Comment auditer les connexions SQL Server

Netwrix Auditor pour SQL Server

1. Ouvrez Netwrix Auditor → Allez dans Rapports | Prédéfinis | SQL Server | Tous les accès SQL Server → Cliquez sur « Afficher ».

Vous pouvez maintenant voir tous les utilisateurs qui accèdent à votre base de données SQL.

En savoir plus sur Netwrix Auditor for SQL Server

Audit Natif

Pour auditer les connexions SQL Server, nous devons configurer les paramètres d'audit SQL Server, qui ont été introduits dans SQL Server Database 2008.

1. Connectez l'instance du serveur SQL via SQL Server Management Studio.
2. Accédez à Sécurité → Cliquez-droit sur « Audits » et sélectionnez « Nouvel audit » → Saisissez un nom pour l'audit et sélectionnez l'emplacement où les journaux d'audit du serveur SQL seront stockés → Cliquez sur « OK » → Cliquez-droit sur l'audit nouvellement créé et sélectionnez « Activer l'audit ».
3. Cliquez avec le bouton droit sur « Server Audit Specification » et sélectionnez « New Server Audit Specification » → Saisissez un nom approprié → Sélectionnez le nouvel audit dans le menu déroulant d'audit → Dans la colonne « Audit action type », sélectionnez « Failed Login Group » et « Successful Login Group » → Cliquez sur « OK » → Cliquez avec le bouton droit sur la spécification d'audit de serveur nouvellement créée et sélectionnez « Enable server audit specification ».
4. Pour consulter le journal de connexion d'audit de SQL Server, naviguez vers Sécurité | Audits → Cliquez droit sur l'audit nouvellement créé et sélectionnez « Afficher les journaux d'audit »

Maintenant, vous pouvez lire tous les événements d'audit de connexion dans votre base de données SQL.

Activez l'audit de connexion SQL Server pour protéger vos bases de données sensibles contre les accès non autorisés

La surveillance des connexions réussies au SQL Server est essentielle pour obtenir des informations sur qui accède à votre base de données. Par exemple, lorsqu'un utilisateur suspect se connecte à une base de données sensible, vous devez immédiatement mener une enquête de sécurité. Vous devez également surveiller les tentatives de connexion échouées. Bien qu'un certain nombre de tentatives de connexion échouées soient à prévoir pendant les opérations commerciales normales, un nombre inhabituellement élevé de tentatives de connexion échouées peut indiquer qu'un attaquant ou un logiciel malveillant essaie de pénétrer dans votre base de données en devinant les noms d'utilisateur et les mots de passe. Activer l'audit de connexion SQL vous aidera à détecter les menaces internes et externes à temps pour protéger vos bases de données SQL contre les violations de données. Ces capacités sont incluses dans les services d'audit de SQL Server, mais ce n'est pas une solution très pratique car les événements réellement suspects sont noyés dans l'énorme quantité de données de bruit.

Netwrix Auditor for SQL Server offre une visibilité complète et un contrôle sur les modifications et les événements d'accès dans les bases de données SQL, y compris l'audit des tentatives de connexion réussies et échouées depuis Active Directory ou localement. L'application est fournie avec un large ensemble de rapports prédéfinis, y compris le rapport « All SQL Server Logons », qui vous permet d'auditer facilement les tentatives de connexion réussies et échouées. Il fournit tous les détails critiques qui-quoi-quand-où dont vous avez besoin pour rationaliser l'audit des tentatives de connexion à la base de données ou au SQL Server Management Studio afin de minimiser le risque de violation de la sécurité. De plus, vous pouvez stocker votre piste d'audit complète de SQL Server pendant des années dans le stockage à deux niveaux rentable (base de données SQL + stockage basé sur des fichiers).