none
記錄record被修改的來源IP及連接的使用者 RRS feed

  • 問題

  • 因為資料庫被入侵, 我想要知道入侵的來源, 是透過那一台主機, 我原本是透過trigger, 在該table記錄, 當record被修改時, trigger觸動將inserted & deleted值及來源ip,使用者, 寫至另外一個table,
    但此方式卻可以使用alter table xxx disable trigger的方式, 被停止記錄.

    想請教, 我可以再使用什麼方式, 可以完全偵測到被修改record?

    資料庫版本: SQL Server 2008 SQL Enterprise 32bit

    • 已編輯 Maggiech 2010年4月19日 上午 03:24
    2010年4月19日 上午 02:56

解答

  • Run profiler, enable c2 auditing, third party auditing tool, ...
    2010年4月19日 上午 03:06
  • 您沒說明使用的 SQL Server 版本資訊,如果是 SQL Server 2008 有「SQL Server 變更追蹤」可用,如果使用的是 SQL Server 2008 SQL Enterprise、Developer 和 Evaluation 版本,還可透過「異動資料擷取」來取得新增、修改和刪除的活動。若非上述所說的版本,則請確認有將 ALERT 權限賦予適當的使用者。

    煩請於提問前,詳閱本區上方的「SQL Server Management 討論區發言規範」,節錄其中一段:

    • 請在提出問題時,附上詳細的作業環境,問題陳述,錯誤訊息(包含來自事件檢視器,SQL Server logs),SQL Server 軟體版本(SQL Server 2000, SQL Server 2005, Express/Workgroup/Standard/Enterprise/Developer),以及其他可供判斷的足夠資訊,以利板上高手與專家們的判斷,愈充分的資料愈容易得到正確的判斷。

    ☞ 這裡是「免費的討論區」付費支援服務請造訪 此處享受尊榮服務
    如果回覆對您有幫助,請記得按下標示為解答」
    在本討論區使用正體中文(即繁體中文),是對參與的朋友的一種尊重,因此請用本討論區的語言:正體中文。
    2010年4月19日 上午 03:18
    版主

所有回覆

  • Run profiler, enable c2 auditing, third party auditing tool, ...
    2010年4月19日 上午 03:06
  • 您沒說明使用的 SQL Server 版本資訊,如果是 SQL Server 2008 有「SQL Server 變更追蹤」可用,如果使用的是 SQL Server 2008 SQL Enterprise、Developer 和 Evaluation 版本,還可透過「異動資料擷取」來取得新增、修改和刪除的活動。若非上述所說的版本,則請確認有將 ALERT 權限賦予適當的使用者。

    煩請於提問前,詳閱本區上方的「SQL Server Management 討論區發言規範」,節錄其中一段:

    • 請在提出問題時,附上詳細的作業環境,問題陳述,錯誤訊息(包含來自事件檢視器,SQL Server logs),SQL Server 軟體版本(SQL Server 2000, SQL Server 2005, Express/Workgroup/Standard/Enterprise/Developer),以及其他可供判斷的足夠資訊,以利板上高手與專家們的判斷,愈充分的資料愈容易得到正確的判斷。

    ☞ 這裡是「免費的討論區」付費支援服務請造訪 此處享受尊榮服務
    如果回覆對您有幫助,請記得按下標示為解答」
    在本討論區使用正體中文(即繁體中文),是對參與的朋友的一種尊重,因此請用本討論區的語言:正體中文。
    2010年4月19日 上午 03:18
    版主