C2审核模式(c2 audit mode)
SQL Server C2 Audit 是为了满足美国国防部针对计算机的安全访问的安全评级要求而引入的。 SQL C2Audit 可以记录shutdown,restart,成功和失败的Login,成功或者失败访问数据库对象,所欲数据定义的执行,数据访问的控制,数据操作的语句等的。Audit的内容包括操作时间,操作账户,事件,目标服务器名称,HOSTNAME,应用程序名,服务器Process ID,数据库名称等。
c2 审核模式服务器配置选项
可以通过 SQL Server Management Studio 或使用 sp_configure 中的 c2 audit mode 选项来配置 C2 审核模式。 选择此选项将配置服务器,以记录对语句和对象的失败和成功的访问尝试。 这些信息可以帮助您了解系统活动并跟踪可能的安全策略冲突。
注意:
后续版本的 Microsoft SQL Server 将删除该功能。请避免在新的开发工作中使用该功能,并着手修改当前还在使用该功能的应用程序。 C2 安全标准已经由通用准则认证所取代。
sp_configure 'show advanced options', 1 ;
GO
RECONFIGURE ;
GO
sp_configure 'c2 audit mode', 1 ;
GO
RECONFIGURE ;
GO
注意:在启用C2 Audit之后需要重启SQL Server servcie生效。
审核日志文件
C2 审核模式数据保存在实例的默认数据目录中的某个文件内。 如果审核日志文件达到了 200 MB 的大小限制,SQL Server 将创建一个新文件、关闭旧文件并将所有新的审核记录写入新文件。 此过程将继续下去,直到审核数据目录已满或审核被关闭。 若要确定 C2 跟踪的状态,请查询 sys.traces 目录视图。
重要提示:
C2 审核模式将大量事件信息保存在日志文件中,可能会导致日志文件迅速增大。 如果保存日志的数据目录空间不足,SQL Server 将自行关闭。 如果将审核设置为自动启动,则必须使用 -f 标志(跳过审核)重新启动该实例或为审核日志释放更多磁盘空间。
查看C2 Audit的信息可以使用SQL Profiler或者::fn_trace_gettable函数。
使用C2 Audit需要注意:
1. C2 Audit需要记录SQL Server的每一个操作,所以会降低数据库性能。
2. C2 Audit会产生大量的文件可能导致磁盘空间不足。如果空间不足的话可能导致SQL Server服务停止。
综上如果你想要记录SQL Server详细的操作,C2 Audit是一个不错的选择。在启用的同时要考虑其他性能或者磁盘问题。
