modo que si deseamos crear
una política para una Auditoria es muy fácil. Se hace clic derecho sobre la Auditoria que se creó,
seleccionamos opción “Facetas”. Nos mostrara una ventana, que es más un cuadro de dialogo
que nos proporciona el estado de la auditoria. En la esquina inferior derecha de la ventana se
encuentra un botón “Exportar como política de Estado actual”.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Al hacer clic en el botón “Exportar como la política actual del Estado”, nos lleva a otro cuadro de
dialogo que nos muestra el nombre de la definición de políticas y el nombre de la condición,
ambos campos se pueden editar. Después podemos seleccionar dos opciones de política ya sea
en el servidor local o guardarlo como un archivo de política, yo escogí la segunda, además lo
guarde en otra parte del Disco. Si usted selecciona la opción “servidor local” opción, se vería que
una política y un Estado ha sido creado con el nombre que ha especificado en el cuadro de
diálogo.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Crear la especificación de auditoría de servidor.
Paso 1:
*** Servidor de Auditoría Grupos de Acción y Acciones.
Una vez que se ha comprendido la auditoría de servidor Grupos de Acción, exploramos en la
carpeta de Seguridad, de ahí Auditoria, por ultimo Especificaciones de auditoria de servidor en el
Explorador de objetos en SQL Server 2008. Hacer clic derecho sobre las Especificaciones de
auditoría de servidor y seleccione “Nuevo Server Audit Specification”.
Al seleccionar esta opción, un cuadro de diálogo en el que se especifique de auditoría de servidor
Nombre de especificación y “servidor de auditoría” que ha creado en el pasos anteriores. A partir
de entonces tendría que especificar los Grupos de Acción de auditoría en la rejilla de abajo. Una
vez que haya seleccionado todos los Grupos de Acción requiere de Auditoría, que se pulse
Aceptar y verás una especificación de auditoría creado para el servidor. En este paso que he
seleccionado el Grupo de Acción de Auditoría “Restaurar copia de seguridad del grupo” y este
evento se produce cada vez que se expida una copia de seguridad o restaurar los comandos.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 2:
Una vez que se crea, se vería que la especificación de auditoría esta inhabilitado. Tiene que
hacer clic derecho sobre la especificación de auditoría que se acaba de crear y selecciona
“Habilitar Server Audit Specification” en el menú.
Justo después de eso, a ver un cuadro de diálogo diciendo: “La operación fue un éxito”, a menos
que haya hecho algo divertido para hacer que falle.
Paso 3:
Usted puede hacer clic derecho sobre la especificación de auditoría de servidor y facetas
seleccione en el menú. Esto muestra un cuadro de diálogo con un botón en la parte inferior
derecha que dice “de exportación en curso como política de Estado”. Haga clic en este botón
para crear una política como lo hemos hecho anteriormente.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 4:
Ahora vamos a tratar de copias de seguridad de una base de datos en el servidor. He utilizado la
base de datos MuseodeArte para la demostración. Luego veremos los registros para asegurar
que nuestra auditoría está trabajando.
Exploramos en la carpetas de base de datos en mi caso yo utilizare la Base de datos llamado
MuseodeArte, hacemos clic derecho sobre la BD, y seleccionamos Tasks, de ahí buscamos la
opción BACK UP...
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Esto nos trae el siguiente cuadro de diálogo para crear una copia de seguridad de la base de
datos. Rellene los valores adecuados en los campos de este cuadro de diálogo y pulsamos el
botón Aceptar.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Ahora hacemos clic derecho sobre la auditoría de servidor que hemos creado en el Explorador de
objetos y seleccione la opción Ver los registros de auditoría en el menú.
Esto abrirá el cuadro de diálogo que mostrará los detalles del evento de copia de seguridad. En
la foto de abajo, verás la copia de seguridad de evento que ocurrió en la base de datos
MuseodeArte. Puede desplazarse a la derecha para encontrar los detalles en el cuadro de diálogo
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Crear la especificación de auditoría de base de datos.
Paso 1:
Usaremos de nuevo la BD que se uso en los pasos anteriores. Consulta *** Servidor de Auditoría
Grupos de Acción y Acciones.
Hacemos clic derecho en la BD que usaremos, en nuestro caso usamos de nuevo MuseodeArte,
nos vamos ala carpeta Security de ahí al final esta otra carpeta que es Database Audit
Specifications, hacemos clic derecho sobre el ultimo y creamos una especificación de auditoria
de base de datos.
Paso 2:
A continuación se mostrara una nueva ventana el cual está el nombre del especificación y la
Auditoria que creamos al principio, esos campos se pueden editar, en las Acciones seleccionamos
el tipo de Auditoria que queremos que visualice nuestra especificación de auditoria en este caso
yo use el SELECT, INSERT, DELETE y UPDATE.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
También se selecciona la clase del objeto en donde se va aplicar los tipos de auditoria, ya sea en
Objeto, Database y Schema.
Paso 3:
Ahora le asignamos el Nombre del Objeto, damos clic en el botón esto nos mostrara una nueva
ventana, en el botón Browse… damos clic y de nuevo nos mostrara la nueva ventana en donde
tenemos que seleccionar los objetos que en donde se realizara la acción, en mi caso yo escogí la
Tabla Pinacoteca damos OK.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 4:
En este nuevo paso se le dará un Nombre Principal, en damos clic en el botón… y nos mostrara
una ventana de dialogo que es el Buscador de Objetos, seleccionamos el rol de base de datos
public.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Una vez terminado el llenado de las acciones de la auditoria damos clic en OK. La especificación
de Base de datos de la Auditoria, aparece inhabilitado para eso damos clic derecho en la
especificación y habilitamos
Si todo sale bien deberá mostrar la ventana que se habilito con éxito la Especificación.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 5:
Una vez habilitado la Especificación, se hace un SELECT, un INSERT, DELETE y UPDATE alas
Base de datos, si recordamos en el paso 3 se escoge el nombre del objeto (la tabla en el cual se
desea aplicar las operaciones).
Paso 6:
Por ultimo vemos los “registros de la auditoria” y nos mostrara todas las acciones
que hagamos hecho en la especificación.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
**Creación de Auditoria
Nombre de auditoría
El nombre de la auditoría. Esto se genera automáticamente cuando se crea una nueva auditoría, pero se
puede modificar.
Retraso de la cola (en milisegundos)
Especifica la cantidad de tiempo en milisegundos que puede transcurrir antes de que las acciones de
auditoría están obligados a ser procesados. Un valor de 0 indica la entrega sincrónica. El valor por defecto el
valor mínimo es 1000 (1 segundo). El máximo es 2.147.483.647 (2.147.483,647 segundos, o 24 días, 20
horas, 31 minutos, 23,647 segundos).
