等級保護項目SQL?Server審計方案

根據等級保護項目SQL Server審計需求，將SQL Server Default Trace文件保存半年以上。

解決方案

對于用戶來講，Default Trace只能關閉或開啟該跟蹤，無法修改任何參數。因此，我們只有將跟蹤文件同步出來保存。

計劃在備域控服務器上，通過Windows自帶的robocopy來同步集中交易數據庫的*.trc文件到本地，長期保存。

robocopy "\\10.198.1.111\e$\MSSQL12.XXX\MSSQL\Log" "D:\Robocopy\10.198.1.111" *.trc /MON:1 /mot:15 /mon:2

-- ==== Robocopy 介紹 ===============================================

Robocopy能實時監視要備份的文件夾，只要文件夾修改到一定時間和程序，Robocopy就會立即開始備份。它會一直監視文件夾，除非用戶自己終止。
　　[簡單命令]
　　robocopy d:\work e:\back  /e /copyall /mot:1 /mon:2
　　[參數講解]
　　上述命令表示復制文件夾所有信息到目標文件夾并進行監視。執行此命令后，命令提示符窗口如下圖所示。一旦時間過了一分鐘，并且源文件夾至少有或2處以上的修改，Robocopy就會自動啟動另一個進程
，執行上述備份操作。Robocopy能監視源文件夾結構、文件和文件夾名稱、大小、最后修改時間，在這里，甚至連屬性和權限等信息被修改時，Robocopy也會記為修改次數。

-- ==== Default Trace 介紹 ===============================================

SQL Server Default Trace 在SQL Server實例安裝后，默認開啟。是SQL Server中默認開啟的最輕量級跟蹤，由5個跟蹤文件（.trc）組成，每個文件的最大值為20MB，存儲在SQL Server log目錄。如下圖，當SQL Server重啟后，或者當當前使用的文件達到最大值時，最舊的文件被刪除。

它記錄的有用的審計有 Object事件 和 Security Audit事件。

Objects事件包括：
  Object Altered
  Object Created
  Object Deleted

Security Audit事件包括：
  Audit Add DB user event
  Audit Add login to server role event
  Audit Add Member to DB role event
  Audit Add Role event
  Audit Add login event
  Audit Backup/Restore event
  Audit Change Database owner
  Audit DBCC event
  Audit Database Scope GDR event (Grant, Deny, Revoke)
  Audit Login Change Property event
  Audit Login Failed
  Audit Login GDR event
  Audit Schema Object GDR event
  Audit Schema Object Take Ownership
  Audit Server Starts and Stops