Início / dba / Perguntas / 335507
Accepted
Arokh
Asked: 2024-02-05 03:57:05 +0800 CST

Auditoria para acesso direto a objetos (ignorando acesso indireto)

  • 772

para isolar tabelas internas do acesso a bancos de dados de terceiros, criamos esquemas especificamente para esse caso de uso. Logins/usuários de banco de dados de terceiros só têm acesso a esses esquemas "públicos".
O problema é que o usuário tinha mais permissões do que deveria e muitas consultas de terceiros acessam as tabelas internas.
Como não posso remover as permissões abruptamente, gostaria de fazer isso aos poucos. Identificar consultas problemáticas e alterá-las de acordo.

Para isso tentei utilizar os recursos de Auditoria de Banco de Dados do Sql Server, mas parece que estou faltando informações para o que preciso:
Digamos que tenho a tabela [Internal].[Machine]e a View [Public].[Machine]que para simplificar é apenas select * from [Internal].[Machine]. O usuário viewersó tem permissão para selecionar [Public].[Machine].

Adicionar uma "especificação de auditoria de banco de dados" para (Type=SELECT, ObjectClass=SCHEMA, ObjectName=Internal, PrincipalName=viewer) produz uma entrada para select * from [Internal].[Machine]e select * from [Public].[Machine].
Meu objetivo é ter apenas uma entrada para select * from [Internal].[Machine], ou seja, quando o objeto for acessado diretamente pela instrução de consulta. E até onde vi, as linhas produzidas não contêm as informações necessárias para diferenciar as duas.

Isso é de alguma forma possível com o recurso Auditoria/Eventos Estendidos do Sql Server (ou algo completamente diferente)?

sql-server

1 respostas

  1. Best Answer

    Quando você está especificando um objeto para auditoria em um esquema específico, ele deve ter um nome de duas partes; no seu caso, se você quiser fazer uma auditoria, [Internal].[machine]a especificação de auditoria do banco de dados seria como abaixo,

    USE [master]
GO

/****** Object:  Audit [AuditView]    Script Date: 2/6/2024 10:30:30 PM ******/
CREATE SERVER AUDIT [AuditObject]
TO FILE 
(   FILEPATH = N'C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Log\'
    ,MAXSIZE = 10 MB
    ,MAX_ROLLOVER_FILES = 5
    ,RESERVE_DISK_SPACE = OFF
) WITH (QUEUE_DELAY = 1000)
ALTER SERVER AUDIT [AuditObject] WITH (STATE = ON)
GO


USE [db01]
GO

CREATE DATABASE AUDIT SPECIFICATION [AuditObject]
FOR SERVER AUDIT [AuditObject]
ADD (DELETE ON OBJECT::[Internal].[machine] BY [public]),
ADD (INSERT ON OBJECT::[Internal].[machine] BY [public]),
ADD (SELECT ON OBJECT::[Internal].[machine] BY [public]),
ADD (UPDATE ON OBJECT::[Internal].[machine] BY [public])
WITH (STATE = ON)
GO

    Se você deseja auditar ambos os objetos, neste caso, tanto para tabela quanto para visualização, seria como abaixo,

    USE master
GO

CREATE SERVER AUDIT [AuditViewAndObject]
TO FILE 
(   FILEPATH = N'C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Log\'
    ,MAXSIZE = 10 MB
    ,MAX_ROLLOVER_FILES = 5
    ,RESERVE_DISK_SPACE = OFF
) WITH (QUEUE_DELAY = 1000)
ALTER SERVER AUDIT [AuditViewAndObject] WITH (STATE = ON)
GO

USE db01
GO
CREATE DATABASE AUDIT SPECIFICATION [AuditViewAndObject]
FOR SERVER AUDIT [AuditViewAndObject]
ADD (DELETE ON OBJECT::[Pub].[Machine] BY [public]),
ADD (INSERT ON OBJECT::[Pub].[Machine] BY [public]),
ADD (SELECT ON OBJECT::[Pub].[Machine] BY [public]),
ADD (UPDATE ON OBJECT::[Pub].[Machine] BY [public]),
ADD (DELETE ON OBJECT::[Internal].[machine] BY [public]),
ADD (INSERT ON OBJECT::[Internal].[machine] BY [public]),
ADD (SELECT ON OBJECT::[Internal].[machine] BY [public]),
ADD (UPDATE ON OBJECT::[Internal].[machine] BY [public])
WITH (STATE = ON)
GO

--Testing Query
EXECUTE AS LOGIN = 'Viewer'
GO
SELECT * FROM pub.machine
GO
SELECT TOP 1 * FROM internal.machine
GO
REVERT
GO
SELECT [event_time],
       database_name,
       [schema_name],
       [object_name],
       statement,
       database_principal_name,
       m.class_type_desc
FROM sys.fn_get_audit_file(
                              REPLACE(
                                         CAST(SERVERPROPERTY('ErrorLogFileName') AS VARCHAR(256)),
                                         'ERRORLOG',
                                         'AuditViewAndObject*'
                                     ),
                              DEFAULT,
                              DEFAULT
                          ) a
    JOIN sys.dm_audit_class_type_map m
        ON a.class_type = m.class_type
ORDER BY a.event_time;

--To find direct access audit entries
;WITH cte AS(
SELECT [event_time],
       database_name,
       [schema_name],
       [object_name],
       statement,
       database_principal_name,
       m.class_type_desc
FROM sys.fn_get_audit_file(
                              REPLACE(
                                         CAST(SERVERPROPERTY('ErrorLogFileName') AS VARCHAR(256)),
                                         'ERRORLOG',
                                         'AuditViewAndObject*'
                                     ),
                              DEFAULT,
                              DEFAULT
                          ) a
    JOIN sys.dm_audit_class_type_map m
        ON a.class_type = m.class_type
)
SELECT   CAST(cte.event_time AS VARCHAR(19)) AS EventTime, cte.object_name,cte.database_principal_name,cte.object_name, COUNT(1) AS Count
FROM cte
WHERE cte.object_name <> ''
GROUP BY CAST(cte.event_time AS VARCHAR(19)),  cte.object_name,cte.database_principal_name
--HAVING COUNT(1) = 1 --Filter for direct access records

    Resultado dos testes:

    • Você verá dois registros de auditoria quando uma visualização for acessada.
    • Você verá uma entrada de auditoria quando o objeto da tabela for acessado.

    insira a descrição da imagem aqui

    Com exemplo de UI.insira a descrição da imagem aqui

    • 1

relate perguntas