none
Audited Result in Server Audit Specification RRS feed

  • שאלה

  • הי,

    נתקלתי בבעיה שקשורה ל Audit Server ב SQL Server 2014.

    יצרתי Audit Server ולאחר מכן Audit Server Specification עם Audit Action Group הרלוונטיים.

    בטבלה sys.server_audit_specification_details אשר מכילה מידע על ה Audit Server specification יש עמודה בשם audited_result שיכולה להכיל את אחד מהערכים הבאים: SUCCESS, FAILURE, SUCCEAS AND FAILURE.

    אני רוצה שחלק מה Audit Action Group יתפסו אירועים רק במקרה של כישלון, זאת אומרת שעבור Audit Action Group מסוים הערך בעמודה audited_result יהיה FAILURE.

    להבנתי ההגדרה של ערכים אלו  ( כלומר באיזה מקרה אירוע יוצג, במקרה של כישלון בלבד או במקרה של הצלחה בלבד או במקרה של הצלחה וכישלון) נעשה ברמת ה windows system.

    אשמח אם מישהו יכול לעזור בנושא ולספק מידע כיצד ניתן לקבוע את הערכים הללו.

    תודה מראש,

    רונן

    יום רביעי 22 מרץ 2017 08:18

כל התגובות

  • הי,

    נתקלתי בבעיה שקשורה ל Audit Server ב SQL Server 2014.

    יצרתי Audit Server ולאחר מכן Audit Server Specification עם Audit Action Group הרלוונטיים.

    בטבלה sys.server_audit_specification_details אשר מכילה מידע על ה Audit Server specification יש עמודה בשם audited_result שיכולה להכיל את אחד מהערכים הבאים: SUCCESS, FAILURE, SUCCEAS AND FAILURE.

    אני רוצה שחלק מה Audit Action Group יתפסו אירועים רק במקרה של כישלון, זאת אומרת שעבור Audit Action Group מסוים הערך בעמודה audited_result יהיה FAILURE.

    להבנתי ההגדרה של ערכים אלו  ( כלומר באיזה מקרה אירוע יוצג, במקרה של כישלון בלבד או במקרה של הצלחה בלבד או במקרה של הצלחה וכישלון) נעשה ברמת ה windows system.

    אשמח אם מישהו יכול לעזור בנושא ולספק מידע כיצד ניתן לקבוע את הערכים הללו.

    תודה מראש,

    רונן

    ברוך הבא לפורום,

    אולי הנקודות הבאות יוכלו לעזור להבין את הבסיס בהקשר של השאלה

    >> ביקורת (audit) בשרתי SQL מבוססת על אירועים מורחבים (Extended Events). אתה תמיד יכול ליצור אירוע מורחב בצורה ישירה ולנטר רק פעולות שנכשלו. אניע לא בטוח שהבנתי ת הצרכים שלך אבל במבט ראשון זה נראה לי כפתרון שהייתי בוחר לפי התיאור שלך כפי שאני מבין.

    >> להבנתי ההגדרה של ערכים אלו  ( כלומר באיזה מקרה אירוע יוצג, במקרה של כישלון בלבד או במקרה של הצלחה בלבד או במקרה של הצלחה וכישלון) נעשה ברמת ה windows system.

    פעולת הביקורת היא פנימית בשרת ה SQL, אבל ישנה אפשרות להגדיר Audit destination שיהיה Windows Security log ובמקרה זה השרת לא יכול לכתוב ל Windows Security log בלי לבצע הגדרה הרמת מערכת ההפעלה. תוכל לקרוא יותר על נקודה זו כאן.

    >> אני רוצה שחלק מה Audit Action Group יתפסו אירועים רק במקרה של כישלון

    תבדוק אם הקישור הבא עונה על הצורך שלך:
    https://www.mssqltips.com/sqlservertip/1735/auditing-failed-logins-in-sql-server/



    signature   Ronen Ariely
     [Personal Site]    [Blog]    [Facebook]    [Linkedin]


    יום רביעי 22 מרץ 2017 11:20
    מנחה דיון
  • תודה רונן

    אני אבדוק את נושא האירועים המורחבים אולי זה אכן יעזור לי בפתרון הבעיה.

    כמו שציינת ניתן להגדיר את ה Audit destination שיהיה Windows Security Log  אך ניתן שיהיה  Windows Application Log או

    File System.

    מה שאני מנסה ליישם זה הקשחה של SQL Server לפי מסמך של DISA.

    סעיף לדוגמא:

    Run the following code to verify that all configuration-related actions are being audited:
    USE [master];
    GO
    SELECT * FROM sys.server_audit_specification_details WHERE server_specification_id =
    (SELECT server_specification_id FROM sys.server_audit_specifications WHERE [name] = '<server_audit_specification_name>');
    GO

    Examine the list produced by the query.

    If the audited_result column is not "SUCCESS" or "SUCCESS AND FAILURE" on every row, this is a finding.

    לגבי הקישור השני ששלחת לי, קראתי את המאמר הזה בעבר ובדקתי את נושא ה login , להבנתי מדובר רק בתיעוד של פעולת ה login ולא בכל אירוע שניתן להגדיר. בכל מקרה אני אקרא אותו שוב אולי פספסתי משהו.

    תודה,

    רונן 

    יום חמישי 23 מרץ 2017 09:34
  • בכיף :-)

    רק אל תשכח אותנו.
    אם יש שאלות המשך אתה מוזמן להמשיך את הדיון או להתחיל דיון חדש רבל תמיד תזכור בבקשה לסגור את הדיונים בסיום על ידי סימון תגובה אחת או יותר כתשובה.


    signature   Ronen Ariely
     [Personal Site]    [Blog]    [Facebook]    [Linkedin]

    יום חמישי 23 מרץ 2017 10:19
    מנחה דיון