Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controllo delle istanze DB di Amazon RDS for SQL Server
<a name="auditing-rds-sql-instances"></a>

Questa sezione fornisce informazioni sulle opzioni di controllo per SQL Server su Amazon RDS, tra cui la creazione di audit, la visualizzazione dei log di controllo e il monitoraggio dei risultati.

## Prerequisiti
<a name="rds-prerequisites"></a>
+ Un bucket Amazon Simple Storage Service (Amazon S3) per l'archiviazione dei file di controllo
+ Un [ruolo AWS Identity and Access Management (IAM) per l'accesso al bucket S3](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.IAM)
+ Un accesso al database con l'autorizzazione o `ALTER ANY SERVER AUDIT` `CONTROL SERVER`

## Versioni supportate
<a name="rds-versions"></a>
+ Per Amazon RDS for SQL Server 2014, tutte le edizioni supportano gli audit a livello di server. L'edizione Enterprise supporta anche gli audit a livello di database.
+ A partire da SQL Server 2016 (13.x) SP1, tutte le edizioni supportano gli audit sia a livello di server che a livello di database.
+ Amazon RDS attualmente supporta gli audit di SQL Server in tutti i paesi Regioni AWS tranne il Medio Oriente (Bahrein). Per le informazioni più recenti, consulta [Support for SQL Server Audit](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.Support) nella documentazione di Amazon RDS.

## Utilizzo della modalità di controllo C2
<a name="rds-c2"></a>

La modalità di controllo C2 è un parametro nel gruppo di parametri DB Amazon RDS for SQL Server. L'opzione è disabilitata per impostazione predefinita. Puoi abilitarla aggiornando il valore del parametro a 1. Quando la modalità di controllo C2 è abilitata, controlla eventi come accessi utente, chiamate di stored procedure e creazione ed eliminazione di oggetti. Questa modalità può generare molti dati perché controlla tutto o niente.

**Importante**  
Microsoft prevede di rimuovere la modalità di controllo C2 in una versione futura di SQL Server. Si consiglia di evitare l'utilizzo di questa funzionalità.

## Creazione e visualizzazione degli audit
<a name="rds-creating-viewing"></a>

Puoi controllare i database Amazon RDS for SQL Server utilizzando meccanismi di controllo integrati di SQL Server che prevedono la creazione di audit e specifiche di audit. 
+ I log di controllo vengono caricati in un bucket S3 utilizzando un ruolo IAM che dispone delle autorizzazioni necessarie per accedere al bucket. 
+ Puoi scegliere il ruolo IAM, il bucket S3, la compressione e il periodo di conservazione quando crei il gruppo di opzioni. Il periodo di conservazione massimo è di 35 giorni.
+ È necessario creare il gruppo di opzioni e collegarlo a un'istanza database Amazon RDS for SQL Server nuova o esistente.  I log di controllo vengono archiviati in. `D:\rdsdbdata\SQLAudit` 
+ Dopo che SQL Server ha terminato la scrittura su un file di registro di controllo o quando il file raggiunge il limite di dimensione, Amazon RDS carica il file nel tuo bucket S3.
+ Se abiliti la conservazione, Amazon RDS sposta il file nella cartella di conservazione all'indirizzo`D:\rdsdbdata\SQLAudit\transmitted`. I registri dell'audit vengono conservati nell'istanza database fino a quando non viene caricato il file di log dell'audit. 
+ Puoi anche trovare i record di controllo eseguendo una query per. `dbo.rds_fn_get_audit_file` 

Per le istanze Multi-AZ, gli oggetti delle specifiche di controllo del database vengono replicati su tutti i nodi.  Le specifiche di controllo del server e di audit del server non vengono replicate su tutti i nodi, quindi è necessario crearle manualmente.

### Configurazione del gruppo di opzioni
<a name="rds-configure-option-group"></a>

Segui questi passaggi per configurare un gruppo di opzioni per eseguire un audit di SQL Server sulla tua istanza DB Amazon RDS for SQL Server. Per istruzioni dettagliate, consulta [SQL Server Audit](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html) nella documentazione di Amazon RDS.
+ Crea un gruppo di opzioni.
+ Aggiungete l'opzione [SQLSERVER\$1AUDIT](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.html) al gruppo di opzioni.
+ Per la **destinazione S3**, crea un nuovo bucket o seleziona un bucket esistente per i log di controllo.
+ Per il **ruolo IAM**, crea un nuovo ruolo o scegli un ruolo esistente con le politiche richieste. Per ulteriori informazioni, consulta [Creazione manuale di un ruolo IAM per SQL Server Audit](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.IAM) nella documentazione IAM.
+ Espandi **Informazioni aggiuntive** e seleziona **Abilita la compressione** per comprimere i log di controllo (consigliato).
+ Per conservare i log di controllo per l'istanza DB, seleziona **Abilita conservazione** e specifica un periodo di conservazione (fino a un massimo di 35 giorni).
+ Applica il gruppo di opzioni a un'istanza database Amazon RDS for SQL Server nuova o esistente.
  + Per una nuova istanza database, applicare il gruppo di opzioni quando viene avviata l'istanza.
  + Per un'istanza DB esistente, [modifica l'istanza](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) e collega il gruppo di opzioni.

