Comment trouver les modifications de base de données dans SQL Server

Netwrix Auditor pour SQL Server

1. Exécutez Netwrix Auditor → Allez dans "Recherche" → Cliquez sur "Mode avancé" si ce n'est pas sélectionné → Configurez les filtres suivants :
   • Filtre = "Source de données"
     Opérateur = "Égale"
     Valeur = "SQL Server"
   • Filter = "Type d'objet"
     Operator = "Équivaut à"
     Value = "Base de données"
   • Filter = "Action"
     Operator = "Equals"
     Value = "Modified"
2. Cliquez sur le bouton « Rechercher » et examinez les modifications apportées aux bases de données.

En savoir plus sur Netwrix Auditor for SQL Server

Audit Natif

• Exécutez MS SQL Management Studio → Connectez-vous à la base de données que vous souhaitez auditer → Cliquez sur « Nouvelle requête » → Copiez le code suivant dans la boîte « Nouvelle requête » :

      DECLARE @RC int, @TraceID int, @on BIT
EXEC @rc = sp_trace_create @TraceID output, 2, N'C:\path\file'
SELECT RC = @RC, TraceID = @TraceID
-- Follow Common SQL trace event list and common sql trace
-- tables to define which events and table you want to capture
SELECT @on = 1
EXEC sp_trace_setevent @TraceID, 128, 1, @on
-- (128-Event Audit Database Management Event, 1-TextData table column)
EXEC sp_trace_setevent @TraceID, 128, 11, @on
EXEC sp_trace_setevent @TraceID, 128, 14, @on
EXEC sp_trace_setevent @TraceID, 128, 35, @on 
EXEC @RC = sp_trace_setstatus @TraceID, 1
GO
      

• Définissez l'emplacement de la trace de fichier (marqué en rouge) et appuyez sur « Exécuter » pour démarrer une nouvelle trace.
• Exécutez cette requête pour arrêter la trace lorsque vous souhaitez auditer des données :

      sp_trace_setstatus @traceid = 1, @status = 0
      

• Exécutez cette requête afin d'importer la trace dans une table de base de données :

      USE DBname
SELECT * INTO tablename FROM ::fn_trace_gettable('C:\path\file.trc', DEFAULT)
GO
      

• Exécutez cette requête afin de voir les 1000 premières lignes des données de trace :

      SELECT TOP 1000 [TextData] ,[HostName] ,[LoginName] ,[StartTime] ,[EndTime] ,[ServerName] ,[EventClass]
FROM [DBname].[dbo].[tablename]
WHERE DBname.dbo.tablename.TextData IS NOT NULL
      

• Inspectez la colonne "TextData" pour les événements : CREATE DATABASE, DROP DATABASE, ALTER DATABASE afin de savoir quelle base de données a été modifiée. Pour découvrir qui l'a modifiée et quand elle a été modifiée, reportez-vous respectivement aux colonnes "LoginName" et "StartTime".

Détectez les modifications de base de données sur votre SQL Server avant que les données critiques ne soient mises en danger

Pourquoi devons-nous détecter les modifications de base de données dans SQL Server ? Parce que tout changement non autorisé dans une base de données SQL Server, tel que la suppression, la modification ou la création d'une base de données ou de ses objets, peut mettre en péril votre Data Security Posture Management. Par exemple, les suppressions ou modifications peuvent entraîner une perte de données ou l'indisponibilité du système. Même la création de nouvelles bases de données peut poser problème, car elle réduit la quantité d'espace libre sur le serveur.

Netwrix Auditor for SQL Server facilite le suivi et l'audit fiables des changements de base de données, y compris la détection des changements de schéma, des modifications de données et plus encore. Vous n'aurez plus à passer des heures à configurer des requêtes en Transact-SQL, par exemple, pour identifier qui a modifié des tables. Netwrix Auditor for SQL Server offre des tableaux de bord et des rapports prédéfinis et personnalisables qui fournissent tous les détails critiques sur chaque changement de base de données dans un format facile à lire. De plus, la fonctionnalité de recherche interactive vous permet de trouver la cause profonde d'un problème en quelques minutes, et les alertes sur les activités critiques garantissent que vous serez le premier informé des menaces potentielles.