Configuration de la politique d'audit pour Microsoft SQL Server

Une instance de base de données SQL Server comporte l'audit de serveur RDS_DAS_AUDIT, qui est géré par Amazon RDS. Vous pouvez définir les politiques d'enregistrement des événements de serveur dans la spécification d'audit de serveur RDS_DAS_SERVER_AUDIT_SPEC. Vous pouvez créer une spécification d'audit de base de données, telle que RDS_DAS_DB_<name>, et définir les politiques d'enregistrement des événements de base de données. Pour obtenir la liste des groupes d'actions d'audit au niveau du serveur et de la base de données, consultez Actions et groupes d'actions d'audit SQL Server dans la documentation sur Microsoft SQL Server.

La politique de serveur par défaut surveille uniquement les échecs de connexion et les modifications apportées aux spécifications d'audit de base de données ou de serveur pour les flux d'activité de base de données.

Les limites de l'audit et des spécifications d'audit sont les suivantes :

Vous ne pouvez pas modifier les spécifications d'audit de serveur ou de base de données lorsque le flux d'activité de base de données est à l'état verrouillé.
Vous ne pouvez pas modifier la spécification RDS_DAS_AUDIT d'audit de serveur.
Vous ne pouvez pas modifier l'audit SQL Server RDS_DAS_CHANGES ni sa spécification d'audit de serveur associée RDS_DAS_CHANGES_AUDIT_SPEC.
Lors de la création d'une spécification d'audit de base de données, vous devez utiliser le format RDS_DAS_DB_<name>, par exemple RDS_DAS_DB_databaseActions.

Important

Pour les classes d'instances plus petites, nous vous recommandons de ne pas auditer toutes les données, mais seulement les données requises. Cela permet de réduire l'impact des flux d'activité de base de données sur les performances de ces classes d'instance.

L'exemple de code suivant modifie la spécification d'audit de serveur RDS_DAS_SERVER_AUDIT_SPEC et audite toute déconnexion et toute action de connexion réussie :


ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC]
      WITH (STATE=OFF);
ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC]
      ADD (LOGOUT_GROUP),
      ADD (SUCCESSFUL_LOGIN_GROUP)
      WITH (STATE = ON );

L'exemple de code suivant crée une spécification d'audit de base de données RDS_DAS_DB_database_spec et l'attache à l'audit de serveur RDS_DAS_AUDIT :


USE testDB;
CREATE DATABASE AUDIT SPECIFICATION [RDS_DAS_DB_database_spec]
     FOR SERVER AUDIT [RDS_DAS_AUDIT]
     ADD ( INSERT, UPDATE, DELETE  
          ON testTable BY testUser )  
     WITH (STATE = ON);

Une fois les spécifications d'audit configurées, veillez à ce que les spécifications RDS_DAS_SERVER_AUDIT_SPEC et RDS_DAS_DB_<name> soient définies sur l'état ON. Elles peuvent désormais envoyer les données d'audit à votre flux d'activité de base de données.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration d'audit unifié Oracle

Démarrage d'un flux d'activité de base de données