Apague el servidor de auditoría de error
Fuerzas de un servidor de cerrar cuando la instancia del servidor escrito a la meta no puede escribir datos en
el objetivo de la auditoría. El inicio de sesión emitiendo este debe tener el permiso SHUTDOWN. Si el inicio
de sesión no tiene este permiso, esta función se producirá un error y un mensaje de error será levantado.
Como una mejor práctica, esto sólo debería utilizarse en casos en que un error de auditoría podría poner en
peligro la seguridad o la integridad del sistema.
Destino de auditoría
Especifica el objetivo de la auditoría de datos. Las opciones disponibles son un archivo binario, el registro de
aplicación de Windows, o el registro de seguridad de Windows. SQL Server no puede escribir en el registro
de seguridad de Windows sin configurar valores adicionales en Windows. Para obtener más información, vea
Cómo: Escribir servidor de eventos de auditoría en el registro de seguridad.
Nota: La escritura en el registro de seguridad no está disponible en Windows XP.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Archivos de sustitución máxima
Especifica el número máximo de archivos de auditoría para mantener en el sistema de archivos. Cuando el
ajuste de MAX_ROLLOVER_FILES = ilimitado, no se impone ningún límite en el número de archivos de
sustitución que se creará. El valor predeterminado es ilimitado. El número máximo de archivos que se
pueden
especificar
es
2.147.483.647.
Tamaño máximo del archivo (MB)
Especifica el tamaño máximo, en megabytes (MB), para un archivo de auditoría. El tamaño mínimo que se
puede especificar es de 1024 KB y el máximo es 2.147.483.647 terabytes (TB). También puede especificar
UNLIMITED, que no pone un límite en el tamaño del archivo. Especificar un valor inferior a 1024 KB se
producirá el error MSG_MAXSIZE_TOO_SMALL. El valor predeterminado es ilimitado.
Espacio en disco de reserva
Especifica que el espacio es pre asignado en el disco igual al tamaño del archivo especificado máximo. Este
ajuste sólo se puede utilizar si MAXSIZE no es igual a unlimited. La configuración por defecto es OFF.
Ruta de archivo
Especifica la ubicación de la carpeta en la que los datos de auditoría se escriben cuando el destino de
Auditoría es un archivo. Al hacer clic en el botón al lado de este campo se abre el cuadro de diálogo Buscar
carpeta para especificar una ruta de archivo o crear una carpeta donde se escribe el archivo de auditoría.
Ahora, después de llenar los valores adecuados en el cuadro de diálogo, pulse Aceptar para crear una
auditoría.
*** Servidor de Auditoría Grupos de Acción y Acciones.
Audits can have the following categories of actions:
Server-level. These actions include server operations, such as management changes and logon and
logoff operations.
Database-level. These actions encompass data manipulation languages (DML) and data definition
language (DDL) operations.
Audit-level. These actions include actions in the auditing process.
Some actions performed on SQL Server auditing components are intrinsically audited in a specific audit, and
in these cases audit events occur automatically because the event occurred on the parent object.
The following actions are intrinsically audited:
Server Audit State Change (setting State to ON or OFF)
The following events are not intrinsically audited:
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
All audits are disabled when initially created.
Server-Level Audit Action Groups
Server-level audit action groups are actions similar to SQL Server security audit event classes. For more
information, see SQL Server Event Class Reference.
The following table describes the server-level audit action groups and provides the equivalent SQL Server
Event Class where applicable.
Action group name
Description
SUCCESSFUL_LOGIN_GROUP
Indicates that a principal has successfully logged in to SQL Server. Events in this
class are raised by new connections or by connections that are reused from a
connection pool. Equivalent to the Audit Login Event Class.
LOGOUT_GROUP
Indicates that a principal has logged out of SQL Server. Events in this class are
raised by new connections or by connections that are reused from a connection
pool. Equivalent to the Audit Logout Event Class.
FAILED_LOGIN_GROUP
Indicates that a principal tried to log on to SQL Server and failed. Events in this
class are raised by new connections or by connections that are reused from a
connection pool. Equivalent to the Audit Login Failed Event Class.
LOGIN_CHANGE_PASSWORD_GROUP
This event is raised whenever a login password is changed by way of ALTER
LOGIN statement or sp_password stored procedure. Equivalent to the Audit Login
Change Password Event Class.
APPLICATION_ROLE_CHANGE_PASSWORD_GR
OUP
This event is raised whenever a password is changed for an application role.
Equivalent to theAudit App Role Change Password Event Class.
SERVER_ROLE_MEMBER_CHANGE_GROUP
This event is raised whenever a login is added or removed from a fixed server role.
This event is raised for the sp_addsrvrolemember and sp_dropsrvrolemember
stored procedures. Equivalent to the Audit Add Login to Server Role Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUP
This event is raised whenever a login is added to or removed from a database role.
This event class is raised for the sp_addrolemember, sp_changegroup, and
sp_droprolemember stored procedures. This event is raised on any Database role
member change in any database. Equivalent to the Audit Add Member to DB Role
Event Class.
BACKUP_RESTORE_GROUP
This event is raised whenever a backup or restore command is issued. Equivalent
to the Audit Backup/Restore Event Class.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
DBCC_GROUP
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
This event is raised whenever a principal issues any DBCC command. Equivalent
to the Audit DBCC Event Class.
SERVER_OPERATION_GROUP
This event is raised when Security Audit operations such as altering settings,
resources, external access, or authorization are used. Equivalent to the Audit
Server Operation Event Class.
DATABASE_OPERATION_GROUP
This event is raised when operations in a database, such as checkpoint or subscribe
query notification, occur. This event is raised on any database operation on any
database. Equivalent to the Audit Database Operation Event Class.
AUDIT_ CHANGE_GROUP
This event is raised whenever any audit is created, modified or deleted. This event
is raised whenever any audit specification is created, modified, or deleted. Any
change to an audit is audited in that audit.
SERVER_STATE_CHANGE_GROUP
This event is raised when the SQL Server service state is modified. Equivalent to
the Audit Server Starts and Stops Event Class.
SERVER_OBJECT_CHANGE_GROUP
This event is raised for CREATE, ALTER, or DROP operations on server objects.
Equivalent to theAudit Server Object Management Event Class.
SERVER_PRINCIPAL_CHANGE_GROUP
This event is raised when server principals are created, altered, or dropped.
Equivalent to theAudit Server Principal Management Event Class.
This event is raised when a principal issues the sp_defaultdb or
sp_defaultlanguage stored procedures or ALTER LOGIN statements. Equivalent
to the Audit Addlogin Event Class.
