F Microsoft SQL ServerのSQL監査イベントおよびイベント・ログ・イベント

ここでのトピック

• SQL監査イベント

• イベント・ログ・イベント

SQL監査イベント

SQL監査イベントは、サーバー・レベル、データベース・レベルのイベントのグループおよび個別のイベントをマップします。監査アクション項目には、表のSELECT操作などの個別のアクションや、SERVER_PERMISSION_CHANGE_GROUPなどのアクションのグループがあります。

SQL監査イベントは、次の3つのイベントのカテゴリを追跡します。

• サーバー・レベル: これらのアクションには、管理変更、ログオンおよびログオフ操作などのサーバー操作があります。

• データベース・レベル: これらのアクションには、データ操作言語(DML)およびデータ定義言語(DDL)があります。

• 監査レベル: これらのアクションには、監査プロセスでのアクションがあります。

表F-1 SQL監査イベント

ソース・イベント	イベントの説明	command_class	target_type
DATABASE_ROLE_MEMBER_CHANGE_GROUP	データベース・ロール・メンバー変更グループ	ALTER	リスト1のいずれか
BACKUP LOG	バックアップ・ログ	BACKUP	リスト1のいずれか
ALTER RESOURCES	リソースの変更	ALTER	リスト1のいずれか
DELETE	削除	DELETE	リスト1のいずれか
BROKER LOGIN	ブローカ・ログイン	LOGIN	リスト1のいずれか
LOGOUT GROUP	ログアウト・グループ	LOGOUT	リスト1のいずれか
MUST CHANGE PASSWORD	パスワードの変更が必要	UPDATE	リスト1のいずれか
DROP MEMBER	メンバーの削除	DROP	リスト1のいずれか
DENY	拒否	DENY	リスト1のいずれか
SEND	送信	SEND	リスト1のいずれか
SELECT	選択	SELECT	リスト1のいずれか
SERVER_CONTINUE	サーバーの続行	RESUME	リスト1のいずれか
SERVER OPERATION GROUP	サーバー操作グループ	EXECUTE	リスト1のいずれか
INSERT	挿入	INSERT	リスト1のいずれか
EXECUTE	実行	EXECUTE	リスト1のいずれか
SHOW PLAN	計画の表示	EXECUTE	リスト1のいずれか
SUCCESSFUL_LOGIN_GROUP	成功ログイン・グループ	LOGIN	リスト1のいずれか
SERVER_ROLE_MEMBER_CHANGE_GROUP	サーバー・ロール・メンバー変更グループ	ALTER	リスト1のいずれか
ALTER TRACE	トレースの変更	ALTER	リスト1のいずれか
CREDENTIAL MAP TO LOGIN	ログインするための資格証明マップ	SET	リスト1のいずれか
FULL TEXT	全文	EXECUTE	リスト1のいずれか
TRACE AUDIT C2ON	トレース監査C2On	AUDIT	リスト1のいずれか
BULK ADMIN	一括管理	INSERT	リスト1のいずれか
TRACE AUDIT C2OFF	トレース監査C2Off	NOAUDIT	リスト1のいずれか
VIEW SERVER STATE	サーバー状態の表示	EXECUTE	リスト1のいずれか
SCHEMA_OBJECT_ACCESS_GROUP	スキーマ・オブジェクト・アクセス・グループ	ACCESS	リスト1のいずれか
ALTER CONNECTION	接続の変更	ALTER	リスト1のいずれか
ALTER SETTINGS	設定の変更	ALTER	リスト1のいずれか
ALTER SERVER STATE	サーバー状態の変更	ALTER	リスト1のいずれか
EXTERNAL ACCESS ASSEMBLY	外部アクセス・アセンブリ	ACCESS	リスト1のいずれか
OPEN	開く	OPEN	リスト1のいずれか
AUDIT SHUTDOWN ON FAILURE	失敗時に監査停止	NOAUDIT	リスト1のいずれか
AUDIT SESSION CHANGED	監査セッション変更	AUDIT	リスト1のいずれか
BACKUP_RESTORE_GROUP	バックアップ・リストア・グループ	RESTORE	リスト1のいずれか
SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP	サーバー・オブジェクト所有権変更グループ	ALTER	リスト1のいずれか
AUTHENTICATE	認証	AUTHENTICATE	リスト1のいずれか
DATABASE_OWNERSHIP_CHANGE_GROUP	データベース所有権変更グループ	ALTER	リスト1のいずれか
REFERENCES	参照	ACCESS	リスト1のいずれか
SERVER_STARTED	サーバー起動	STARTUP	リスト1のいずれか
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP	データベース・オブジェクト所有権変更グループ	ALTER	リスト1のいずれか
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP	スキーマ・オブジェクト権限変更グループ	ALTER	リスト1のいずれか
IMPERSONATE	偽装	PROXY	リスト1のいずれか
CREATE	作成	CREATE	リスト1のいずれか
SERVER_STATE_CHANGE_GROUP	サーバー状態変更グループ	ALTER	リスト1のいずれか
TAKE OWNERSHIP	所有権の取得	ALTER	リスト1のいずれか
TRANSFER	転送	MOVE	リスト1のいずれか
CHANGE USERS LOGIN AUTO	ユーザー自動ログインの変更	ALTER	リスト1のいずれか
ADD MEMBER	メンバーの追加	UPDATE	リスト1のいずれか
VIEW CHANGETRACKING	変更トラッキングの表示	EXECUTE	リスト1のいずれか
LOGIN FAILED	ログイン失敗	LOGIN	リスト1のいずれか
DATABASE_PRINCIPAL_CHANGE_GROUP	データベース・プリンシパル変更グループ	ALTER	リスト1のいずれか
DATABASE_OBJECT_CHANGE_GROUP	データベース・オブジェクト変更グループ	UPDATE	リスト1のいずれか
DATABASE_MIRRORING_LOGIN_GROUP	データベース・ミラー化ログイン・グループ	LOGIN	リスト1のいずれか
ALTER	変更	LOGIN	リスト1のいずれか
PASSWORD EXPIRATION	パスワードの失効	EXPIRE	リスト1のいずれか
UPDATE	更新	UPDATE	リスト1のいずれか
NAME CHANGE	名前の変更	ALTER	リスト1のいずれか
LOGOUT	ログアウト	LOGOUT	リスト1のいずれか
LOGIN SUCCEEDED	ログイン成功	LOGIN	リスト1のいずれか
DATABASE_CHANGE_GROUP	データベース変更グループ	UPDATE	リスト1のいずれか
LOGIN_CHANGE_PASSWORD_GROUP	ログイン変更パスワード・グループ	UPDATE	リスト1のいずれか
RESET OWN PASSWORD	自分のパスワードのリセット	RESET	リスト1のいずれか
CHANGE USERS LOGIN	ユーザー・ログインの変更	ALTER	リスト1のいずれか
TRACE_CHANGE_GROUP	変更グループのトレース	ALTER	リスト1のいずれか
FAILED_LOGIN_GROUP	失敗ログイン・グループ	LOGIN	リスト1のいずれか
TRACE AUDIT STOP	トレース監査停止	NOAUDIT	リスト1のいずれか
REVOKE	権限取消し	REVOKE	リスト1のいずれか
CHANGE OWN PASSWORD	自分のパスワードの変更	UPDATE	リスト1のいずれか
CHANGE LOGIN CREDENTIAL	ログイン資格証明の変更	ALTER	リスト1のいずれか
RECEIVE	受信	GET	リスト1のいずれか
AUDIT_CHANGE_GROUP	変更グループの監査	AUDIT	リスト1のいずれか
CHANGE DEFAULT LANGUAGE	デフォルト言語の変更	ALTER	リスト1のいずれか
CHANGE PASSWORD	パスワードの変更	UPDATE	リスト1のいずれか
RESTORE	リストア	RESTORE	リスト1のいずれか
DATABASE MIRRORING LOGIN	データベース・ミラー化ログイン	LOGIN	リスト1のいずれか
REVOKE WITH CASCADE	カスケードで取消	REVOKE	リスト1のいずれか
