在SQL Server 2008里安裝審計，步驟如下：

1. 給每個SQL Server 2008具體實例創(chuàng)建一個SQL Server審計

2. 創(chuàng)建服務(wù)器審計規(guī)范、數(shù)據(jù)庫審計規(guī)范或者其中的一個

3. 激活SQL Server審計

4. 查看審計數(shù)據(jù)

在這一技巧中，我將復習其中的每一步并舉例說名它們怎么進行的。注意大多數(shù)情況下這些例子是基于T-SQL語句的。但是，這些步驟也能夠用 SQL Server Management Studio界面來執(zhí)行。如果想了解更多有關(guān)SQL Server Management Studio用法的信息，請查看 Microsoft SQL Server聯(lián)機叢書。

創(chuàng)建SQL Server審計

***步你應(yīng)該在SQL Server 2008的一個實例上創(chuàng)建審計，這樣就能創(chuàng)建一個SQL Server審計。審計就是為與數(shù)據(jù)庫引擎相關(guān)的具體事件集合配置的安全對象。你可以在SQL Server 2008里的一個實例上創(chuàng)建多個審計。

在創(chuàng)建審計時，你必須給它指定一個名稱和事件輸出的目標位置。目標文件可以是二進制的文件、Windows Security日志或Windows Application日志。你還可以給審計對象指定一個或更多個可選參數(shù)。

你可以用CREATE SERVER AUDIT語句，如下所示：

 USE master  
GO 
CREATE SERVER AUDIT SrvAudit 
TO FILE (FILEPATH='C:\Data'， MAXSIZE=5 MB) 
WITH (QUEUE_DELAY = 3000)

注意，你必須在主數(shù)據(jù)庫中創(chuàng)建一個審計。由于審計是和SQL Server實例相聯(lián)系的，因此你不能在用戶數(shù)據(jù)庫中創(chuàng)建。

***行的CREATE SERVER AUDIT語句僅規(guī)定審計名稱（如SrvAudit）。第二行的TO 子句確定事件輸出時的目標位置。例如，我想將輸出結(jié)果保存在文件中，所以我必須指定TO FILE并規(guī)定FILEPATH 值。注意這只是一個路徑名。SQL Server將自動命名輸出文件，如下所示：

 ＜audit_name＞_＜audit_GUID＞_＜partition_number＞.sqlaudit

在上面的例子中，TO FILE語句還包括了MAXSIZE參數(shù)，MAXSIZE參數(shù)將文件大小限制為5 MB。該參數(shù)是TO FILE子句可選參數(shù)之一。如果你將審計數(shù)據(jù)遷到Application日志或 Security 日志，你就只需要指定日志名選項，示例如下：

 CREATE SERVER AUDIT SrvAudit2 
TO APPLICATION_LOG 
WITH (QUEUE_DELAY = 3000)

就像你看到的一樣，TO FILE子句已經(jīng)被TO APPLICATION_LOG子句所替代并且還沒有另外規(guī)定其他的參數(shù)。

***一行在CREATE SERVER AUDIT 語句中的就是一個 WITH子句。該子句支持很多個選項，限制了創(chuàng)建審計的方法。在這種情況下，我使用的是QUEUE_DELAY參數(shù)并將它的值設(shè)為3000。這個參數(shù)指定了在創(chuàng)建審計之前要耗費的毫秒數(shù)并且。默認數(shù)字為 1000 毫秒（即1秒）。

要了解所有CREATE SERVER AUDIT 語句可選擇項和本篇文章中的其他語句，請查看Microsoft SQL Server聯(lián)機叢書。

#p#

創(chuàng)建服務(wù)器審計規(guī)范

你創(chuàng)建SQL Server審計之后，必須創(chuàng)建一個服務(wù)器審計規(guī)范或者是一個數(shù)據(jù)庫審計規(guī)范或者是其中的每個。一個服務(wù)器審計規(guī)范就是和具體的SQL Server審計相關(guān)的一個或多個服務(wù)審計。活動組就數(shù)據(jù)庫引擎暴露出來的一組相關(guān)的事件，例如，我們在進行安全審計操作時，SERVER_OPERATION_GROUP行動組就出現(xiàn)了，如當用戶在改變服務(wù)器設(shè)置時。你可以在每個審計上只創(chuàng)建一個服務(wù)器審計。但是，你可以對審計規(guī)范增加多個活動組。創(chuàng)建一個服務(wù)器審計規(guī)范，你需要在主數(shù)據(jù)庫上運行CREATE SERVER AUDIT SPECIFICATION，如下所示：

USE master  
GO 
CREATE SERVER AUDIT SPECIFICATION SrvAuditSpec 
FOR SERVER AUDIT SrvAudit 
ADD (SUCCESSFUL_LOGIN_GROUP)， 
ADD (FAILED_LOGIN_GROUP) 
WITH (STATE=ON)

