SQL Server Audit - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

SQL Server Audit

在 Amazon RDS 中,您可以使用内置 SQL Server 审核机制来审核 Microsoft SQL Server 数据库。您可以按照为本地数据库服务器创建审核和审核规范的相同方式来创建它们。

RDS 使用您提供的 IAM 角色将完成的审核日志上传到 S3 存储桶。如果您启用保留,则 RDS 会在配置的时间段内将您的审核日志保留在您的数据库实例中。

有关更多信息,请参阅 Microsoft SQL Server 文档中的 SQL Server Audit(数据库引擎)

SQL Server 审计与数据库活动流

您可以使用 RDS 的数据库活动流,将 SQL Server 审计事件与 Imperva、McAfee 和 IBM 中的数据库活动监控工具集成。有关使用 RDS SQL Server 的数据库活动流进行审计的详细信息,请参阅Microsoft SQL Server 中的审计

SQL Server Audit 支持

在 Amazon RDS 中,从 SQL Server 2016 开始,SQL Server 的所有版本都支持服务器级审计,而企业版还支持数据库级审计。从 SQL Server 2016 (13.x) SP1 开始,所有版本支持服务器级别和数据库级别审核。有关更多信息,请参阅 SQL Server 文档中的 SQL Server Audit(数据库引擎)

RDS 支持为 SQL Server Audit 配置以下选项设置。

选项设置 有效值 描述
IAM_ROLE_ARN 采用 arn:aws:iam::account-id:role/role-name 格式的有效 Amazon Resource Name (ARN)。 IAM 角色的 ARN,该角色对您想要用于存储审核日志的 S3 存储桶授予访问权。有关更多信息,请参阅《Amazon Web Services 一般参考》中的 Amazon 资源名称(ARN)
S3_BUCKET_ARN 有效 ARN 为 arn:aws:s3:::amzn-s3-demo-bucketarn:aws:s3:::amzn-s3-demo-bucket/key-prefix 格式 您想要用于存储审核日志的 S3 存储桶的 ARN。
ENABLE_COMPRESSION true 或者 false 控制审核日志压缩。默认情况下,启用压缩(设置为 true)。
RETENTION_TIME 0840 SQL Server 审核记录在您的 RDS 实例上保留的时间(按小时计)。默认情况下,禁用保留。

将 SQL Server Audit 与多可用区实例结合使用

对于多可用区实例,将审核日志文件发送到 Amazon S3 的过程与单可用区实例类似。但是,二者之间存在一些重要区别:

  • 数据库审核规范对象复制到所有节点。

  • 服务器审核和服务审核规范不会复制到辅助节点。相反,您必须手动创建或修改它们。

若要从两个节点捕获服务器审核或服务器审核规范:

  1. 在主节点上创建服务器审核或服务器审核规范。

  2. 故障转移到辅助节点,并在辅助节点上使用相同名称和 GUID 创建服务器审核或服务器审核规范。使用 AUDIT_GUID 参数指定 GUID。