在中提到過，安全分為主動安全和被動安全，前面關於賬號許可權的算主動安全，那麼被動安全指的是記錄使用者活動以避免不可抵賴性威脅。這個很重要，因為如果攻擊是由特權使用者發起，那麼基本上是很難阻止。SQL Server稽核則可以從很大程度上幫助實現被動安全。

但是需要反覆提醒，安全是整體的，不僅SQL Server需要有稽核，作業系統、網路、域、應用程式都應該儘可能提供足夠的稽核。

何為稽核？

SQL Server稽核使得DBA可以對例項層面和資料庫層面的活動資訊進行細粒度收集。稽核日誌可以儲存為二進位制檔案、Windows安全事件日誌（Windows security log）或者Windows應用程式事件日誌（Windows Application Log），稽核日誌的儲存位置稱為target。每個稽核對應一個target。 SQL Server稽核駐留在例項級別，一個例項可以建立多個伺服器稽核。對於負載很重的環境，多個審計可以通過部署不同的稽核目標檔案到不同的盤上來分攤負載。 在選擇target的時候有兩個因素需要考慮：

1. 型別：Windows Application log允許任何授權到這個伺服器的Windows使用者都可訪問，而Windows Security Log會更加安全但是更加複雜。
2. 大小：稽核資料的體積不小，儲存在小盤上顯然會帶來風險。

SQL Server 稽核操作（Actions）和操作組（Action Groups）：

SQL Server稽核事件是基於事件類。相關的操作會組合在一個稽核操作組中。操作組又對映到SQL Server事件類目錄。 當建立一個伺服器稽核規範（specification）或者資料庫稽核規範時，可以配置稽核規範去捕獲稽核操作組。 稽核組在三種獨立層面上可用：Server（及例項級別）、Database和稽核級別（audit）。通過不同層級的稽核，可以避免特權使用者把稽核結果也修改甚至刪除。 詳細的操作組與操作列表及說明可見官方文件：SQL Server 稽核操作組與操作 ，裡面包含了伺服器級別、資料庫級別和稽核級別三部分。資料庫級別的組跟例項級別的組有很多是一樣的，區別在於資料庫級別的僅用於對應資料庫，而例項級別的用於例項上所有的庫。

SQL Server 稽核記錄：

每個記錄具有sequence_no值，同時注意捕獲的statement和addtional_information均為nvarchar型別。另外稽核捕獲的資訊並非全部，有些操作不捕獲到稽核記錄中。同時欄位儲存最多4000個字元，當additional_information和statement超過4000字元時，sequnce_no會拆成多個記錄來儲存單一操作。過程如下：

1. 記錄某個操作的statement，該列最大4000字元。
2. 當statement超過4000字元時，新插入一行資料，除sequence_no遞增和statement之外，其他列均重複。
3. 重複1、2步，直到這個statement記錄完畢。

使用sequence_no按順序連線，並使用event_time、action_id和session_id來搭配標識一個操作。 下一篇：SQL Server 安全篇——SQL Server 稽核（2）——稽核實操