等级保护项目SQL Server审计方案

根据等级保护项目SQL Server审计需求，将SQL Server Default Trace文件保存半年以上。

解决方案

对于用户来讲，Default Trace只能关闭或开启该跟踪，无法修改任何参数。因此，我们只有将跟踪文件同步出来保存。

计划在备域控服务器上，通过Windows自带的robocopy来同步集中交易数据库的*.trc文件到本地，长期保存。

robocopy "\\10.198.1.111\e$\MSSQL12.XXX\MSSQL\Log" "D:\Robocopy\10.198.1.111" *.trc /MON:1 /mot:15 /mon:2

-- ==== Robocopy 介绍 ===============================================

Robocopy能实时监视要备份的文件夹，只要文件夹修改到一定时间和程序，Robocopy就会立即开始备份。它会一直监视文件夹，除非用户自己终止。
　　[简单命令]
　　robocopy d:\work e:\back /e /copyall /mot:1 /mon:2
　　[参数讲解]
　　上述命令表示复制文件夹所有信息到目标文件夹并进行监视。执行此命令后，命令提示符窗口如下图所示。一旦时间过了一分钟，并且源文件夹至少有或2处以上的修改，Robocopy就会自动启动另一个进程
，执行上述备份操作。Robocopy能监视源文件夹结构、文件和文件夹名称、大小、最后修改时间，在这里，甚至连属性和权限等信息被修改时，Robocopy也会记为修改次数。

-- ==== Default Trace 介绍 ===============================================

SQL Server Default Trace 在SQL Server实例安装后，默认开启。是SQL Server中默认开启的最轻量级跟踪，由5个跟踪文件（.trc）组成，每个文件的最大值为20MB，存储在SQL Server log目录。如下图，当SQL Server重启后，或者当当前使用的文件达到最大值时，最旧的文件被删除。

它记录的有用的审计有 Object事件 和 Security Audit事件。

Objects事件包括：
Object Altered
Object Created
Object Deleted

Security Audit事件包括：
Audit Add DB user event
Audit Add login to server role event
Audit Add Member to DB role event
Audit Add Role event
Audit Add login event
Audit Backup/Restore event
Audit Change Database owner
Audit DBCC event
Audit Database Scope GDR event (Grant, Deny, Revoke)
Audit Login Change Property event
Audit Login Failed
Audit Login GDR event
Audit Schema Object GDR event
Audit Schema Object Take Ownership
Audit Server Starts and Stops