***行CREATE SERVER AUDIT SPECIFICATION語句規(guī)定了審計規(guī)范名（SrvAuditSpec）。第二行FOR SERVER AUDIT子句指定了與審計規(guī)范相關(guān)的審計名（SrvAudit）。第三行和第四行為 增加了規(guī)范活動組的ADD 子句。在這種情況下，我增加了SUCCESSFUL_LOGIN_GROUP和FAILED_LOGIN_GROUP活動組，跟蹤試圖登錄到SQL Server實例的安全主管。

***一行 CREATE SERVER AUDIT SPECIFICATION語句為WITH 子句。WITH 子句包括激活規(guī)范的在STATE參數(shù)。默認值不能激活審計規(guī)范（STATE=OFF）。如果你在創(chuàng)建時不能激活審計規(guī)范，你就必須過段時間再激活，在你能夠?qū)徲嫽顒咏M之前進行激活。

創(chuàng)建數(shù)據(jù)庫審計規(guī)范

和服務(wù)器的審計規(guī)范不一樣，數(shù)據(jù)庫審計規(guī)范是具體針對數(shù)據(jù)庫的。但是它和服務(wù)器審計規(guī)范相同的是，你可以增加審計活動組，但是它們僅僅針對數(shù)據(jù)庫。此外，你可以給規(guī)范增加單獨的審計活動。審計活動就是數(shù)據(jù)庫具體的活動，如刪除數(shù)據(jù)或運行存儲程序。

創(chuàng)建數(shù)據(jù)庫審計規(guī)范，在目標數(shù)據(jù)庫中運行CREATE DATABASE AUDIT SPECIFICATION語句，例如：

USE AdventureWorks2008  
GO 
CREATE DATABASE AUDIT SPECIFICATION DbAuditSpec 
FOR SERVER AUDIT SrvAudit 
ADD (DATABASE_OBJECT_CHANGE_GROUP)， 
ADD (SELECT， INSERT， UPDATE， DELETE 
ON Schema::HumanResources BY dbo) 
WITH (STATE=ON)

***行CREATE DATABASE AUDIT SPECIFICATION語句指定了規(guī)范（DbAuditSpec），第二行為FOR SERVER AUDIT 子句，用它可以判斷和規(guī)范相關(guān)的審計。接下來，我增加了一個審計活動組，在這里就是 DATABASE_OBJECT_CHANGE_GROUP。在對AdventureWorks2008 數(shù)據(jù)庫執(zhí)行CREATE、ALTER 或DROP語句時就會出現(xiàn)這個活動組。

第二個ADD 子句制定了單獨審計活動，而不是一個活動組。這樣，審計活動就是SELECT、INSERT、UPDATE和 DELETE。但是你要注意，下面一行包含一個ON子句指定的HumanResources schema和dbo安全主管。結(jié)果，只要dbo在HumanResources schema中查詢一個對象或在 AdventureWorks2008數(shù)據(jù)庫中插入、更新或刪除，SQL Server就會將事件記入日志。

***，CREATE DATABASE AUDIT SPECIFICATION語句中的***一個子句就是WITH子句。跟上次一樣，你可以在操作完之后就激活審計規(guī)范或者過一段時間之后再進行激活。

#p#

激活SQL Server審計

和我們剛剛回顧的審計規(guī)范一樣，CREATE SERVER AUDIT 語句中的WITH子句并不支持STATE參數(shù)。也就是說你必須在單獨的一步中激活審計，如下面的語句中所示：

USE master  
GO 
ALTER SERVER AUDIT SrvAudit 
WITH (STATE=ON)

你可以看到，我使用的是ALTER SERVER AUDIT 語句更改我之前創(chuàng)建的SQL Server審計（SrvAudit）。ALTER SERVER AUDIT語句中的WITH子句支持被我設(shè)置成ON的STATE參數(shù)，SQL Server會審計這些具體事件。

查看審計數(shù)據(jù)

你可以在 SQL Server Management Studio中用Log File Viewer查看審計數(shù)據(jù)。另外如果你創(chuàng)建SQL Server審計將事件保存到Application日志或者Security日志，這樣你就可以用Event Viewer查看這些數(shù)據(jù)。我認為回顧事件信息最簡單的方法就是將審計數(shù)據(jù)保存到一個二進制文件中，然后用Log File Viewer回顧這些數(shù)據(jù)。

要訪問Log File Viewer，就要打開SQL Server Management Studio，擴展Security節(jié)點。接下來選擇你要復習的審計，然后點擊View Audit Log發(fā)送Log File Viewer。圖1表示以上的例題中SQL Server Audit (SrvAudit)事件實例。

 
圖1：在Log File Viewer中查看審計數(shù)據(jù)

以上就是安裝審計以及回顧審計數(shù)據(jù)的步驟。SQL Server 2008讓這些步驟比以前版本執(zhí)行更加簡單。你只需要簡單創(chuàng)建SQL Server審計，并附上一到兩個審計規(guī)范，然后激活。其余的工作都由SQL Server完成。要了解更多有關(guān)審計方面的信息，請查看微軟SQL Server聯(lián)機叢書。

【編輯推薦】

1. 使用SQL Server 2008管理非結(jié)構(gòu)化數(shù)據(jù)
2. SQL Server 2008 數(shù)據(jù)挖掘的概念
3. 視頻教程下載：SQL Server 2008 性能管理