This event is raised on the sp_addlogin and sp_droplogin stored procedures. Also
equivalent to the Audit Login Change Property Event Class.
This event is raised for the sp_grantlogin, sp_revokelogin, or sp_denylogin stored
procedures. Equivalent to the Audit Login GDR Event Class.
DATABASE_CHANGE_GROUP
This event is raised when a database is created, altered, or dropped. This event is
raised whenever any database is created, altered or dropped. Equivalent to
the Audit Database Management Event Class.
DATABASE_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP statement is executed on
database objects, such as schemas. This event is raised whenever any database
object is created, altered or dropped.
Note
This could lead to very large quantities of audit records.
Equivalent to the Audit Database Object Management Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUP
This event is raised when principals, such as users, are created, altered, or dropped
from a database. Equivalent to the Audit Database Principal Management Event
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Class. (Also equivalent to the Audit Add DB Principal Event Class, which occurs
on the deprecated sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal, and
sp_dropPrincipal stored procedures.)
This event is raised whenever a database role is added to or removed by using the
sp_addrole, sp_droprole stored procedures. This event is raised whenever any
database principals are created, altered, or dropped from any database.Equivalent
to the Audit Add Role Event Class.
SCHEMA_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP operation is performed
on a schema. Equivalent to the Audit Schema Object Management Event Class.
This event is raised on schema objects. Equivalent to the Audit Object Derived
Permission Event Class.
This event is raised whenever any schema of any database changes. Equivalent to
the Audit Statement Permission Event Class.
SERVER_PRINCIPAL_IMPERSONATION_GROUP
This event is raised when there is an impersonation within server scope, such as
EXECUTE AS <login>. Equivalent to the Audit Server Principal Impersonation
Event Class.
DATABASE_PRINCIPAL_IMPERSONATION_GR
OUP
This event is raised when there is an impersonation operation in the database
scope such as EXECUTE AS <principal> or SETPRINCIPAL. This event is
raised for impersonations done in any database. Equivalent to the Audit Database
Principal Impersonation Event Class.
SERVER_OBJECT_OWNERSHIP_CHANGE_GRO
This event is raised when the owner is changed for objects in server scope.
UP
Equivalent to the Audit Server Object Take Ownership Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUP
This event is raised when you use the ALTER AUTHORIZATION statement to
change the owner of a database, and the permissions that are required to do that
are checked. This event is raised for any database ownership change on any
database on the server. Equivalent to the Audit Change Database Owner Event
Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_G
This event is raised when a change of owner for objects within database scope.
ROUP
This event is raised for any object ownership change in any database on the server.
Equivalent to the Audit Database Object Take Ownership Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GRO
UP
This event is raised when the permissions to change the owner of schema object
(such as a table, procedure, or function) is checked. This occurs when the ALTER
AUTHORIZATION statement is used to assign an owner to an object. This event
is raised for any schema ownership change for any database on the server.
Equivalent to the Audit Schema Object Take Ownership Event Class.
SERVER_PERMISSION_CHANGE_GROUP
This event is raised when a GRANT, REVOKE, or DENY is issued for
permissions in the server scope, such as creating a login. Equivalent to the Audit
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Server Scope GDR Event Class.
SERVER_OBJECT_PERMISSION_CHANGE_GRO
UP
This event is raised whenever a GRANT, REVOKE, or DENY is issued for a
server object permission by any principal in SQL Server. Equivalent to the Audit
Server Object GDR Event Class.
DATABASE_PERMISSION_CHANGE_GROUP
This event is raised whenever a GRANT, REVOKE, or DENY is issued for a
statement permission by any principal in SQL Server (This applies to databaseonly events, such as granting permissions on a database).
This event is raised for any database permission change (GDR) for any database in
the server. Equivalent to the Audit Database Scope GDR Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_G
This event is raised when a GRANT, REVOKE, or DENY has been issued for
ROUP
database objects, such as assemblies and schemas. This event is raised for any
object permission change for any database on the server. Equivalent to the Audit
Database Object GDR Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GRO
UP
This event is raised whenever a grant, deny, revoke is performed against a schema
object. Equivalent to the Audit Schema Object GDR Event Class.
DATABASE_OBJECT_ACCESS_GROUP
This event is raised whenever database objects such as message type, assembly,
contract are accessed.
This event is raised for any access to any database.
Note
This could potentially lead to large audit records.
Equivalent to the Audit Database Object Access Event Class.
SCHEMA_OBJECT_ACCESS_GROUP
This event is raised whenever an object permission has been used in the schema.
Equivalent to theAudit Schema Object Access Event Class.
BROKER_LOGIN_GROUP
This event is raised to report audit messages related to Service Broker transport
security. Equivalent to the Audit Broker Login Event Class.
DATABASE_MIRRORING_LOGIN_GROUP
This event is raised to report audit messages related to database mirroring
transport security. Equivalent to the Audit Database Mirroring Login Event Class.
TRACE_CHANGE_GROUP
This event is raised for all statements that check for the ALTER TRACE
permission. Equivalent to theAudit Server Alter Trace Event Class.
Considerations
Server-level action groups cover actions across a SQL Server instance. For example, any schema object
access check in any database is recorded if the appropriate action group is added to a server audit
specification. In a database audit specification, only schema object accesses in that database are recorded.
Server-level actions do not allow for detailed filtering on database-level actions. A database-level audit, such
as audit of SELECT actions on the Customers table for logins in the Employee group is required to implement
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
detailed action filtering. Do not include server-scoped objects, such as the system views, in a user database
audit specification.
Database-Level Audit Action Groups
Database-Level Audit Action Groups are actions similar to SQL Server Security Audit Event classes. For more
information about event classes, see SQL Server Event Class Reference.
The following table describes the database-level audit action groups and provides their equivalent SQL
Server Event Class where applicable.
Action group name
Description
DATABASE_ROLE_MEMBER_CHANGE_
GROUP
This event is raised whenever a login is added to or removed from a database role. This
event class is used with the sp_addrolemember, sp_changegroup, and sp_droprolemember
stored procedures.Equivalent to the Audit Add Member to DB Role Event Class
DATABASE_OPERATION_GROUP
This event is raised when operations in a database, such as checkpoint or subscribe query
notification, occur. Equivalent to the Audit Database Operation Event Class.
DATABASE_CHANGE_GROUP
This event is raised when a database is created, altered, or dropped. Equivalent to the Audit
Database Management Event Class.
DATABASE_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP statement is executed on
database objects, such as schemas. Equivalent to the Audit Database Object Management
Event Class.
