我们有一个 SQL Server 数据库,它有一个数据库审计规范,可以审计数据库上的所有执行操作。
CREATE DATABASE AUDIT SPECIFICATION [dbAudit]
FOR SERVER AUDIT [servAudit]
ADD (EXECUTE ON DATABASE::[DatabaseName] BY [public])
我们发现,某些查询会为结果集中的每一行使用标量函数来写入审计日志。发生这种情况时,日志会在我们将其 ETL 到它的最终归宿之前填满,并且我们的日志记录中存在空白。
不幸的是,由于合规原因,我们不能简单地停止审计每EXECUTE一份声明。
我们首先想到的解决这个问题的方法是使用服务器审核WHERE上的子句来过滤掉活动。代码如下所示:
WHERE [object_id] not in (Select object_id from sys.objects where type = 'FN' )
不幸的是,SQL Server 不允许使用关系 IN 运算符(可能是因为它不想在每次必须写入审计日志时都进行查询)。
我们希望避免编写对object_idinWHERE子句进行硬编码的存储过程,但这是我们目前对解决此问题的最佳方法的想法。有没有我们应该考虑的替代方法?
我们注意到,当在递归 CTE 中使用标量函数时,它会导致查询为结果集中的每一行写入审计日志。
供应商提供的一些标量值函数我们无法删除或移动到备用数据库。
我可以使用一些选项。所有选项都处理过滤谓词的变体。注意:您必须禁用服务器审核才能进行更改,然后重新启用它。
首先,最通用的方法是过滤掉所有标量 UDF。您可以使用
class_type审计字段来做到这一点。文档表明该字段是VARCHAR(2),但不允许指定字符串。但是,我确实得到了以下工作:(有关该调查的更多信息:服务器审计之谜:过滤类类型获取错误消息 25713)
下一个最通用的方法不是一个选项,因为它被声明这是一个供应商提供的数据库,因此不能进行任何更改。所以我会讲到最后。
最不通用的方法(但绝对有效)是过滤掉特定的函数名称:
或者,如果有多个名称:
虽然不是很通用,但这种方法应该没问题,因为要过滤掉的函数数量应该相当少,而且不会经常引入新函数。
最后,对于面临这种情况并且不受限制进行更改的其他人:您可以将函数放入他们自己的 Schema 中,然后仅过滤掉该 Schema。这比单独过滤掉函数更通用。假设您创建一个名为 Schema 并将
fn函数放入其中:另外,关于问题中的以下两条评论:
和:
IN运营商不是问题。确实,它不受支持,但它只是OR条件列表的简写。实际问题是 T-SQL 的使用。只允许文字——字符串或数字。因此无论如何您都无法执行存储过程。您也不能使用内置函数。