Server审计

Question

形势：

我正在研究一些基本的SQL审计设置(为了遵从性和安全性)，包括服务器和数据库级别的规范。我知道规范组应该拥有我所需的90%的遵从性要求，但是有一个关于生成后如何处理日志的问题。在某些情况下，我还需要语句级/DML日志记录。

我所看到的选择：

1. 生成到文件(S)作为.sqlaudit文件，并编写一个SQL查询/作业来获取它们并将它们存储/插入到一个单独的“审核”数据库中，然后利用SSRS进行前端过滤和报告？
2. 将审计事件发送到Windows /Application日志，然后使用Powershell将日志解压缩到用于过滤和报告的前端脚本，可能会使用简单的外网格视图进行过滤等等。
3. 使用扩展事件，因为我实际上不会对审计函数采取任何“操作”，只需要捕获/记录数据。不过，我不认为原始的.xel文件给了我很大的灵活性，我需要将它们导入数据库进行分析。(增加了SQL开销？)
4. 购买审计软件，并完成它。

有什么想法？如果太宽泛的话请告诉我。

Answer 1

这个问题可能被标记得太宽泛了，因为选择的解决方案取决于谁负责配置和数据收集。

• 选项1(带有SSRS报告的审计DB )使用sys.fn_get_audit_file函数和ETL解决方案(sprocs、SSIS等)的组合工作。进入数据库。
• 选项2(使用PoSh的应用程序/安全日志)是服务器管理员帮助收集数据的选项，但是解析各种属性涉及什么？服务器管理员能用Splunk等来帮助日志导入吗？
• 选项3(扩展事件)将需要XQuery调用来解析数据捕获，但它是健壮的。XE缺少的一个特性是:如果您的业务希望在无法审计的情况下关闭一个实例，我相信只有SQL审计才能做到这一点，而不是XE。
• 选项4(第三方)将收缩-包装上述任何组合。它还可以将配置和维护的责任委托给另一个业务团队(IT安全或内部审计)，以便DBA和其他系统管理员在受到开发人员和最终用户等审计的情况下脱离循环。