DATABASE_PRINCIPAL_CHANGE_GRO
UP
This event is raised when principals, such as users, are created, altered, or dropped from a
database. Equivalent to the Audit Database Principal Management Event Class. Also
equivalent to the Audit Add DB User Event Class, which occurs on deprecated
sp_grantdbaccess, sp_revokedbaccess, sp_adduser, and sp_dropuser stored procedures.
This event is raised whenever a database role is added to or removed using deprecated
sp_addrole and sp_droprole stored procedures. Equivalent to the Audit Add Role Event
Class.
SCHEMA_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP operation is performed on a
schema. Equivalent to the Audit Schema Object Management Event Class.
This event is raised on schema objects. Equivalent to the Audit Object Derived Permission
Event Class. Also equivalent to the Audit Statement Permission Event Class.
DATABASE_PRINCIPAL_IMPERSONATI
ON_GROUP
This event is raised when there is an impersonation within database scope such as
EXECUTE AS <user> or SETUSER. Equivalent to the Audit Database Principal
Impersonation Event Class.
DATABASE_OWNERSHIP_CHANGE_GR
This event is raised when you use the ALTER AUTHORIZATION statement to change
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
OUP
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
the owner of a database, and the permissions that are required to do that are checked.
Equivalent to the Audit Change Database Owner Event Class.
DATABASE_OBJECT_OWNERSHIP_CHA
This event is raised when a change of owner for objects within database scope occurs.
NGE_GROUP
Equivalent to the Audit Database Object Take Ownership Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANG
E_GROUP
Equivalent to the Audit Schema Object Take Ownership Event Class. This event is raised
when the permissions to change the owner of schema object such as a table, procedure, or
function is checked. This occurs when the ALTER AUTHORIZATION statement is used
to assign an owner to an object.
DATABASE_PERMISSION_CHANGE_GR
OUP
This event is raised whenever a GRANT, REVOKE, or DENY is issued for a statement
permission by any user in SQL Server for database-only events such as granting
permissions on a database. Equivalent to the Audit Database Scope GDR Event Class.
DATABASE_OBJECT_PERMISSION_CHA
NGE_GROUP
This event is raised when a GRANT, REVOKE, or DENY has been issued for database
objects, such as assemblies and schemas. Equivalent to the Audit Database Object GDR
Event Class.
SCHEMA_OBJECT_PERMISSION_CHANG
E_GROUP
This event is raised whenever a grant, deny, or revoke is issued for a schema object.
Equivalent to the Audit Schema Object GDR Event Class.
DATABASE_OBJECT_ACCESS_GROUP
This event is raised whenever database objects such as certificates and asymmetric keys
are accessed. Equivalent to the Audit Database Object Access Event Class.
SCHEMA_OBJECT_ACCESS_GROUP
This event is raised whenever an object permission has been used in the schema.
Equivalent to theAudit Schema Object Access Event Class.
Database-Level Audit Actions
Database-level actions support the auditing of specific actions directly on database schema and schema
objects, such as Tables, Views, Stored Procedures, Functions, Extended Stored Procedures, Queues,
Synonyms. Types, XML Schema Collection, Database, and Schema are not audited. The audit of schema
objects may be configured on Schema and Database, which means that events on all schema objects
contained by the specified schema or database will be audited. The following table describes database-level
audit actions.
Action
Description
SELECT
This event is raised whenever a SELECT is issued.
UPDATE
This event is raised whenever an UPDATE is issued.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
INSERT
This event is raised whenever an INSERT is issued.
DELETE
This event is raised whenever a DELETE is issued.
EXECUTE
This event is raised whenever an EXECUTE is issued.
RECEIVE
This event is raised whenever a RECEIVE is issued.
REFERENCES
This event is raised whenever a REFERENCES permission is checked.
Considerations
Database-level audit actions do not apply to Columns.
When the query processor parameterizes the query, the parameter can appear in the audit event log instead
of the column values of the query.
Audit-Level Audit Action Groups
You can also audit the actions in the auditing process. This can be in the server scope or the database scope.
In the database scope, it only occurs for database audit specifications. The following table describes auditlevel audit action groups.
Action group name
Description
AUDIT_ CHANGE_GROUP
This event is raised whenever one of the following commands are issued:
CREATE SERVER AUDIT
ALTER SERVER AUDIT
DROP SERVER AUDIT
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Auditoria en SQL Server 2008
Auditoría de una instancia de SQL Server o una base de datos de SQL Server implica el
seguimiento y registro de eventos que ocurren en el sistema. Basándose en la información
acumulada que sería capaz de rastrear los cambios en la base de datos, el acceso a la base
de datos, etc. Una auditoría es la combinación de varios elementos en un solo paquete
para un grupo específico de acciones de servidor o base de datos de acciones. Los
componentes de SQL Server Audit se combinan para producir una salida que se llama una
auditoría, así como una definición de informe junto con los gráficos y elementos de datos
produce un informe.
Si bien estamos trabajando con SQL Server 2008 de auditoría que tenemos que tener
presentes cuatro cosas en mente:
1) SQL Server Audit
2) Especificación de auditoría de servidor (Eventos para capturar en el nivel de
instancia de servidor)
3) Base de datos de auditoría pliego de condiciones (Eventos para capturar en una
base de datos específica)
4) Target (sería el caso de los eventos se registra)
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Creación de un Servidor de Auditoria en SQL Server 2008
Paso 1:
Exploramos la carpeta de seguridad en el Explorador de objetos y seleccionamos la carpeta de
Auditoría.
Paso 2:
Clic derecho en la Carpeta de Auditoría y seleccionamos la opción “New auditoría” en el menú.
Paso 3:
El SQL Server 2008 se abrirá un cuadro de diálogo “Crear Auditoría”, con algunos campos. Es
importante entender el significado de cada uno de estos campos. **Los detalles de estos campos se
proporcionan al final.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 4:
Una vez que se crea la Comisión de Auditoría, se podrá encontrar en la carpeta de Seguridad.
Como se puede ver aparece deshabilitada la auditoria, para permitir a la Auditoría simplemente
se hace clic derecho sobre la auditoría de servidor que acabamos de crear y del menú
seleccionamos “Habilitar Auditoría”.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Al finalizar se puede ver un cuadro de dialogo con el mensaje de éxito, si la operación tiene
éxito.
Paso 5:
Se hace clic derecho sobre la Auditoria recién creada y seleccionamos la opción “Ver los registros
de Auditoria”.
Esto abre un cuadro de diálogo que contiene los registros de auditoría. Como se puede ver en la
imagen siguiente nos muestra los datos más relevantes de;
“Hora del evento”; que nos dice la hora en que se inició sesión.
“Nombre de la Instancia del Servidor”; en este caso se manejó de manera local, es por
eso que nada más aparece la misma instancia. Pero también se puede manejar la
auditoria con varios servidores.