DROP	削除	DROP	リスト1のいずれか
SERVER_OBJECT_CHANGE_GROUP	サーバー・オブジェクト変更グループ	ALTER	リスト1のいずれか
VIEW_DATABASE_STATE	データベース状態の表示	EXECUTE	リスト1のいずれか
SERVER_PRINCIPAL_CHANGE_GROUP	サーバー・プリンシパル変更グループ	ALTER	リスト1のいずれか
UNLOCK ACCOUNT	アカウントのロック解除	UNLOCK	リスト1のいずれか
FULLTEXT_GROUP	全文テキスト・グループ	EXECUTE	リスト1のいずれか
ENABLE	有効化	ENABLE	リスト1のいずれか
PASSWORD POLICY	パスワード・ポリシー	UPDATE	リスト1のいずれか
REVOKE WITH GRANT	権限付きで取消	REVOKE	リスト1のいずれか
DATABASE_PRINCIPAL_IMPERSONATION_GROUP	データベース・プリンシパル偽装グループ	PROXY	リスト1のいずれか
RESET PASSWORD	パスワードのリセット	RESET	リスト1のいずれか
SUBSCRIBE QUERY NOTIFICATION	問合せ通知のサブスクライブ	SUBSCRIBE	リスト1のいずれか
SERVER_PRINCIPAL_IMPERSONATION_GROUP	サーバー・プリンシパル偽装グループ	PROXY	リスト1のいずれか
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP	アプリケーション・ロール変更パスワード・グループ	UPDATE	リスト1のいずれか
TRACE AUDIT START	トレース監査開始	AUDIT	リスト1のいずれか
DATABASE OBJECT PERMISSION CHANGE GROUP	データベース・オブジェクト権限変更グループ	ALTER	リスト1のいずれか
SERVER PAUSED	サーバー一時停止	PAUSE	リスト1のいずれか
DATABASE_OPERATION_GROUP	データベース操作グループ	DML	リスト1のいずれか
ACCESS	アクセス	ACCESS	リスト1のいずれか
DATABASE_PERMISSION_CHANGE_GROUP	データベース権限変更グループ	ALTER	リスト1のいずれか
UNSAFE ASSEMBLY	安全でないアセンブリ	ACCESS	リスト1のいずれか
DENY WITH CASCADE	カスケードで拒否	DENY	リスト1のいずれか
DBCC_GROUP	DBCCグループ	EXECUTE	リスト1のいずれか
BROKER_LOGIN_GROUP	ブローカ・ログイン・グループ	LOGIN	リスト1のいずれか
CHECKPOINT	チェックポイント	SAVEPOINT	リスト1のいずれか
SERVER SHUTDOWN	サーバーの停止	SHUTDOWN	リスト1のいずれか
NO CREDENTIAL MAP TO LOGIN	ログインするための資格証明マップなし	SET	リスト1のいずれか
SCHEMA_OBJECT_CHANGE_GROUP	スキーマ・オブジェクト変更グループ	ALTER	リスト1のいずれか
CONNECT	接続	CONNECT	リスト1のいずれか
GRANT WITH GRANT	権限付きで権限付与	GRANT	リスト1のいずれか
CHANGE DEFAULT DATABASE	デフォルト・データベースの変更	ALTER	リスト1のいずれか
DISABLE	無効化	DISABLE	リスト1のいずれか
SCHEMA_OBJECT_OWNERSHIP CHANGE_GROUP	スキーマ・オブジェクト所有権変更グループ	ALTER	リスト1のいずれか
GRANT	権限付与	GRANT	リスト1のいずれか
SERVER_PERMISSION_CHANGE_GROUP	サーバー権限変更グループ	ALTER	リスト1のいずれか
SERVER_OBJECT_PERMISSION CHANGE_GROUP	サーバー・オブジェクト権限変更グループ	ALTER	リスト1のいずれか
DATABASE_OBJECT_ACCESS_GROUP	データベース・オブジェクト・アクセス・グループ	ACCESS	リスト1のいずれか
DBCC	DBCC	EXECUTE	リスト1のいずれか
BACKUP	バックアップ	BACKUP	リスト1のいずれか

