# SQL Server Audit
<a name="Appendix.SQLServer.Options.Audit"></a>

在 Amazon RDS 中，您可以使用内置 SQL Server 审核机制来审核 Microsoft SQL Server 数据库。您可以按照为本地数据库服务器创建审核和审核规范的相同方式来创建它们。

RDS 使用您提供的 IAM 角色将完成的审核日志上传到 S3 存储桶。如果您启用保留，则 RDS 会在配置的时间段内将您的审核日志保留在您的数据库实例中。

有关更多信息，请参阅 Microsoft SQL Server 文档中的 [SQL Server Audit（数据库引擎）](https://docs.microsoft.com/sql/relational-databases/security/auditing/sql-server-audit-database-engine)。

## SQL Server 审计与数据库活动流
<a name="Appendix.SQLServer.DAS.Audit"></a>

您可以使用 RDS 的数据库活动流，将 SQL Server 审计事件与 Imperva、McAfee 和 IBM 中的数据库活动监控工具集成。有关使用 RDS SQL Server 的数据库活动流进行审计的详细信息，请参阅[Microsoft SQL Server 中的审计](DBActivityStreams.md#DBActivityStreams.Overview.SQLServer-auditing) 

**Topics**
+ [SQL Server 审计与数据库活动流](#Appendix.SQLServer.DAS.Audit)
+ [SQL Server Audit 支持](#Appendix.SQLServer.Options.Audit.Support)
+ [将 SQL Server Audit 添加到数据库实例选项](Appendix.SQLServer.Options.Audit.Adding.md)
+ [使用 SQL Server Audit](Appendix.SQLServer.Options.Audit.CreateAuditsAndSpecifications.md)
+ [查看审核日志](Appendix.SQLServer.Options.Audit.AuditRecords.md)
+ [将 SQL Server Audit 与多可用区实例结合使用](#Appendix.SQLServer.Options.Audit.Multi-AZ)
+ [配置 S3 存储桶](Appendix.SQLServer.Options.Audit.S3bucket.md)
+ [手动为 SQL Server Audit 创建 IAM 角色](Appendix.SQLServer.Options.Audit.IAM.md)

## SQL Server Audit 支持
<a name="Appendix.SQLServer.Options.Audit.Support"></a>

在 Amazon RDS 中，从 SQL Server 2016 开始，SQL Server 的所有版本都支持服务器级审计，而企业版还支持数据库级审计。从 SQL Server 2016 (13.x) SP1 开始，所有版本支持服务器级别和数据库级别审核。有关更多信息，请参阅 SQL Server 文档中的 [SQL Server Audit（数据库引擎）](https://docs.microsoft.com/sql/relational-databases/security/auditing/sql-server-audit-database-engine)。

RDS 支持为 SQL Server Audit 配置以下选项设置。


| 选项设置 | 有效值 | 描述 | 
| --- | --- | --- | 
| IAM\$1ROLE\$1ARN | 采用 arn:aws:iam::account-id:role/role-name 格式的有效 Amazon Resource Name (ARN)。 | IAM 角色的 ARN，该角色对您想要用于存储审核日志的 S3 存储桶授予访问权。有关更多信息，请参阅《Amazon Web Services 一般参考》中的 [Amazon 资源名称（ARN）](https://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam)。 | 
| S3\$1BUCKET\$1ARN | 有效 ARN 为 arn:aws:s3:::amzn-s3-demo-bucket 或 arn:aws:s3:::amzn-s3-demo-bucket/key-prefix 格式 | 您想要用于存储审核日志的 S3 存储桶的 ARN。 | 
| ENABLE\$1COMPRESSION | true 或者 false | 控制审核日志压缩。默认情况下，启用压缩（设置为 true）。 | 
| RETENTION\$1TIME | 0 到 840 | SQL Server 审核记录在您的 RDS 实例上保留的时间（按小时计）。默认情况下，禁用保留。 | 

## 将 SQL Server Audit 与多可用区实例结合使用
<a name="Appendix.SQLServer.Options.Audit.Multi-AZ"></a>

对于多可用区实例，将审核日志文件发送到 Amazon S3 的过程与单可用区实例类似。但是，二者之间存在一些重要区别：
+ 数据库审核规范对象复制到所有节点。
+ 服务器审核和服务审核规范不会复制到辅助节点。相反，您必须手动创建或修改它们。

若要从两个节点捕获服务器审核或服务器审核规范：

1. 在主节点上创建服务器审核或服务器审核规范。

1. 故障转移到辅助节点，并在辅助节点上使用相同名称和 GUID 创建服务器审核或服务器审核规范。使用 `AUDIT_GUID` 参数指定 GUID。