“Action ID”; que es la acción de la auditoria en inicio de sesión.
“File Name”; Cada vez que iniciamos sesión se ejecuta la auditoria y nos genera un
archivo que es SQLAUDIT esto se guarda en la carpeta que se asignó a la hora de crear
la auditoria, que es la información que se muestra en la imagen.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 6:
Si se desea podemos crear el script de la auditoria. Hacemos Clic derecho sobre la Auditoria,
seleccionamos “Script de Auditoria como”, después CREATE To y escogemos una de las 3
opciones que no da ya sea como Archivo, Portapapeles y Agente de Empleo.
Como Archivo:
Al seleccionar crear script como archivo nos mostrara una ventana en donde nosotros podemos
decidir donde guardar el Script, además de ponerle un nombre. En nuestro caso usamos la
unidad D, en ella está creada una carpeta en especial para los Scripts.
En la siguientes imágenes se pude ver ya creado en la carpeta especificada el Script, si lo
deseamos podemos abrir el Script con el manejador de base de datos, esto nos mostrara en
código la creación del Auditoria ya hecha por asistente.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 7:
En SQL Server 2008 las políticas son una herramienta muy potente para los DBA y equipos de
desarrollo ya que con ella vamos a poder controlar y garantizar por ejemplo nuestras buenas
prácticas de trabajo.
Las políticas forman parte del integrante del SQL Server 2008, de modo que si deseamos crear
una política para una Auditoria es muy fácil. Se hace clic derecho sobre la Auditoria que se creó,
seleccionamos opción “Facetas”. Nos mostrara una ventana, que es más un cuadro de dialogo
que nos proporciona el estado de la auditoria. En la esquina inferior derecha de la ventana se
encuentra un botón “Exportar como política de Estado actual”.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Al hacer clic en el botón “Exportar como la política actual del Estado”, nos lleva a otro cuadro de
dialogo que nos muestra el nombre de la definición de políticas y el nombre de la condición,
ambos campos se pueden editar. Después podemos seleccionar dos opciones de política ya sea
en el servidor local o guardarlo como un archivo de política, yo escogí la segunda, además lo
guarde en otra parte del Disco. Si usted selecciona la opción “servidor local” opción, se vería que
una política y un Estado ha sido creado con el nombre que ha especificado en el cuadro de
diálogo.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Crear la especificación de auditoría de servidor.
Paso 1:
*** Servidor de Auditoría Grupos de Acción y Acciones.
Una vez que se ha comprendido la auditoría de servidor Grupos de Acción, exploramos en la
carpeta de Seguridad, de ahí Auditoria, por ultimo Especificaciones de auditoria de servidor en el
Explorador de objetos en SQL Server 2008. Hacer clic derecho sobre las Especificaciones de
auditoría de servidor y seleccione “Nuevo Server Audit Specification”.
Al seleccionar esta opción, un cuadro de diálogo en el que se especifique de auditoría de servidor
Nombre de especificación y “servidor de auditoría” que ha creado en el pasos anteriores. A partir
de entonces tendría que especificar los Grupos de Acción de auditoría en la rejilla de abajo. Una
vez que haya seleccionado todos los Grupos de Acción requiere de Auditoría, que se pulse
Aceptar y verás una especificación de auditoría creado para el servidor. En este paso que he
seleccionado el Grupo de Acción de Auditoría “Restaurar copia de seguridad del grupo” y este
evento se produce cada vez que se expida una copia de seguridad o restaurar los comandos.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 2:
Una vez que se crea, se vería que la especificación de auditoría esta inhabilitado. Tiene que
hacer clic derecho sobre la especificación de auditoría que se acaba de crear y selecciona
“Habilitar Server Audit Specification” en el menú.
Justo después de eso, a ver un cuadro de diálogo diciendo: “La operación fue un éxito”, a menos
que haya hecho algo divertido para hacer que falle.
Paso 3:
Usted puede hacer clic derecho sobre la especificación de auditoría de servidor y facetas
seleccione en el menú. Esto muestra un cuadro de diálogo con un botón en la parte inferior
derecha que dice “de exportación en curso como política de Estado”. Haga clic en este botón
para crear una política como lo hemos hecho anteriormente.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 4:
Ahora vamos a tratar de copias de seguridad de una base de datos en el servidor. He utilizado la
base de datos MuseodeArte para la demostración. Luego veremos los registros para asegurar
que nuestra auditoría está trabajando.
Exploramos en la carpetas de base de datos en mi caso yo utilizare la Base de datos llamado
MuseodeArte, hacemos clic derecho sobre la BD, y seleccionamos Tasks, de ahí buscamos la
opción BACK UP...
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Esto nos trae el siguiente cuadro de diálogo para crear una copia de seguridad de la base de
datos. Rellene los valores adecuados en los campos de este cuadro de diálogo y pulsamos el
botón Aceptar.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Ahora hacemos clic derecho sobre la auditoría de servidor que hemos creado en el Explorador de
objetos y seleccione la opción Ver los registros de auditoría en el menú.
Esto abrirá el cuadro de diálogo que mostrará los detalles del evento de copia de seguridad. En
la foto de abajo, verás la copia de seguridad de evento que ocurrió en la base de datos
MuseodeArte. Puede desplazarse a la derecha para encontrar los detalles en el cuadro de diálogo
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Crear la especificación de auditoría de base de datos.
Paso 1:
Usaremos de nuevo la BD que se uso en los pasos anteriores. Consulta *** Servidor de Auditoría
Grupos de Acción y Acciones.
Hacemos clic derecho en la BD que usaremos, en nuestro caso usamos de nuevo MuseodeArte,
nos vamos ala carpeta Security de ahí al final esta otra carpeta que es Database Audit
Specifications, hacemos clic derecho sobre el ultimo y creamos una especificación de auditoria
de base de datos.
Paso 2:
A continuación se mostrara una nueva ventana el cual está el nombre del especificación y la
Auditoria que creamos al principio, esos campos se pueden editar, en las Acciones seleccionamos
el tipo de Auditoria que queremos que visualice nuestra especificación de auditoria en este caso
yo use el SELECT, INSERT, DELETE y UPDATE.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
También se selecciona la clase del objeto en donde se va aplicar los tipos de auditoria, ya sea en
Objeto, Database y Schema.
