Я изо всех сил пытаюсь провести аудит с использованием журналов приложений на SQL Server 2012 на основе различных ответов, которые я нашел здесь, и документации Microsoft. В качестве теста я выполнил следующий сценарий в Management Studio и сообщил об успехе. Однако, когда я намеренно отказываюсь от входа в систему, я не вижу записей в журнале ОС.Журнал событий аудита SQL Server
USE master
GO
CREATE SERVER AUDIT AuditDataAccess TO APPLICATION_LOG
GO
CREATE SERVER AUDIT SPECIFICATION HIPPA_Audit_Specification
FOR SERVER AUDIT AuditDataAccess
ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON)
GO
ALTER SERVER AUDIT AuditDataAccess WITH (STATE = ON)
GO
Разъяснение: Это работает, если я ставлю вывод в файл вместо журнала OS. Если я создаю объект так:
CREATE SERVER AUDIT AuditDataAccess TO FILE (FILEPATH ='C:\SqlAudit\')
GO
... это работает, и я могу получить данные с помощью:
SELECT * FROM sys.fn_get_audit_file ('c:\SqlAudit\AuditDataAccess_*.sqlaudit',default,default);
GO
Что я делаю неправильно в связи с использованием OS Журнал приложений?
Редактировать: Если ничего, то я просто ищу не в том месте? Я привел Windows 7 EventViewer и посмотрел в каждом поддереве Event Viewer (локальный)/Windows Logs. Я также просмотрел журналы просмотра событий (локальные)/приложения и службы, но не вижу записи для SQL Server за пределами пустых «Microsoft-SQLServerDataTools».
Это должно сработать. Как упрощение, что произойдет, если вы укажете полный путь к файлу sqlaudit (вместо подстановочного знака, который у вас есть)? –
Подстановочный знак работает. Я, вероятно, не был ясен ... файлы работают. Журналы событий приложений OS не поддерживают. – Tad
А, я виноват, я прочитал его назад. Хм, я просто проверил свой локальный экземпляр. Я получил событие в журнале приложений с eventid = 33205. Вы ничего не получаете? Даже не для запуска аудита? –