有1.000多个条目的服务器审计

Question

在Mssql 2008r2上，我为所有登录和注销创建了一个服务器审核：

USE MASTER
GO

CREATE SERVER AUDIT audit_test                                           
TO FILE (FILEPATH = 'D:\Audit')
GO


CREATE SERVER AUDIT SPECIFICATION audit_test_spec       
FOR SERVER AUDIT [audit_test]
ADD (FAILED_LOGIN_GROUP),
ADD (SUCCESSFUL_LOGIN_GROUP),
ADD (LOGOUT_GROUP)
WITH (STATE=ON)
GO

为了获得最大的文件空间，我设置了1024 MB，这已经足够了。

但是，当我从进入安全/审计/审计_测试/视图审计日志时，它只显示最新的1.000行。另一方面，审计生成的文件是317 MB，所以我猜它有超过1.000行。

我甚至尝试设置一个过滤器，但这没有帮助:没有出现在最新的1.000线之外。

如何读取审计日志文件？

Answer 1

您是否尝试过使用sys.fn_到达_审计_文件阅读您的审核？

-- query all audit files in the D:\audit directory
SELECT *
 FROM sys.fn_get_audit_file('D:\audit\*.sqlaudit', default, default)

使用的CREATE审核TSQL命令没有指定

MAXSIZE ={ max_size }默认值是无限的。

MAX_ROLLOVER_FILES ={整型无限制}默认值是无限的。

MAX_FILES =integer指定可以创建的审计文件的最大数量。在达到限制时，不会滚动到第一个文件。当达到MAX_FILES限制时，任何导致生成额外审计事件的操作都将失败，从而导致错误。

不确定MAX_FILES的默认值是什么，但它可能是FS的限制，大约在20亿左右。

因此，不应该对生成的审计文件的大小或其中存储的行数有任何限制。