Paso 3:
Ahora le asignamos el Nombre del Objeto, damos clic en el botón esto nos mostrara una nueva
ventana, en el botón Browse… damos clic y de nuevo nos mostrara la nueva ventana en donde
tenemos que seleccionar los objetos que en donde se realizara la acción, en mi caso yo escogí la
Tabla Pinacoteca damos OK.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 4:
En este nuevo paso se le dará un Nombre Principal, en damos clic en el botón… y nos mostrara
una ventana de dialogo que es el Buscador de Objetos, seleccionamos el rol de base de datos
public.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Una vez terminado el llenado de las acciones de la auditoria damos clic en OK. La especificación
de Base de datos de la Auditoria, aparece inhabilitado para eso damos clic derecho en la
especificación y habilitamos
Si todo sale bien deberá mostrar la ventana que se habilito con éxito la Especificación.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Paso 5:
Una vez habilitado la Especificación, se hace un SELECT, un INSERT, DELETE y UPDATE alas
Base de datos, si recordamos en el paso 3 se escoge el nombre del objeto (la tabla en el cual se
desea aplicar las operaciones).
Paso 6:
Por ultimo vemos los “registros de la auditoria” y nos mostrara todas las acciones
que hagamos hecho en la especificación.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
**Creación de Auditoria
Nombre de auditoría
El nombre de la auditoría. Esto se genera automáticamente cuando se crea una nueva auditoría, pero se
puede modificar.
Retraso de la cola (en milisegundos)
Especifica la cantidad de tiempo en milisegundos que puede transcurrir antes de que las acciones de
auditoría están obligados a ser procesados. Un valor de 0 indica la entrega sincrónica. El valor por defecto el
valor mínimo es 1000 (1 segundo). El máximo es 2.147.483.647 (2.147.483,647 segundos, o 24 días, 20
horas, 31 minutos, 23,647 segundos).
Apague el servidor de auditoría de error
Fuerzas de un servidor de cerrar cuando la instancia del servidor escrito a la meta no puede escribir datos en
el objetivo de la auditoría. El inicio de sesión emitiendo este debe tener el permiso SHUTDOWN. Si el inicio
de sesión no tiene este permiso, esta función se producirá un error y un mensaje de error será levantado.
Como una mejor práctica, esto sólo debería utilizarse en casos en que un error de auditoría podría poner en
peligro la seguridad o la integridad del sistema.
Destino de auditoría
Especifica el objetivo de la auditoría de datos. Las opciones disponibles son un archivo binario, el registro de
aplicación de Windows, o el registro de seguridad de Windows. SQL Server no puede escribir en el registro
de seguridad de Windows sin configurar valores adicionales en Windows. Para obtener más información, vea
Cómo: Escribir servidor de eventos de auditoría en el registro de seguridad.
Nota: La escritura en el registro de seguridad no está disponible en Windows XP.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Archivos de sustitución máxima
Especifica el número máximo de archivos de auditoría para mantener en el sistema de archivos. Cuando el
ajuste de MAX_ROLLOVER_FILES = ilimitado, no se impone ningún límite en el número de archivos de
sustitución que se creará. El valor predeterminado es ilimitado. El número máximo de archivos que se
pueden
especificar
es
2.147.483.647.
Tamaño máximo del archivo (MB)
Especifica el tamaño máximo, en megabytes (MB), para un archivo de auditoría. El tamaño mínimo que se
puede especificar es de 1024 KB y el máximo es 2.147.483.647 terabytes (TB). También puede especificar
UNLIMITED, que no pone un límite en el tamaño del archivo. Especificar un valor inferior a 1024 KB se
producirá el error MSG_MAXSIZE_TOO_SMALL. El valor predeterminado es ilimitado.
Espacio en disco de reserva
Especifica que el espacio es pre asignado en el disco igual al tamaño del archivo especificado máximo. Este
ajuste sólo se puede utilizar si MAXSIZE no es igual a unlimited. La configuración por defecto es OFF.
Ruta de archivo
Especifica la ubicación de la carpeta en la que los datos de auditoría se escriben cuando el destino de
Auditoría es un archivo. Al hacer clic en el botón al lado de este campo se abre el cuadro de diálogo Buscar
carpeta para especificar una ruta de archivo o crear una carpeta donde se escribe el archivo de auditoría.
Ahora, después de llenar los valores adecuados en el cuadro de diálogo, pulse Aceptar para crear una
auditoría.
*** Servidor de Auditoría Grupos de Acción y Acciones.
Audits can have the following categories of actions:
Server-level. These actions include server operations, such as management changes and logon and
logoff operations.
Database-level. These actions encompass data manipulation languages (DML) and data definition
language (DDL) operations.
Audit-level. These actions include actions in the auditing process.
Some actions performed on SQL Server auditing components are intrinsically audited in a specific audit, and
in these cases audit events occur automatically because the event occurred on the parent object.
The following actions are intrinsically audited:
Server Audit State Change (setting State to ON or OFF)
The following events are not intrinsically audited:
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
All audits are disabled when initially created.
Server-Level Audit Action Groups
Server-level audit action groups are actions similar to SQL Server security audit event classes. For more
information, see SQL Server Event Class Reference.
The following table describes the server-level audit action groups and provides the equivalent SQL Server
Event Class where applicable.
Action group name
Description
SUCCESSFUL_LOGIN_GROUP
Indicates that a principal has successfully logged in to SQL Server. Events in this
class are raised by new connections or by connections that are reused from a
connection pool. Equivalent to the Audit Login Event Class.
LOGOUT_GROUP
Indicates that a principal has logged out of SQL Server. Events in this class are
raised by new connections or by connections that are reused from a connection
pool. Equivalent to the Audit Logout Event Class.
FAILED_LOGIN_GROUP
Indicates that a principal tried to log on to SQL Server and failed. Events in this
class are raised by new connections or by connections that are reused from a
connection pool. Equivalent to the Audit Login Failed Event Class.
LOGIN_CHANGE_PASSWORD_GROUP
This event is raised whenever a login password is changed by way of ALTER
LOGIN statement or sp_password stored procedure. Equivalent to the Audit Login
Change Password Event Class.
APPLICATION_ROLE_CHANGE_PASSWORD_GR
OUP
This event is raised whenever a password is changed for an application role.
Equivalent to theAudit App Role Change Password Event Class.
SERVER_ROLE_MEMBER_CHANGE_GROUP
This event is raised whenever a login is added or removed from a fixed server role.
This event is raised for the sp_addsrvrolemember and sp_dropsrvrolemember
stored procedures. Equivalent to the Audit Add Login to Server Role Event Class.
DATABASE_ROLE_MEMBER_CHANGE_GROUP
This event is raised whenever a login is added to or removed from a database role.
This event class is raised for the sp_addrolemember, sp_changegroup, and
sp_droprolemember stored procedures. This event is raised on any Database role
member change in any database. Equivalent to the Audit Add Member to DB Role
Event Class.
BACKUP_RESTORE_GROUP
This event is raised whenever a backup or restore command is issued. Equivalent
to the Audit Backup/Restore Event Class.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
DBCC_GROUP
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
This event is raised whenever a principal issues any DBCC command. Equivalent
to the Audit DBCC Event Class.
