2009-12-30

變更修改 c2 稽核模式所產生的稽核記錄檔之存放路徑



朋友詢問要如何變更 c2 稽核模式所產生的稽核記錄檔之存放路徑呢?

請參考以下的方式:
--01 查詢資料庫的資料檔案之預設路徑:
declare @SmoDefaultFile nvarchar(512)
exec master.dbo.xp_instance_regread N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'DefaultData', @SmoDefaultFile OUTPUT
SELECT ISNULL(@SmoDefaultFile,N'') AS N'資料檔案的預設路徑'





--02 變更資料庫的資料檔案之預設路徑為磁碟 D:\myTrace
USE [master]
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'DefaultData', REG_SZ, N'D:\myTrace'
GO

--03 查詢資料庫的資料檔案之預設路徑,已經變更為磁碟 D:\myTrace
declare @SmoDefaultFile nvarchar(512)
exec master.dbo.xp_instance_regread N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'DefaultData', @SmoDefaultFile OUTPUT
SELECT ISNULL(@SmoDefaultFile,N'') AS N'資料檔案的預設路徑'






--04 查詢是否有啟用 C2 稽核追蹤,預設是未啟用。
SELECT * FROM sys.configurations
WHERE name='c2 audit mode'

--05 設定啟用 C2 稽核追蹤
EXEC sys.sp_configure 'show advanced options', 1 ;
GO
RECONFIGURE ;
GO
EXEC sys.sp_configure N'c2 audit mode', N'1'
GO
RECONFIGURE WITH OVERRIDE
GO







--06 請重新啟動 SQL Server

--07 查詢是否有啟用 C2 稽核追蹤
SELECT * FROM sys.configurations
WHERE name='c2 audit mode'

--08 查詢系統中目前在執行的追蹤
SELECT * FROM sys.traces









關於 C2 稽核模式
選取這個選項,會將伺服器設定為將存取陳述式和物件的失敗嘗試和成功嘗試都記錄下來。這項資訊可協助您分析系統活動並追蹤可能的安全性原則違規。
C2 稽核模式資料會儲存在執行個體之預設資料目錄的檔案中。

如果稽核記錄檔已達到 200 MB 的大小限制,SQL Server 將建立新檔案、關閉舊檔案,並將所有新稽核記錄寫入新檔案。
在填滿稽核資料目錄或關閉稽核之前,會繼續進行這個程序。若要判斷 C2 追蹤的狀態,請查詢 sys.traces 目錄檢視。


重要事項:
C2 稽核模式會將大量的事件資訊儲存到記錄檔,因此該記錄檔會快速成長。
如果儲存記錄檔的資料目錄已用盡空間,SQL Server 將自行關閉。
如果將稽核設為自動啟動,您必須以 -f 旗標 (不使用稽核) 重新啟動執行個體,或為稽核記錄檔釋放額外的磁碟空間。

參考資料:
c2 稽核模式選項
http://technet.microsoft.com/zh-tw/library/ms187634.aspx

沒有留言:

張貼留言