イベント・ログ・イベント

イベント・ログ・イベントを使用すると、サーバー・レベル、データベース・レベルおよび個別のイベントを監査できます。これらのイベントは、アクションのグループ(DATABASE_MIRRORING_LOGIN_GROUP)または個別のアクション(SELECTまたはREVOKE)のいずれかを指定できるゼロ個以上の監査アクション項目で構成されます。

イベント・ログ・イベントは、次の3つのイベントのカテゴリを追跡します。

• サーバー・レベル: これらのアクションには、管理変更、ログオンおよびログオフ操作などのサーバー操作があります。

• データベース・レベル: これらのアクションには、データ操作言語(DML)およびデータ定義言語(DDL)があります。

• 監査レベル: これらのアクションには、監査プロセスでのアクションがあります。

表F-2 イベント・ログ・イベント

ソース・イベント	イベントの説明	command_class	target_types
OP ALTER TRACE:STOP	OPトレースの変更: 停止	STOP	DATABASE
OP ALTER TRACE:START	OPトレースの変更: 開始(イベントID: 19033)	START	DATABASE
OP ALTER TRACE:START	OPトレースの変更: 開始(イベントID: 19034)	START	DATABASE
LOGIN FAILED: ONLY ADMINISTRATORS CAN CONNECT AT THIS TIME	ログイン失敗: 現時点では管理者のみ接続できます(イベントID: 18450)	LOGIN	DATABASE
LOGIN FAILED: ONLY ADMINISTRATORS CAN CONNECT AT THIS TIME	ログイン失敗: 現時点では管理者のみ接続できます(イベントID: 18451)	LOGIN	DATABASE
LOGIN FAILED: UNTRUSTED DOMAIN	ログイン失敗: 信頼されないドメイン	LOGIN	DATABASE
LOGIN SUCCEEDED: TRUSTED	ログイン成功: 信頼	LOGIN	DATABASE
LOGIN SUCCEEDED: NON-TRUSTED	ログイン成功: 信頼できない	LOGIN	DATABASE
LOGIN SUCCEEDED	ログイン成功	LOGIN	DATABASE
LOGIN FAILED	ログイン失敗	LOGIN	DATABASE
LOGIN FAILED: ILLEGAL USER NAME	ログイン失敗: 不正なユーザー名	LOGIN	DATABASE
LOGIN FAILED: SIMULTANEOUS LICENSE LIMIT	ログイン失敗: 同時ライセンス制限	LOGIN	DATABASE
LOGIN FAILED: WORKSTATION LICENSING LIMIT	ログイン失敗: ワークステーション・ライセンス制限	LOGIN	DATABASE
LOGIN FAILED: SIMULTANEOUS LICENSE LIMIT	ログイン失敗: 同時ライセンス制限	LOGIN	DATABASE
LOGIN FAILED: SERVER IN SINGLE USER MODE	ログイン失敗: 単一ユーザー・モードのサーバー	LOGIN	DATABASE
LOGIN FAILED: ACCOUNT DISABLED	ログイン失敗: アカウント無効	LOGIN	DATABASE
LOGIN FAILED: ACCOUNT LOCKED	ログイン失敗: アカウント・ロック	LOGIN	DATABASE
LOGIN FAILED: PASSWORD EXPIRED	ログイン失敗: パスワード失効	LOGIN	DATABASE
LOGIN FAILED: PASSWORD MUST BE CHANGED	ログイン失敗: パスワードを変更する必要があります	LOGIN	DATABASE
OP ERROR: SERVER SHUT DOWN	OPエラー: サーバー停止	RAISE	DATABASE
OP ERROR: MIRRORING ERROR	OPエラー: ミラー化エラー	RAISE	DATABASE
OP ERROR: STACK OVER FLOW	OPエラー: スタック・オーバーフロー	RAISE	DATABASE
OP ERROR: COMMIT	OPエラー: コミット	RAISE	DATABASE
OP ERROR: ROLLBACK	OPエラー: ロールバック	RAISE	DATABASE
OP ERROR: DB OFFLINE	OPエラー: DBオフライン	RAISE	DATABASE
OP ERROR: PROCESS VIOLATION	OPエラー: プロセス違反	RAISE	DATABASE
OP ERROR: RESTORE FAILED	OPエラー: リストア失敗	RAISE	DATABASE
OP ERROR: RECOVER	OPエラー: リカバリ	RAISE	DATABASE
OP ERROR: .NET FATAL ERROR	OPエラー: .NETの致命的なエラー	RAISE	DATABASE
OP ERROR: .NET USER CODE	OPエラー: .NETユーザー・コード	RAISE	DATABASE
NOTIFICATION SERVICE	通知サービス	RAISE	DATABASE
PASSWORD POLICY UPDATE SUCCESFUL	パスワード・ポリシー更新成功	UPDATE	POLICY
OP modify: START	OP変更: 開始	STARTUP	DATABASE
OP modify: STOP	OP変更: 停止	SHUTDOWN	DATABASE

