7、 将阈值过程添加到每个审计段
use sybsecurity
go
sp_addthreshold sybsecurity, aud_seg_01, 250,
audit_thresh
… …
… …
go
到此,启用审计后,adaptive server将所有审计数据写入最初的当前审计表sysaudits_01中。sysaudits_01中还有250页便会充满时,阈值过程audit_thresh触发。此过程切换当前审计表为sysaudits_02,并且adaptive server立即开始将新的审计纪录写入sysaudits_02,此过程还将sysaudit_01中的所有审计数据复制到audit_db数据库中。
8、 设置审计配置参数
一个审计记录需要的内存大小为424字节,审计队列的的缺省大小为100条记录
sp_onfigure "audit queue size", 300
sp_configure "suspend audit when device full",[0|1]
9、 启用和禁止审计
sp_configure “auditing”,[0|1]
1 启用审计 0 禁用审计
10、设置全局审计选项
sp_audit option , login_name , object_name [,setting]
审计选项
全局选项:应用于影响整个服务器的命令,例如启动服务器、磁盘操作和允许用户定义即席审计记录的命令。设置存储在sysbsecurity..sysauditoption系统表中。
数据库选项:应用于数据库,例如更改数据库、批量复制数据、授予或撤销对数据库中对的访问权以及在数据库中创建对象。数据库特定的事件的审计选项设置存储在master..sysdatabases中。
对象权限:如选择、插入、更新或删除特定表或视图的以及执行触发器或过程。对象特定事件的选项设置在相应数据库的sysobjects系统表中。
用户选项:应用于特定用户或系统角色,例如特定用户对任何表或视图的访问。单个用户的选项设置存储在master..syslogins中。系统角色的设置存储在master..sysauditoptions中。
请耐心继续下面的实验,会对你收获巨大:
(1) sp_audit "adhoc", "all", "all", "on"
说明:启用用户定义的即席审计记录
(2) sp_audit “all”,”sa_role”,”all”,”on”
说明:为所有已激活了sa_role角色的操作打开审计
(3) sp_audit @option = "alter", @login_name = "all",
@object_name = "master", @setting = "on"
说明:为master数据库中执行的所有alter database和alter table打开审计
(4) sp_audit "bcp", "all", "aca_db"
说明:返回aca_db数据库中bcp审计的状态
(5) sp_audit "create", "all", "aca_db", "pass"
说明:关闭对aca_db数据库中成功的对象创建的审计
(6) sp_audit “disk”,”all”,”all”,”on”
说明:审计服务器所有的磁盘操作
(7) sp_audit “dump”,”all”,”aca_db”,”on”
说明:审计aca_db数据库的转储命令
(8) sp_audit "update", "all", "auths", "on"
说明:对用户更新当前数据库中auths表的所有尝试进行审计
(9) sp_audit "table_access", "smithson", "all", "on"
说明:审计由登录名为“smithson”执行的。对表的所有访问
(10) sp_audit "dbcc", "all", "all", "on"
审计dbcc命令的所有执行情况。