Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaudit Amazon RDS untuk instans SQL Server DB
Bagian ini memberikan informasi tentang opsi audit untuk SQL Server di Amazon RDS, termasuk membuat audit, melihat log audit, dan memantau hasil.
## Prasyarat
+ Bucket Amazon Simple Storage Service (Amazon S3) untuk menyimpan file audit
+ Peran AWS Identity and Access Management (IAM) [untuk mengakses bucket S3](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.IAM)
+ Login database dengan `ALTER ANY SERVER AUDIT` atau `CONTROL SERVER` izin
## Versi yang didukung
+ Untuk Amazon RDS for SQL Server 2014, semua edisi mendukung audit tingkat server. Edisi perusahaan juga mendukung audit tingkat database.
+ Dimulai dengan SQL Server 2016 (13.x) SP1, semua edisi mendukung audit tingkat server dan tingkat database.
+ Amazon RDS saat ini mendukung audit SQL Server di semua Wilayah AWS kecuali Timur Tengah (Bahrain). Untuk informasi terbaru, lihat [Support for SQL Server Audit](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.Support) di dokumentasi Amazon RDS.
## Menggunakan mode audit C2
Mode audit C2 adalah parameter dalam grup parameter Amazon RDS for SQL Server DB. Ini dinonaktifkan secara default. Anda dapat mengaktifkannya dengan memperbarui nilai parameter ke 1. Ketika mode audit C2 diaktifkan, ia mengaudit peristiwa seperti login pengguna, panggilan prosedur tersimpan, dan pembuatan dan penghapusan objek. Mode ini dapat menghasilkan banyak data karena mengaudit semuanya atau tidak sama sekali.
**penting**
Microsoft berencana untuk menghapus mode audit C2 di versi SQL Server yang akan datang. Kami menyarankan Anda menghindari penggunaan fitur ini.
## Membuat dan melihat audit
Anda dapat mengaudit Amazon RDS untuk database SQL Server dengan menggunakan mekanisme audit SQL Server bawaan yang melibatkan pembuatan audit dan spesifikasi audit.
+ Log audit diunggah ke bucket S3 dengan menggunakan peran IAM yang memiliki izin yang diperlukan untuk mengakses bucket.
+ Anda dapat memilih peran IAM, bucket S3, kompresi, dan periode retensi saat membuat grup opsi. Waktu periode retensi maksimum adalah 35 hari.
+ Anda membuat grup opsi dan melampirkannya ke instans Amazon RDS for SQL Server DB baru atau yang sudah ada. Log audit disimpan di`D:\rdsdbdata\SQLAudit`.
+ Setelah SQL Server selesai menulis ke file log audit atau ketika file mencapai batas ukurannya, Amazon RDS mengunggah file ke bucket S3 Anda.
+ Jika Anda mengaktifkan retensi, Amazon RDS memindahkan file ke folder retensi di`D:\rdsdbdata\SQLAudit\transmitted`. Catatan audit disimpan di instans DB hingga file log audit diunggah.
+ Anda juga dapat menemukan catatan audit dengan menanyakan. `dbo.rds_fn_get_audit_file`
Untuk instance multi-AZ, objek spesifikasi audit database direplikasi ke semua node. Spesifikasi audit server dan audit server tidak direplikasi ke semua node, jadi Anda harus membuatnya secara manual.
### Mengkonfigurasi grup opsi
Ikuti langkah-langkah ini untuk mengonfigurasi grup opsi untuk melakukan audit SQL Server pada instans Amazon RDS for SQL Server DB Anda. Untuk petunjuk terperinci, lihat [SQL Server Audit](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html) dalam dokumentasi Amazon RDS.
+ Buat grup opsi.
+ Tambahkan opsi [SQLSERVER\$1AUDIT ke grup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.html) opsi.
+ Untuk **tujuan S3**, buat bucket baru atau pilih bucket yang sudah ada untuk log audit.
+ Untuk **peran IAM**, buat peran baru atau pilih peran yang ada dengan kebijakan yang diperlukan. Untuk informasi selengkapnya, lihat [Membuat peran IAM secara manual untuk SQL Server Audit](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.IAM) dalam dokumentasi IAM.
+ Perluas **Informasi tambahan** dan pilih **Aktifkan kompresi** untuk mengompres log audit (disarankan).
+ Untuk menyimpan log audit untuk instans DB, pilih **Aktifkan retensi** dan tentukan periode retensi (hingga maksimum 35 hari).
+ Terapkan grup opsi ke instans Amazon RDS for SQL Server DB baru atau yang sudah ada.
+ Untuk instans DB baru, terapkan grup opsi saat Anda meluncurkan instans.
+ Untuk instans DB yang ada, [modifikasi instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dan lampirkan grup opsi.