ターゲット・タイプの値

特定の監査イベントに関連付けられているターゲット・タイプの値は、次のリストのいずれかになります。この付録の監査イベントの表を参照してください。

リスト1

可能性があるターゲット・タイプ	Class_Type
CONSTRAINT	F
DATABASE	DT
DATABASE	DN
KEY	DK
CONSTRAINT	UQ
USER	US
CATALOG	FC
ENDPOINT	EP
NOTIFICATION	EN
VIEW	V
TYPE	TY
TREE	XR
FUNCTION	FS
FUNCTION	FT
FUNCTION	FN
STOPLIST	FL
USER	WU
GROUP	WG
USER	WL
STORED PROCEDURE	X
USER	GU
RESOURCE	RG
FILTER	RF
ROLE	RL
TABLE	S
ASSEMBLY	AS
ROLE	AR
QUERY	AQ
USER	AU
CONSTRAINT	C
QUERY	PQ
BROKER PRIORITY	PR
PARTITION	PS
AGGREGATE	AF
KEY	AK
USER	AL
RULE	R
ドキュメントに記載されていません	AP
FUNCTION	TF
DEFAULT	D
TRIGGER	TR
USER	SU
SERVICE	SV
STATISTICS	ST
SCHEMA	SX
SERVICE	BN
TABLE	U
ASSEMBLY	TA
SERVER	SD
SCHEMA	SC
SESSION	SE
ROLE	SG
USER	CU
CONTRACT	CT
USER	SL
DATABASE	DB
KEY	SK
AUDIT SPECIFICATION	DA
SYNONYM	SN
SERVER	SR
QUEUE	SQ
ROUTE	RT
CREDENTIAL	CD
CERTIFICATE	CR
SERVER	CO
PROVIDER	CP
SERVER	T
AUDIT SPECIFICATION	SA
USER	CL
USER	LX
KEY	MK
MESSAGE	MT
OBJECT	ON
OBJECT	OB
STORED PROCEDURE	P
PRIMARY KEY	PK
FUNCTION	PF
ASSEMBLY	PC
SERVER AUDIT	A
FUNCTION	IF
FUNCTION	IS
TABLE	IT
INDEX	IX