SQL Server第1部分：爲何要監視SQL日誌

根據2019年發佈的基於風險安全研究報告，數據常常會有泄露的風險，每秒有超過44條記錄被盜，最主要目標是利用企業數據庫，獲取其機密資產。通常來說企業不會察覺到本身的數據庫已經被破壞了幾個月，一旦敏感數據泄漏，損壞將沒法挽回。

經過監視和分析異常活動日誌，企業能夠在早期階段提升檢測防護的能力，如：儘早識別出未受權訪問之類的事件，能夠幫助您在數據損壞以前識別並阻止。

在本系列博客中關於SQL Server的第一部分，咱們將介紹爲何監視SQL日誌很重要。

應該監視哪些日誌來保護您的SQL數據庫？

事務日誌是SQL Server日誌的組成部分。這些日誌提供在SQL數據庫中執行的插入，更新和刪除事務等操做記錄。除了事務日誌，您還應該監視和記錄如下操做：

1.SQL Server安裝日誌
2.SQL Server查看日誌
3.SQL Server代理日誌
4.SQL Server錯誤日誌

這些日誌不只有助於檢測數據泄露，還有助於對操做失敗進行故障排除。因此，對數據庫操做進行審覈跟蹤很是重要。

自帶的SQL Server工具-擴展事件，SQL跟蹤，SQL Profiler，活動監視器，跟蹤標誌，數據庫控制檯命令（DBCC）-可幫助監控數據庫的運行情況，並分析安全事件和其餘異常事件。這彷佛足夠了，但還遠遠不夠。

您如何改善SQL審覈？

爲了保護存儲在數據庫中的敏感數據，實時審覈數據庫活動並將業務上下文和其餘網絡活動中的信息關聯起來相當重要。諸如安全信息和事件管理（SIEM）解決方案之類的強大工具能夠執行這些功能，並提供高級分析框架，以加快事件檢測和解決過程。

SIEM解決方案帶有用戶和實體行爲分析（UEBA）以及威脅分析的功能，能夠高效地分析數據庫日誌並以很高的準確度檢測出危害指標，例如未經受權表的更新，數據訪問和可疑的數據庫登陸嘗試等。此外，SIEM解決方案還能夠實時警報任何不良事件，並執行自動化的工做流程以及快速解決或遏制正在進行。

在如下文章，筆者將討論SQL Server活動用戶的身份驗證和受權，筆者還將介紹數據庫登陸審覈，及其在SQL Server安全方面所扮演的角色。