如何启用MS SQL审计日志
使用EventLog Analyzer分析MS SQL日志,你需要先启用MS SQL服务器中的审计。
启用MS SQL服务器中的审计,需要:
-
创建一个SQL服务器审计对象用于审计
-
创建一个服务器审计规范
-
启用审计对象
一旦SQL服务器审计对象和服务器审计规范被创建并配置,EventLog Analyzer将开始收集分析MSSQL审计应用日志文件。
|
MS SQL审计日志文件仅支持MS SQL企业和数据中心版本。 |
|
注意: 确保MS SQL服务器作为主机加入到了EventLog Analyzer服务器。如果没有,点击这里添加主机。 |
创建一个SQL服务器审计对象
进入MS SQL服务器管理工作室对象管理器的,创建一个SQL服务器审计对象:
-
在对象管理器中,依次选择安全以及安全节点审计
-
右击审计并选择新建审计打开创建新审计页面。
-
在审计名称内指定审计对象的名称。
- 在审计目标内选择应用日志类型
点击是接受其他默认设置并保存新的审计规范。
创建一个服务器审计规范
在对象管理器中,右击服务器审计规范并点击新建服务器审计规范打开创建服务器审计规范窗口。
-
在名称内指定服务器审计的名称。
-
从审计下拉菜单中选择审计对象。
-
在动作面板,从列表中选择审计动作类型。
- FAILED_LOGIN_GROUP
- SUCCESSFUL_LOGIN_GROUP
- DATABASE_OBJECT_CHANGE_GROUP
- DATABASE_PRINCIPAL_CHANGE_GROUP
- SCHEMA_OBJECT_CHANGE_GROUP
- SERVER_PRINCIPAL_CHANGE_GROUP
- LOGIN_CHANGE_PASSWORD_GROUP
- SERVER_STATE_CHANGE_GROUP
点击是保存服务器审计规范。
启用审计对象
现在启用创建的审计对象,在对象管理器中点击审计,右击创建的审计对象,然后点击启动审计。审计将启动,
EventLog Analyzer将从作为主机加入到EventLog Analyzer服务器的MS SQL服务器收集日志文件。
|
