Configurazione della policy di audit per Microsoft SQL Server - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della policy di audit per Microsoft SQL Server

Un'istanza database SQL Server dispone dell'audit del server RDS_DAS_AUDIT, gestito da Amazon RDS. È possibile definire le policy per registrare gli eventi del server nelle specifiche di audit del server RDS_DAS_SERVER_AUDIT_SPEC. È possibile creare una specifica di audit del database, ad esempio RDS_DAS_DB_<name>, e definire le policy per registrare gli eventi del database. Per l'elenco dei gruppi di azioni di audit a livello di server e database, consulta Azioni e gruppi di azioni di audit di SQL Server nella documentazione di Microsoft SQL Server.

La policy del server predefinita monitora solo gli accessi non riusciti e le modifiche a qualsiasi specifica di audit del database o del server per i flussi di attività del database.

Le limitazioni relative all'audit e alle specifiche di audit sono le seguenti:

  • Non è possibile modificare le specifiche di audit del server o del database quando il flusso di attività del database è bloccato.

  • Non è possibile modificare la specifica di audit del server RDS_DAS_AUDIT.

  • Non è possibile modificare la specifica di audit di SQL Server RDS_DAS_CHANGES o le relative specifiche di audit del server RDS_DAS_CHANGES_AUDIT_SPEC.

  • Quando si crea una specifica di audit del database, è necessario utilizzare il formato RDS_DAS_DB_<name>, ad esempio RDS_DAS_DB_databaseActions.

Importante

Per le classi di istanze più piccole, consigliamo di non eseguire l'audit di tutti i dati, ma solo di quelli necessari. In tal modo si riduce l'impatto sulle prestazioni dei flussi di attività del database su queste classi di istanze.

Il seguente codice di esempio modifica la specifica di audit del server RDS_DAS_SERVER_AUDIT_SPEC e verifica qualsiasi azione di disconnessione e di accesso completato:

ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC]
      WITH (STATE=OFF);
ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC]
      ADD (LOGOUT_GROUP),
      ADD (SUCCESSFUL_LOGIN_GROUP)
      WITH (STATE = ON );

Il codice di esempio seguente crea una specifica di audit del database RDS_DAS_DB_database_spec e la collega alla specifica di audit del server RDS_DAS_AUDIT:

USE testDB;
CREATE DATABASE AUDIT SPECIFICATION [RDS_DAS_DB_database_spec]
     FOR SERVER AUDIT [RDS_DAS_AUDIT]
     ADD ( INSERT, UPDATE, DELETE  
          ON testTable BY testUser )  
     WITH (STATE = ON);

Dopo aver configurato le specifiche di audit, assicurati che le specifiche RDS_DAS_SERVER_AUDIT_SPEC e RDS_DAS_DB_<name> siano impostate sullo stato ON. A questo punto i dati di audit possono essere inviati al flusso di attività del database.