SQL Server Audit
En Amazon RDS, puede auditar las bases de datos de Microsoft SQL Server mediante el mecanismo de auditoría de SQL Server integrado. Puede crear auditorías y especificaciones de auditoría del mismo modo que las crea para los servidores de base de datos locales.
RDS carga los registros de auditoría completados en su bucket de S3 mediante el rol de IAM que proporciona. Si habilita la retención, RDS conservará sus registros de auditoría en su instancia de base de datos durante el periodo de tiempo configurado.
Para obtener más información, consulte la sección sobre SQL Server Audit (motor de base de datos)
Auditoría de SQL Server con flujos de actividad de bases de datos
Puede utilizar los flujos de actividad de bases de datos para RDS para integrar los eventos de SQL Server Audit con las herramientas de supervisión de la actividad de las bases de datos de Imperva, McAfee e IBM. Para obtener más información acerca de cómo auditar con flujos de actividad de bases de datos para RDS SQL Server, consulte Auditoría en Microsoft SQL Server
Temas
- Compatibilidad con SQL Server Audit
- Incorporación de SQL Server Audit a las opciones de instancia de base de datos
- Uso de SQL Server Audit
- Visualización de registros de auditoría
- Uso de SQL Server Audit con instancias Multi-AZ
- Configuración de un bucket de S3
- Creación manual de un rol de IAM para SQL Server Audit
Compatibilidad con SQL Server Audit
En Amazon RDS, a partir de SQL Server 2016, todas las ediciones de SQL Server admiten auditorías de nivel de servidor y la edición Enterprise también admite auditorías de nivel de base de datos. A partir de SQL Server 2016 (13.x) SP1, todas las ediciones admiten tanto auditorías de nivel de servidor como de nivel de base de datos. Para obtener más información, consulte SQL Server Audit (motor de base de datos)
RDS admite ajustar la siguiente configuración de opciones para SQL Server Audit.
| Ajuste de la opción | Valores válidos | Descripción |
|---|---|---|
IAM_ROLE_ARN |
Nombre de recurso de Amazon (ARN) válido en el formato arn:aws:iam::. |
ARN del rol de IAM que concede acceso al bucket de S3 donde desea almacenar sus registros de auditoría. Para obtener más información, consulte Nombres de recurso de Amazon (ARN) en la Referencia general de AWS. |
S3_BUCKET_ARN |
ARN válido en el formato arn:aws:s3::: o arn:aws:s3::: |
ARN para el bucket de S3 donde desea almacenar sus registros de auditoría. |
ENABLE_COMPRESSION |
true o false |
Controla la compresión de registros de auditoría. De forma predeterminada, la compresión está habilitada (establecida en true). |
RETENTION_TIME |
0 De a 840 |
El tiempo de retención (en horas) durante el que se conservan los registros de auditoría de SQL Server en su instancia RDS. De forma predeterminada, la retención está deshabilitada. |
Uso de SQL Server Audit con instancias Multi-AZ
En el caso de las instancias Multi-AZ, el proceso de envío de archivos de registro de auditoría a Amazon S3 es similar al de las instancias Single-AZ. No obstante, hay algunas diferencias importantes:
-
Los objetos de especificación de auditoría de base de datos se replican en todos los nodos.
-
Las auditorías de servidor y las especificaciones de auditoría de servidor no se replican en nodos secundarios. En su lugar, debe crearlas o modificarlas manualmente.
Para capturar auditorías de servidor o una especificación de auditoría de servidor desde ambos nodos:
-
Cree una auditoría de servidor o una especificación de auditoría de servidor en el nodo principal.
-
Realice una conmutación por error al nodo secundario y cree una auditoría de servidor o una especificación de auditoría de servidor con los mismos nombre y GUID en el nodo secundario. Use el parámetro
AUDIT_GUIDpara especificar el GUID.
