Configuración de la política de auditoría para Amazon RDS para Microsoft SQL Server - Amazon Relational Database Service

Configuración de la política de auditoría para Amazon RDS para Microsoft SQL Server

Una instancia de base de datos de SQL Server tiene la auditoría del servidor RDS_DAS_AUDIT, que administra Amazon RDS. Puede definir políticas para registrar los eventos del servidor en la especificación de auditoría del servidor RDS_DAS_SERVER_AUDIT_SPEC. Puede crear una especificación de auditoría de base de datos, por ejemplo RDS_DAS_DB_<name>, y definir políticas para registrar eventos de la base de datos. Para obtener la lista de grupos de acciones de auditoría a nivel de servidor y base de datos, consulte SQL Server Audit Action Groups and Actions (Grupos de acciones y acciones de auditoría de SQL Server) en la documentación de Microsoft SQL Server.

La política de servidor predeterminada solo supervisa los inicios de sesión fallidos y los cambios en cualquier especificación de auditoría de bases de datos o servidores para los flujos de actividad de las bases de datos.

Estas son algunas de las limitaciones de la auditoría y las especificaciones de auditoría:

  • No puede modificar las especificaciones de auditoría del servidor o la base de datos cuando el flujo de actividad de la base de datos esté bloqueado.

  • No puede modificar la especificación de auditoría RDS_DAS_AUDIT del servidor.

  • No puede modificar la auditoría de SQL Server RDS_DAS_CHANGES ni su especificación de auditoría de servidor relacionada RDS_DAS_CHANGES_AUDIT_SPEC.

  • Al crear una especificación de auditoría de base de datos, debe utilizar el formato RDS_DAS_DB_<name>; por ejemplo,RDS_DAS_DB_databaseActions.

importante

Para clases de instancias más pequeñas, recomendamos que solo audite los datos necesarios. Esto ayuda a reducir el impacto en el rendimiento de los flujos de actividad de las bases de datos en estas clases de instancias.

El siguiente código de ejemplo modifica la especificación de auditoría del servidor RDS_DAS_SERVER_AUDIT_SPEC y audita todas las acciones de cierre de sesión y de inicio de sesión que se realizan correctamente:

ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC] WITH (STATE=OFF); ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC] ADD (LOGOUT_GROUP), ADD (SUCCESSFUL_LOGIN_GROUP) WITH (STATE = ON );

El siguiente código de ejemplo crea una especificación de auditoría de base de datos RDS_DAS_DB_database_spec y la asocia a la auditoría del servidor RDS_DAS_AUDIT:

USE testDB; CREATE DATABASE AUDIT SPECIFICATION [RDS_DAS_DB_database_spec] FOR SERVER AUDIT [RDS_DAS_AUDIT] ADD ( INSERT, UPDATE, DELETE ON testTable BY testUser ) WITH (STATE = ON);

Una vez configuradas las especificaciones de auditoría, asegúrese de que las especificaciones RDS_DAS_SERVER_AUDIT_SPEC y RDS_DAS_DB_<name> estén configuradas en el estado ON. Ahora pueden enviar los datos de auditoría al flujo de actividad de su base de datos.