### Membuat audit
Untuk membuat audit server, gunakan skrip berikut. Skrip ini membuat file audit di jalur file yang Anda tentukan. Untuk sintaks, argumen, dan contoh, lihat dokumentasi [Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-server-audit-transact-sql?view=sql-server-ver16). Untuk menghindari kesalahan, tinjau daftar batasan yang tercantum dalam [dokumentasi Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.CreateAuditsAndSpecifications).
```
--Creating the server audit
use master
GO
CREATE SERVER AUDIT [Audit-<>]
TO FILE ( FILEPATH = N'D:\rdsdbdata\SQLAudit', MAXSIZE = 2 MB, RESERVE_DISK_SPACE = OFF)
WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE)
GO
-- Enabling the server audit
ALTER SERVER AUDIT [Audit-<>] WITH (STATE = ON) ;
GO
```
### Membuat spesifikasi audit
Setelah membuat audit server, Anda dapat merekam peristiwa tingkat server dengan membuat spesifikasi audit server dengan kode berikut. Spesifikasi ini menentukan apa yang akan diperiksa selama audit server. Untuk sintaks, argumen, dan contoh, lihat dokumentasi [Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-server-audit-specification-transact-sql). Spesifikasi berikut mengaudit tindakan login gagal dan melacak pembuatan, perubahan, dan penghapusan objek server. Untuk daftar tindakan, lihat [dokumentasi Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/relational-databases/security/auditing/sql-server-audit-action-groups-and-actions).
```
--Creating server audit specification
USE [master]
GO
CREATE SERVER AUDIT SPECIFICATION [Audit-Spec-<>]
FOR SERVER AUDIT [Audit-<>]
ADD (FAILED_LOGIN_GROUP), ADD (SERVER_OBJECT_CHANGE_GROUP)
GO
--Enables the audit
ALTER SERVER AUDIT [Audit-<>]
WITH (STATE = ON);
GO
```
Anda dapat menggunakan kode berikut untuk membuat spesifikasi audit database yang mencatat peristiwa tingkat database. Contoh ini mengaudit `INSERT` tindakan. Untuk sintaks, argumen, dan contoh lainnya, lihat dokumentasi [Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-database-audit-specification-transact-sql).
```
--Creating database audit specification
USE [<>]
GO
CREATE DATABASE AUDIT SPECIFICATION [DatabaseAuditSpecification-<>]
FOR SERVER AUDIT [Audit-<>]
ADD (INSERT ON DATABASE::[<>] BY [dbo])
WITH (STATE = ON)
GO
```
### Melihat log audit
Gunakan kueri berikut untuk melihat log audit. Log audit disimpan dalam instans DB hingga diunggah ke Amazon S3. Jika Anda mengaktifkan retensi untuk opsi [SQLSERVER\$1AUDIT](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.html), Amazon RDS memindahkan file ke folder retensi. `D:\rdsdbdata\SQLAudit\transmitted`
Anda juga dapat melihat catatan audit di folder retensi dengan mengubah filter menjadi`D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit`.
```
--Viewing audit logs
SELECT *
FROM msdb.dbo.rds_fn_get_audit_file
('D:\rdsdbdata\SQLAudit\*.sqlaudit'
, default
, default )
--Viewing audit logs in retention folder
SELECT *
FROM msdb.dbo.rds_fn_get_audit_file
('D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit'
, default
, default )
```
Opsi tambahan untuk mengaudit database SQL Server dibahas dalam dokumentasi berikut dan AWS Microsoft:
+ SQL Server Extended Events: Lihat posting AWS blog [Mengatur Acara Diperpanjang di Amazon RDS for](https://aws.amazon.com/blogs/database/set-up-extended-events-in-amazon-rds-for-sql-server/) SQL Server.
+ Pemicu SQL Server: Lihat [Membuat aturan yang memicu peristiwa Amazon RDS dalam dokumentasi Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-cloud-watch-events.html).
+ Ubah pelacakan: Lihat [Melacak perubahan data](https://learn.microsoft.com/en-us/sql/relational-databases/track-changes/track-data-changes-sql-server) dalam dokumentasi Microsoft SQL Server.
+ Mengubah pengambilan data: Lihat [Menggunakan pengambilan data perubahan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.CommonDBATasks.CDC.html) dalam dokumentasi Amazon RDS.
+ Parameter mode audit C2: Lihat [mode audit c2 Opsi Konfigurasi Server](https://learn.microsoft.com/en-us/sql/database-engine/configure-windows/c2-audit-mode-server-configuration-option) dalam dokumentasi Microsoft SQL Server.
## Pemantauan
Anda dapat menggunakan aliran aktivitas database di Amazon RDS untuk mengintegrasikan peristiwa audit SQL Server dengan alat pemantauan aktivitas database dari Imperva, McAfee dan IBM. Untuk informasi selengkapnya, lihat [Mengaudit di Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DBActivityStreams.Overview.html#DBActivityStreams.Overview.SQLServer-auditing) dalam dokumentasi Amazon RDS.