Audits et traçabilité (SQL Server Audit)

La fonctionnalité SQL Server Audit permet de surveiller et enregistrer les événements liés à la sécurité, comme les accès non autorisés ou les changements dans la configuration des bases de données.

6.6.1 Création d'un audit

Un audit est un ensemble d'actions et d'événements que SQL Server doit suivre. Ces audits peuvent être configurés pour surveiller les connexions, les accès aux bases de données, et les changements dans les objets.

Exemple : Création d’un audit qui surveille les échecs de connexion :

CREATE SERVER AUDIT ConnexionAudit
TO FILE (FILEPATH = 'C:\AuditLogs\')
WITH (ON_FAILURE = CONTINUE);

CREATE SERVER AUDIT SPECIFICATION AuditConnexionsEchouees
FOR SERVER AUDIT ConnexionAudit
ADD (FAILED_LOGIN_GROUP);

ALTER SERVER AUDIT ConnexionAudit WITH (STATE = ON);

6.6.2 Examen des logs d'audit

Les audits peuvent être consultés via SQL Server Management Studio ou avec des requêtes SQL.

Exemple : Lire les logs d'audit :

SELECT event_time, action_id, succeeded, session_server_principal_name
FROM sys.fn_get_audit_file ('C:\AuditLogs\*.sqlaudit', NULL, NULL);