SQL Serverの監査ログとは?ツールで簡単にアクセスログを解析する方法

Windowsイベントログ・Syslog対応 ログ管理ソフト

SQL Serverのログでできることとは?

Microsoft SQL Serverのログは、データベースの健全な動作や動作性能を確認するために参照するほか、エラーなどの問題の原因を調査する場合や、SQLインジェクションの試行などのセキュリティ上懸念となるアクセスを確認するためにも利用されます。

SQL Serverのログを確認するためには一般的に、標準ツールであるMicrosoft SQL Server Management Studio(SSMS)を使用しますが、Windowsイベントログも含めて様々なタイプのログが集約されており、このツールだけでSQL Serverの動作を把握することは困難です。

また、エラーログのようにテキスト形式で保存されているログ、トレースログやイベントログのようにMicrosoft独自のバイナリ形式で保存されているログが混在しており、外部からログを効果的に確認できるツールを自前で用意するためには、様々なテクニックが要求されます。

そのため、多くの管理者がツールを導入してログを活用しています。

SQL Serverのログを解析し、簡単に監査に活用できるツール

ManageEngineが提供する統合ログ管理ソフト「EventLog Analyzer」もSQL Serverのログを管理できるツールのひとつです。Microsoft SQL Server上のアクティビティ、アクセス、アカウント管理など、あらゆる側面における情報の統計、検索、イベントの通知、監査のために幅広く活用することができる機能を用意しています。

SQL Serverのログ管理

  • 定義済みレポートにより、DMLおよびDDLクエリに関する情報を表示します
  • MS SQLサーバーにおいて、権限のあるユーザーアカウントに対する変更を追跡します
  • 機密データやデータベースサーバーに対する未承認のアクセスに関して、アラート通知を設定できます
  • 収集したログをダッシュボード上で視覚的にレポート表示します。

SQL Serverログ監査機能

SQL Server DDLの監査

  • データベース構造レベルの変更(表、表示、手順、トリガー、スキーマ等)を追跡します
  • 「誰が」「どのような変更を」「いつ」「どこから」行なったかのレポートを表示します
  • DDLレベルの変更に関する通知を、メール通知します

SQLサーバーDMLアクティビティの監査

  • データベースの関数レベルのアクティビティをレポートで表示します
  • 関数クエリの「実行日時」「実行者」「実行場所」を表示します
  • データの「表示」「更新」「削除」「機密データへの新規エントリー追加」等を表示します

SQLサーバーアカウントの監査

  • 「ユーザー」「ログオン」「ログオフ」「パスワード」等、アカウントに関する情報を追跡します
  • 権限のあるアカウントが「作成」「削除」「修正」された日時を記録します
  • 重要なアカウントのパスワードが変更された日時を記録します
  • ログオンおよびログオフアクティビティを監査することで、異常なログオンの挙動の検知に役立ちます

SQLサーバーアクティビティの監査

  • 「起動」「シャットダウン」「ログオン」「ログオン失敗」等のMS SQLアクティビティを監査します
  • 「データベースバックアップ」「復旧」「監査」「監査仕様」「管理者特権」等に関するレポートを表示します
  • データベースのログオンアクティビティの頻度を把握して、ログオン失敗のトレンドパターンを可視化します

SQLサーバーへのサイバー攻撃を軽減

EventLog Analyzerは、データベースへセキュリティ攻撃に関するレポートを提供します。

  • SQLインジェクションおよびサービス攻撃拒否に関するレポートを提供し、攻撃発生時のフォレンジック分析に役立ちます
  • 「アカウントのロックアウト」、「権限の不正利用」、「機密データの未承認のコピー」等、重要なイベントに関してアラート通知を設定できます。

 

MSSQLサーバーに関する関連資料は以下よりダウンロードすることができます。

不正アクセスを早期検知!EventLog AnalyzerのMSSQL監査ガイド