等級保護(hù)項(xiàng)目SQL?Server審計(jì)方案

根據(jù)等級保護(hù)項(xiàng)目SQL Server審計(jì)需求，將SQL Server Default Trace文件保存半年以上。

解決方案

對于用戶來講，Default Trace只能關(guān)閉或開啟該跟蹤，無法修改任何參數(shù)。因此，我們只有將跟蹤文件同步出來保存。

計(jì)劃在備域控服務(wù)器上，通過Windows自帶的robocopy來同步集中交易數(shù)據(jù)庫的*.trc文件到本地，長期保存。

robocopy "\\10.198.1.111\e$\MSSQL12.XXX\MSSQL\Log" "D:\Robocopy\10.198.1.111" *.trc /MON:1 /mot:15 /mon:2

-- ==== Robocopy 介紹 ===============================================

Robocopy能實(shí)時(shí)監(jiān)視要備份的文件夾，只要文件夾修改到一定時(shí)間和程序，Robocopy就會立即開始備份。它會一直監(jiān)視文件夾，除非用戶自己終止。
　　[簡單命令]
　　robocopy d:\work e:\back  /e /copyall /mot:1 /mon:2
　　[參數(shù)講解]
　　上述命令表示復(fù)制文件夾所有信息到目標(biāo)文件夾并進(jìn)行監(jiān)視。執(zhí)行此命令后，命令提示符窗口如下圖所示。一旦時(shí)間過了一分鐘，并且源文件夾至少有或2處以上的修改，Robocopy就會自動啟動另一個(gè)進(jìn)程
，執(zhí)行上述備份操作。Robocopy能監(jiān)視源文件夾結(jié)構(gòu)、文件和文件夾名稱、大小、最后修改時(shí)間，在這里，甚至連屬性和權(quán)限等信息被修改時(shí)，Robocopy也會記為修改次數(shù)。

-- ==== Default Trace 介紹 ===============================================

SQL Server Default Trace 在SQL Server實(shí)例安裝后，默認(rèn)開啟。是SQL Server中默認(rèn)開啟的最輕量級跟蹤，由5個(gè)跟蹤文件（.trc）組成，每個(gè)文件的最大值為20MB，存儲在SQL Server log目錄。如下圖，當(dāng)SQL Server重啟后，或者當(dāng)當(dāng)前使用的文件達(dá)到最大值時(shí)，最舊的文件被刪除。

它記錄的有用的審計(jì)有 Object事件 和 Security Audit事件。

Objects事件包括：
  Object Altered
  Object Created
  Object Deleted

Security Audit事件包括：
  Audit Add DB user event
  Audit Add login to server role event
  Audit Add Member to DB role event
  Audit Add Role event
  Audit Add login event
  Audit Backup/Restore event
  Audit Change Database owner
  Audit DBCC event
  Audit Database Scope GDR event (Grant, Deny, Revoke)
  Audit Login Change Property event
  Audit Login Failed
  Audit Login GDR event
  Audit Schema Object GDR event
  Audit Schema Object Take Ownership
  Audit Server Starts and Stops