SERVER_OPERATION_GROUP
This event is raised when Security Audit operations such as altering settings,
resources, external access, or authorization are used. Equivalent to the Audit
Server Operation Event Class.
DATABASE_OPERATION_GROUP
This event is raised when operations in a database, such as checkpoint or subscribe
query notification, occur. This event is raised on any database operation on any
database. Equivalent to the Audit Database Operation Event Class.
AUDIT_ CHANGE_GROUP
This event is raised whenever any audit is created, modified or deleted. This event
is raised whenever any audit specification is created, modified, or deleted. Any
change to an audit is audited in that audit.
SERVER_STATE_CHANGE_GROUP
This event is raised when the SQL Server service state is modified. Equivalent to
the Audit Server Starts and Stops Event Class.
SERVER_OBJECT_CHANGE_GROUP
This event is raised for CREATE, ALTER, or DROP operations on server objects.
Equivalent to theAudit Server Object Management Event Class.
SERVER_PRINCIPAL_CHANGE_GROUP
This event is raised when server principals are created, altered, or dropped.
Equivalent to theAudit Server Principal Management Event Class.
This event is raised when a principal issues the sp_defaultdb or
sp_defaultlanguage stored procedures or ALTER LOGIN statements. Equivalent
to the Audit Addlogin Event Class.
This event is raised on the sp_addlogin and sp_droplogin stored procedures. Also
equivalent to the Audit Login Change Property Event Class.
This event is raised for the sp_grantlogin, sp_revokelogin, or sp_denylogin stored
procedures. Equivalent to the Audit Login GDR Event Class.
DATABASE_CHANGE_GROUP
This event is raised when a database is created, altered, or dropped. This event is
raised whenever any database is created, altered or dropped. Equivalent to
the Audit Database Management Event Class.
DATABASE_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP statement is executed on
database objects, such as schemas. This event is raised whenever any database
object is created, altered or dropped.
Note
This could lead to very large quantities of audit records.
Equivalent to the Audit Database Object Management Event Class.
DATABASE_PRINCIPAL_CHANGE_GROUP
This event is raised when principals, such as users, are created, altered, or dropped
from a database. Equivalent to the Audit Database Principal Management Event
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Class. (Also equivalent to the Audit Add DB Principal Event Class, which occurs
on the deprecated sp_grantdbaccess, sp_revokedbaccess, sp_addPrincipal, and
sp_dropPrincipal stored procedures.)
This event is raised whenever a database role is added to or removed by using the
sp_addrole, sp_droprole stored procedures. This event is raised whenever any
database principals are created, altered, or dropped from any database.Equivalent
to the Audit Add Role Event Class.
SCHEMA_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP operation is performed
on a schema. Equivalent to the Audit Schema Object Management Event Class.
This event is raised on schema objects. Equivalent to the Audit Object Derived
Permission Event Class.
This event is raised whenever any schema of any database changes. Equivalent to
the Audit Statement Permission Event Class.
SERVER_PRINCIPAL_IMPERSONATION_GROUP
This event is raised when there is an impersonation within server scope, such as
EXECUTE AS <login>. Equivalent to the Audit Server Principal Impersonation
Event Class.
DATABASE_PRINCIPAL_IMPERSONATION_GR
OUP
This event is raised when there is an impersonation operation in the database
scope such as EXECUTE AS <principal> or SETPRINCIPAL. This event is
raised for impersonations done in any database. Equivalent to the Audit Database
Principal Impersonation Event Class.
SERVER_OBJECT_OWNERSHIP_CHANGE_GRO
This event is raised when the owner is changed for objects in server scope.
UP
Equivalent to the Audit Server Object Take Ownership Event Class.
DATABASE_OWNERSHIP_CHANGE_GROUP
This event is raised when you use the ALTER AUTHORIZATION statement to
change the owner of a database, and the permissions that are required to do that
are checked. This event is raised for any database ownership change on any
database on the server. Equivalent to the Audit Change Database Owner Event
Class.
DATABASE_OBJECT_OWNERSHIP_CHANGE_G
This event is raised when a change of owner for objects within database scope.
ROUP
This event is raised for any object ownership change in any database on the server.
Equivalent to the Audit Database Object Take Ownership Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GRO
UP
This event is raised when the permissions to change the owner of schema object
(such as a table, procedure, or function) is checked. This occurs when the ALTER
AUTHORIZATION statement is used to assign an owner to an object. This event
is raised for any schema ownership change for any database on the server.
Equivalent to the Audit Schema Object Take Ownership Event Class.
SERVER_PERMISSION_CHANGE_GROUP
This event is raised when a GRANT, REVOKE, or DENY is issued for
permissions in the server scope, such as creating a login. Equivalent to the Audit
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
Server Scope GDR Event Class.
SERVER_OBJECT_PERMISSION_CHANGE_GRO
UP
This event is raised whenever a GRANT, REVOKE, or DENY is issued for a
server object permission by any principal in SQL Server. Equivalent to the Audit
Server Object GDR Event Class.
DATABASE_PERMISSION_CHANGE_GROUP
This event is raised whenever a GRANT, REVOKE, or DENY is issued for a
statement permission by any principal in SQL Server (This applies to databaseonly events, such as granting permissions on a database).
This event is raised for any database permission change (GDR) for any database in
the server. Equivalent to the Audit Database Scope GDR Event Class.
DATABASE_OBJECT_PERMISSION_CHANGE_G
This event is raised when a GRANT, REVOKE, or DENY has been issued for
ROUP
database objects, such as assemblies and schemas. This event is raised for any
object permission change for any database on the server. Equivalent to the Audit
Database Object GDR Event Class.
SCHEMA_OBJECT_PERMISSION_CHANGE_GRO
UP
This event is raised whenever a grant, deny, revoke is performed against a schema
object. Equivalent to the Audit Schema Object GDR Event Class.
DATABASE_OBJECT_ACCESS_GROUP
This event is raised whenever database objects such as message type, assembly,
contract are accessed.
This event is raised for any access to any database.
Note
This could potentially lead to large audit records.
Equivalent to the Audit Database Object Access Event Class.
SCHEMA_OBJECT_ACCESS_GROUP
This event is raised whenever an object permission has been used in the schema.
Equivalent to theAudit Schema Object Access Event Class.
BROKER_LOGIN_GROUP
This event is raised to report audit messages related to Service Broker transport
security. Equivalent to the Audit Broker Login Event Class.
DATABASE_MIRRORING_LOGIN_GROUP
This event is raised to report audit messages related to database mirroring
transport security. Equivalent to the Audit Database Mirroring Login Event Class.