### Creazione degli audit
<a name="rds-create-audit"></a>

Per creare un audit del server, utilizzate lo script seguente. Questo script crea il file di controllo nel percorso del file specificato. Per la sintassi, gli argomenti e gli esempi, vedere la [documentazione di Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-server-audit-transact-sql?view=sql-server-ver16). Per evitare errori, consulta l'elenco delle limitazioni elencate nella [documentazione di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.Audit.html#Appendix.SQLServer.Options.Audit.CreateAuditsAndSpecifications).

```
--Creating the server audit
 use master
 GO
 CREATE SERVER AUDIT [Audit-<<servername>>]
 TO FILE  ( FILEPATH = N'D:\rdsdbdata\SQLAudit', MAXSIZE = 2 MB, RESERVE_DISK_SPACE = OFF)
 WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE)
 GO
-- Enabling the server audit  
 ALTER SERVER AUDIT [Audit-<<servername>>] WITH (STATE = ON) ;
 GO
```

### Creazione delle specifiche dell'audit
<a name="rds-create-audit-spec"></a>

Dopo aver creato un audit del server, puoi registrare gli eventi a livello di server creando una specifica di controllo del server con il codice seguente. Questa specifica determina cosa verrà controllato durante l'audit del server. Per la sintassi, gli argomenti e gli esempi, vedere la [documentazione di Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-server-audit-specification-transact-sql). La seguente specifica verifica le azioni di accesso non riuscite e tiene traccia della creazione, della modifica e dell'eliminazione degli oggetti del server. Per un elenco di azioni, consulta la [documentazione di Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/relational-databases/security/auditing/sql-server-audit-action-groups-and-actions).

```
--Creating server audit specification
 USE [master]
 GO
 CREATE SERVER AUDIT SPECIFICATION [Audit-Spec-<<servername>>]
 FOR SERVER AUDIT  [Audit-<<servername>>]
 ADD (FAILED_LOGIN_GROUP), ADD (SERVER_OBJECT_CHANGE_GROUP)
 GO
--Enables the audit 
 ALTER SERVER AUDIT [Audit-<<servername>>]  
 WITH (STATE = ON);  
 GO
```

È possibile utilizzare il codice seguente per creare una specifica di controllo del database che registri gli eventi a livello di database. Questo esempio verifica le azioni. `INSERT` Per la sintassi, gli argomenti e altri esempi, consulta la [documentazione di Microsoft SQL Server](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-database-audit-specification-transact-sql).

```
--Creating database audit specification
 USE [<<DBName>>]
 GO
 
 CREATE DATABASE AUDIT SPECIFICATION [DatabaseAuditSpecification-<<DBName>>]
 FOR SERVER AUDIT [Audit-<<ServerName>>]
 ADD (INSERT ON DATABASE::[<<DBName>>] BY [dbo])
 WITH (STATE = ON)
 GO
```

### Visualizzazione dei log di audit
<a name="rds-view-audit-log"></a>

Utilizzare la seguente query per visualizzare i log di controllo. I log di controllo vengono conservati nell'istanza DB fino a quando non vengono caricati su Amazon S3. Se abiliti la conservazione per l'[opzione SQLSERVER\$1AUDIT](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.html), Amazon RDS sposta il file nella cartella di conservazione. `D:\rdsdbdata\SQLAudit\transmitted`

Puoi anche visualizzare i record di controllo nella cartella di conservazione modificando il filtro in. `D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit`

```
--Viewing audit logs
SELECT   * 
	FROM     msdb.dbo.rds_fn_get_audit_file
	             ('D:\rdsdbdata\SQLAudit\*.sqlaudit'
	             , default
	             , default )
--Viewing audit logs in retention folder
SELECT   * 
	FROM     msdb.dbo.rds_fn_get_audit_file
	             ('D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit'
	             , default
	             , default )
```

Le opzioni aggiuntive per il controllo dei database di SQL Server sono illustrate nella seguente documentazione AWS e nella documentazione Microsoft:
+ Eventi estesi di SQL Server: consulta il post di AWS blog [Configurare gli eventi estesi in Amazon RDS for SQL Server](https://aws.amazon.com/blogs/database/set-up-extended-events-in-amazon-rds-for-sql-server/).
+ Trigger di SQL Server: vedi [Creazione di una regola che si attiva su un evento Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-cloud-watch-events.html) nella documentazione di Amazon RDS.
+ Tracciamento delle modifiche: vedi [Tenere traccia delle modifiche ai dati](https://learn.microsoft.com/en-us/sql/relational-databases/track-changes/track-data-changes-sql-server) nella documentazione di Microsoft SQL Server.
+ Modifica dell'acquisizione dei dati: vedi [Utilizzo dell'acquisizione dei dati di modifica](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.CommonDBATasks.CDC.html) nella documentazione di Amazon RDS.
+ Parametro della modalità di controllo [C2: vedere l'opzione di configurazione del server in modalità di controllo](https://learn.microsoft.com/en-us/sql/database-engine/configure-windows/c2-audit-mode-server-configuration-option) c2 nella documentazione di Microsoft SQL Server.

## Monitoraggio
<a name="rds-monitoring"></a>

Puoi utilizzare i flussi di attività del database in Amazon RDS per integrare gli eventi di audit di SQL Server con gli strumenti di monitoraggio delle attività del database di Imperva e McAfee IBM. Per ulteriori informazioni, consulta [Auditing in Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DBActivityStreams.Overview.html#DBActivityStreams.Overview.SQLServer-auditing) nella documentazione di Amazon RDS.