Artigo sql magazine 70 - Usando logs em Auditorias no SQL Server 2008

Nesse artigo serão demonstrados os tipos de log existentes no MS SQL Server 2008, formas de configurá-los e que tipo de informações serão encontradas, demonstrando como utilizá-los em uma auditoria no banco de dados.

Atenção: esse artigo tem uma palestra complementar. Clique e assista!

De que trata o artigo?

Nesse artigo serão demonstrados os tipos de log existentes no MS SQL Server 2008, formas de configurá-los e que tipo de informações serão encontradas, demonstrando como utilizá-los em uma auditoria no banco de dados.

Para que serve?

Para identificar problemas de funcionamento no banco de dados, configurações erradas, tentativas e acessos indevidos, alterações e modificações de dados sem autorizações.

Em que situação o tema é útil?

Para trabalhar proativamente na identificação de problemas relacionados à segurança e funcionamento do banco de dados, e disponibilização de informações para serem utilizadas em auditorias.

Esse é o primeiro artigo de uma série sobre auditoria no banco de dados MS SQL Server 2008. Será abordado nesse artigo os tipos de logs que existem no SGBD da Microsoft, os quais são importantes e fundamentais no caso de um processo de auditoria no banco de dados.

Temos vários recursos que podem ser utilizados em uma auditoria no SQL Server 2008, como: c2 audit mode, audit, CDC, DDL trigger, profiler e trace. Esses recursos fornecem condições para o monitoramento do acesso a dados, identificação de alterações e identificação de pontos vulneráveis que podem ser melhorados.

Quando falamos de auditoria estamos nos referindo a um exame cuidadoso e sistemático para averiguar se tudo está de acordo com as normas da empresa e se atendem ao que foi planejado buscando respostas do tipo: Está tudo certo? Existem problemas? Aconteceu algo errado? O que ocorreu em determinado período?

Entre os vários tipos de auditoria temos a “Auditoria em segurança da informação, que está voltada para a área de TI (Tecnologia da Informação), e que pode ser dividida em: segurança do banco de dados, segurança de redes e segurança física. Sobre a segurança do banco de dados podemos classificar em dois tipos: verificação de funcionamento e verificação de segurança (Figura 1).

Figura 1. Divisão da auditoria.

A verificação de funcionamento refere-se às condições de funcionamento do banco de dados, se existem serviços apresentando problemas, configurações incorretas ou que podem ser melhoradas.

A verificação de segurança está relacionada à segurança das informações, se os dados sofreram alterações, quais dados foram modificados ou se foram acessados por usuários indevidos.

O SQL Server tem vários tipos de log e também registra informações no log do Windows. Cada tipo de log armazena diferentes tipos de informações, como apresentado na Tabela 1. São estas informações que são utilizadas nas auditorias para verificar tanto a situação de funcionamento como de segurança do banco de dados.

Tabela 1. Tipos de log

Log do Windows

Os logs do Windows, como o nome sugere, fazem parte do Sistema Operacional, e vários eventos relacionados aos serviços e aplicações que estão instaladas no SO são registradas. Como o SQL Server é instalado no Windows, encontraremos no log do SO registros de eventos relacionados ao banco de dados. Alguns desses eventos são registrados devido a configurações default do SQL Server, como por exemplo: inicializações de serviços do SQL Server e backup. Além disso, podemos forçar o registro de algumas mensagens customizadas no log. Esse recurso será demonstrado no item “Escrevendo nos Registros de Log”.

Uma das formas de verificar estes logs é utilizando o Event Viewer, que pode ser aberto digitando “eventvwr.msc” no Executar do Windows. Com a execução desse aplicativo será exibida uma tela com os eventos registrados nos logs ("

[...] continue lendo...

Artigos relacionados