TRACE_CHANGE_GROUP
This event is raised for all statements that check for the ALTER TRACE
permission. Equivalent to theAudit Server Alter Trace Event Class.
Considerations
Server-level action groups cover actions across a SQL Server instance. For example, any schema object
access check in any database is recorded if the appropriate action group is added to a server audit
specification. In a database audit specification, only schema object accesses in that database are recorded.
Server-level actions do not allow for detailed filtering on database-level actions. A database-level audit, such
as audit of SELECT actions on the Customers table for logins in the Employee group is required to implement
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
detailed action filtering. Do not include server-scoped objects, such as the system views, in a user database
audit specification.
Database-Level Audit Action Groups
Database-Level Audit Action Groups are actions similar to SQL Server Security Audit Event classes. For more
information about event classes, see SQL Server Event Class Reference.
The following table describes the database-level audit action groups and provides their equivalent SQL
Server Event Class where applicable.
Action group name
Description
DATABASE_ROLE_MEMBER_CHANGE_
GROUP
This event is raised whenever a login is added to or removed from a database role. This
event class is used with the sp_addrolemember, sp_changegroup, and sp_droprolemember
stored procedures.Equivalent to the Audit Add Member to DB Role Event Class
DATABASE_OPERATION_GROUP
This event is raised when operations in a database, such as checkpoint or subscribe query
notification, occur. Equivalent to the Audit Database Operation Event Class.
DATABASE_CHANGE_GROUP
This event is raised when a database is created, altered, or dropped. Equivalent to the Audit
Database Management Event Class.
DATABASE_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP statement is executed on
database objects, such as schemas. Equivalent to the Audit Database Object Management
Event Class.
DATABASE_PRINCIPAL_CHANGE_GRO
UP
This event is raised when principals, such as users, are created, altered, or dropped from a
database. Equivalent to the Audit Database Principal Management Event Class. Also
equivalent to the Audit Add DB User Event Class, which occurs on deprecated
sp_grantdbaccess, sp_revokedbaccess, sp_adduser, and sp_dropuser stored procedures.
This event is raised whenever a database role is added to or removed using deprecated
sp_addrole and sp_droprole stored procedures. Equivalent to the Audit Add Role Event
Class.
SCHEMA_OBJECT_CHANGE_GROUP
This event is raised when a CREATE, ALTER, or DROP operation is performed on a
schema. Equivalent to the Audit Schema Object Management Event Class.
This event is raised on schema objects. Equivalent to the Audit Object Derived Permission
Event Class. Also equivalent to the Audit Statement Permission Event Class.
DATABASE_PRINCIPAL_IMPERSONATI
ON_GROUP
This event is raised when there is an impersonation within database scope such as
EXECUTE AS <user> or SETUSER. Equivalent to the Audit Database Principal
Impersonation Event Class.
DATABASE_OWNERSHIP_CHANGE_GR
This event is raised when you use the ALTER AUTHORIZATION statement to change
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
OUP
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
the owner of a database, and the permissions that are required to do that are checked.
Equivalent to the Audit Change Database Owner Event Class.
DATABASE_OBJECT_OWNERSHIP_CHA
This event is raised when a change of owner for objects within database scope occurs.
NGE_GROUP
Equivalent to the Audit Database Object Take Ownership Event Class.
SCHEMA_OBJECT_OWNERSHIP_CHANG
E_GROUP
Equivalent to the Audit Schema Object Take Ownership Event Class. This event is raised
when the permissions to change the owner of schema object such as a table, procedure, or
function is checked. This occurs when the ALTER AUTHORIZATION statement is used
to assign an owner to an object.
DATABASE_PERMISSION_CHANGE_GR
OUP
This event is raised whenever a GRANT, REVOKE, or DENY is issued for a statement
permission by any user in SQL Server for database-only events such as granting
permissions on a database. Equivalent to the Audit Database Scope GDR Event Class.
DATABASE_OBJECT_PERMISSION_CHA
NGE_GROUP
This event is raised when a GRANT, REVOKE, or DENY has been issued for database
objects, such as assemblies and schemas. Equivalent to the Audit Database Object GDR
Event Class.
SCHEMA_OBJECT_PERMISSION_CHANG
E_GROUP
This event is raised whenever a grant, deny, or revoke is issued for a schema object.
Equivalent to the Audit Schema Object GDR Event Class.
DATABASE_OBJECT_ACCESS_GROUP
This event is raised whenever database objects such as certificates and asymmetric keys
are accessed. Equivalent to the Audit Database Object Access Event Class.
SCHEMA_OBJECT_ACCESS_GROUP
This event is raised whenever an object permission has been used in the schema.
Equivalent to theAudit Schema Object Access Event Class.
Database-Level Audit Actions
Database-level actions support the auditing of specific actions directly on database schema and schema
objects, such as Tables, Views, Stored Procedures, Functions, Extended Stored Procedures, Queues,
Synonyms. Types, XML Schema Collection, Database, and Schema are not audited. The audit of schema
objects may be configured on Schema and Database, which means that events on all schema objects
contained by the specified schema or database will be audited. The following table describes database-level
audit actions.
Action
Description
SELECT
This event is raised whenever a SELECT is issued.
UPDATE
This event is raised whenever an UPDATE is issued.
Realizado por:
Geobani Ramírez Hernández
Juan Ticante Vicente
Arlett Morales Atzin
Ing. En Sistemas Computacionales
Materia: Sistemas Distribuidos 2
INSERT
This event is raised whenever an INSERT is issued.
DELETE
This event is raised whenever a DELETE is issued.
EXECUTE
This event is raised whenever an EXECUTE is issued.
RECEIVE
This event is raised whenever a RECEIVE is issued.
REFERENCES
This event is raised whenever a REFERENCES permission is checked.
Considerations
Database-level audit actions do not apply to Columns.
When the query processor parameterizes the query, the parameter can appear in the audit event log instead
of the column values of the query.
Audit-Level Audit Action Groups
You can also audit the actions in the auditing process. This can be in the server scope or the database scope.
In the database scope, it only occurs for database audit specifications. The following table describes auditlevel audit action groups.
Action group name
Description
AUDIT_ CHANGE_GROUP
This event is raised whenever one of the following commands are issued:
CREATE SERVER AUDIT
ALTER SERVER AUDIT
DROP SERVER AUDIT
CREATE SERVER AUDIT SPECIFICATION
ALTER SERVER AUDIT SPECIFICATION
DROP SERVER AUDIT SPECIFICATION
CREATE DATABASE AUDIT SPECIFICATION
ALTER DATABASE AUDIT SPECIFICATION
DROP DATABASE AUDIT SPECIFICATION
