Auditoria de bancos de dados do SQL Server

Nesta página, descrevemos a auditoria de banco de dados no Cloud SQL usando a funcionalidade da auditoria do SQL Server.

Visão geral

Os recursos de auditoria do SQL Server incluem o seguinte no Cloud SQL:

• Como criar especificações de auditoria do servidor
• Acompanhamento e registro de eventos no nível do servidor e do banco de dados

Para mais informações sobre os recursos de auditoria do SQL Server, consulte Auditoria do SQL Server (Mecanismo de banco de dados).

Antes de começar

Antes de ativar a auditoria de banco de dados, leia os pré-requisitos desta seção.

Bucket do Cloud Storage para arquivos de auditoria

Os arquivos de auditoria (registros de auditoria) são enviados para um local do bucket do Cloud Storage. Assim, talvez seja necessário criar um bucket de propriedade da sua conta do Google Cloud.

Se preferir, use o local do bucket de outra conta. Quando você ativa a auditoria, se tiver as permissões necessárias, o papel roles/storage.objectAdmin será concedida automaticamente para fazer upload da auditoria. Arquivos para o local do bucket da conta de serviço especificada. Se você não tiver as permissões necessárias, conceda-as à conta de serviço mais tarde.

Usuário válido para ativação da auditoria

Para ativar a auditoria e criar especificações de auditoria, é necessário que o usuário padrão sqlserver esteja disponível. Quando você criou uma instância do Cloud SQL para SQL Server, o usuário sqlserver padrão foi criado para você.

Como ativar a auditoria

Quando você ativa a auditoria, um local do Cloud Storage é necessário. Os itens a seguir são opcionais:

• O período de armazenamento de registros na instância
• Intervalo de upload (frequência de upload)

gcloud sql instances patch INSTANCE_NAME --audit-bucket-path=gs://my-bucket --audit-retention-interval=24h --audit-upload-interval=10m

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "sqlServerAuditConfig":{
         "bucket":"gs://mybucket",
         "retentionInterval":"24h",
         "uploadInterval":"10m"
      }
   }
}

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "sqlServerAuditConfig":{
         "bucket":"gs://mybucket",
         "retentionInterval":"24h",
         "uploadInterval":"10m"
      }
   }
}

Como desativar a auditoria

Esta seção contém as opções para desativar a auditoria. Quando você desativa a auditoria, todos os arquivos de auditoria, inclusive os que ainda não foram enviados, são excluídos da instância. Além disso, todas as auditorias de servidor são desativadas e precisam ser reativadas se a auditoria for retomada. Os registros de auditoria que foram enviados para o bucket do Cloud Storage podem permanecer, dependendo das configurações de retenção do bucket.

Veja a seguir as opções para desativar a auditoria.

gcloud sql instances patch INSTANCE_NAME --audit-bucket-path=

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "sqlServerAuditConfig":{
      }
   }
}

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "sqlServerAuditConfig":{
      }
   }
}

Upload automático de arquivos de auditoria

Depois de ativar a auditoria, os arquivos de auditoria gerados são enviados automaticamente para o bucket especificado do Cloud Storage.

Os arquivos de auditoria gerados também são armazenados com a instância até que o período de retenção (intervalo) configurado expire. Após esse período, os arquivos de auditoria são excluídos permanentemente, mesmo aqueles que não puderam ser enviados.

Como criar auditorias de servidor

Depois de ativar a auditoria, o usuário padrão sqlserver terá permissões para criar, alterar e excluir auditorias do servidor.

Use o comando CREATE SERVER AUDIT para definir novas auditorias do servidor. Também é possível usar a interface do usuário do SQL Server Management Studio (SSMS) para criar auditorias de servidor.

As seguintes categorias de parâmetros são aplicadas a todas as auditorias de servidor:

Ler auditorias

Como ler auditorias de uma instância

Para recuperar os dados de um arquivo de auditoria criado por uma auditoria de servidor, use o seguinte procedimento armazenado: msdb.dbo.gcloudsql_fn_get_audit_file. O procedimento msdb.dbo.gcloudsql_fn_get_audit_file aceita os mesmos parâmetros da função sys.fn_get_audit_file.

Assim, para informações sobre como usar esse procedimento armazenado, consulte sys.fn_get_audit_file.

Veja um exemplo de como usar o procedimento msdb.dbo.gcloudsql_fn_get_audit_file para recuperar dados de auditoria:

SELECT event_time, statement FROM msdb.dbo.gcloudsql_fn_get_audit_file('/var/opt/mssql/audit/*', NULL, NULL) WHERE statement LIKE '%INSERT%'

Como ler auditorias de um bucket

Para ler auditorias de um bucket do Cloud Storage, faça o download dos arquivos do bucket para uma instância do SQL Server. A instância do SQL Server pode ser:

• Uma instância do Windows do Compute Engine
• Uma instância do Linux no Compute Engine
• Outro tipo de instância que executa o SQL Server.

Os arquivos de auditoria do bucket precisam ser transferidos para um local acessível a essa instância, como o disco local. Em seguida, para retornar informações dos arquivos de auditoria, execute a função sys.fn_get_audit_file usando um membro do papel de servidor fixo serveradmin. Por exemplo, em uma instância do Windows, se você tiver transferido arquivos de auditoria para D:\Audit, será possível usar um comando semelhante ao seguinte:

SELECT event_time, statement FROM sys.fn_get_audit_file('D:\Audit\*.*', NULL, NULL) WHERE statement LIKE '%INSERT%'

Como monitorar métricas

É possível monitorar operações relacionadas a auditorias como parte das métricas do Cloud SQL, disponíveis no Metrics Explorer:

• database/sqlserver/audits_upload_count. Essa métrica indica o total de tentativas de upload de arquivos de auditoria para tentativas bem-sucedidas e com falha. Verifique essa métrica para monitorar se os uploads foram concluídos.
• database/sqlserver/audits_size. Essa métrica indica quanto espaço do disco é usado pelos arquivos de auditoria armazenados na instância no momento de uma medição. Essa métrica fornece o tamanho total dos arquivos de auditoria na instância em bytes.

Práticas recomendadas

• Para evitar a transferência de arquivos grandes entre regiões, considere o seguinte:
  • Criar buckets multirregionais do Cloud Storage ou
  • Como configurar o bucket de destino do Cloud Storage na mesma região da instância
• Antes de usar a funcionalidade de auditoria do SQL Server, considere ativar os aumentos automáticos de armazenamento. Os arquivos de auditoria, dependendo do tamanho total e dos intervalos de retenção, talvez precisem de espaço em disco significativo.
• Depois de ativar a auditoria, verifique se a instância pode fazer upload de arquivos de auditoria para o bucket do Cloud Storage. Se o solicitante que configurou a auditoria não tiver as permissões necessárias para fazer upload de arquivos no bucket do Cloud Storage, as permissões não serão concedidas automaticamente.
• Configure uma política de alertas baseada em métrica para receber notificações sobre falhas de tentativas de upload e o uso excessivo do disco.
• Para evitar a retenção de muitos arquivos de auditoria por muito tempo, configure uma política de retenção de dados para o bucket do Cloud Storage.