H Microsoft SQL ServerのSQL監査イベントおよびイベント・ログ・イベント

ここでのトピック

H.1 SQL監査イベント

SQL監査イベントは、サーバー・レベル、データベース・レベルのイベントのグループおよび個別のイベントをマップします。監査アクション項目には、表のSELECT操作などの個別のアクションや、SERVER_PERMISSION_CHANGE_GROUPなどのアクションのグループがあります。

SQL監査イベントは、次の3つのイベントのカテゴリを追跡します。

サーバー・レベル: これらのアクションには、管理変更、ログオンおよびログオフ操作などのサーバー操作があります。
データベース・レベル: これらのアクションには、データ操作言語(DML)およびデータ定義言語(DDL)があります。
監査レベル: これらのアクションには、監査プロセスでのアクションがあります。

ノート:

次の表のターゲット・タイプは、「SQL監査およびイベント・ログ・イベントに関連付ける、ターゲット・タイプに指定可能な値」のいずれかになります。

表H-1 SQL監査イベント

ソース・イベント	イベントの説明	コマンド・クラス
`DATABASE_ROLE_MEMBER_CHANGE_GROUP`	データベース・ロール・メンバー変更グループ	`ALTER`
`BACKUP LOG`	バックアップ・ログ	`BACKUP`
`ALTER RESOURCES`	リソースの変更	`ALTER`
`DELETE`	削除	`DELETE`
`BROKER LOGIN`	ブローカ・ログイン	`LOGIN`
`LOGOUT GROUP`	ログアウト・グループ	`LOGOUT`
`MUST CHANGE PASSWORD`	パスワードの変更が必要	`UPDATE`
`DROP MEMBER`	メンバーの削除	`DROP`
`DENY`	拒否	`DENY`
`SEND`	送信	`SEND`
`SELECT`	選択	`SELECT`
`SERVER_CONTINUE`	サーバーの続行	`RESUME`
`SERVER OPERATION GROUP`	サーバー操作グループ	`EXECUTE`
`INSERT`	挿入	`INSERT`
`EXECUTE`	実行	`EXECUTE`
`SHOW PLAN`	計画の表示	`EXECUTE`
`SUCCESSFUL_LOGIN_GROUP`	成功ログイン・グループ	`LOGIN`
`SERVER_ROLE_MEMBER_CHANGE_GROUP`	サーバー・ロール・メンバー変更グループ	`ALTER`
`ALTER TRACE`	トレースの変更	`ALTER`
`CREDENTIAL MAP TO LOGIN`	ログインするための資格証明マップ	`SET`
`FULL TEXT`	全文	`EXECUTE`
`TRACE AUDIT C2ON`	トレース監査C2On	`AUDIT`
`BULK ADMIN`	一括管理	`INSERT`
`TRACE AUDIT C2OFF`	トレース監査C2Off	`NOAUDIT`
`VIEW SERVER STATE`	サーバー状態の表示	`EXECUTE`
`SCHEMA_OBJECT_ACCESS_GROUP`	スキーマ・オブジェクト・アクセス・グループ	`ACCESS`
`ALTER CONNECTION`	接続の変更	`ALTER`
`ALTER SETTINGS`	設定の変更	`ALTER`
`ALTER SERVER STATE`	サーバー状態の変更	`ALTER`
`EXTERNAL ACCESS ASSEMBLY`	外部アクセス・アセンブリ	`ACCESS`
`OPEN`	開く	`OPEN`
`AUDIT SHUTDOWN ON FAILURE`	失敗時に監査停止	`NOAUDIT`
`AUDIT SESSION CHANGED`	監査セッション変更	`AUDIT`
`BACKUP_RESTORE_GROUP`	バックアップ・リストア・グループ	`RESTORE`
`SERVER_OBJECT_OWNERSHIP_CHANGE_GROUP`	サーバー・オブジェクト所有権変更グループ	`ALTER`
`AUTHENTICATE`	認証	`AUTHENTICATE`
`DATABASE_OWNERSHIP_CHANGE_GROUP`	データベース所有権変更グループ	`ALTER`
`REFERENCES`	参照	`ACCESS`
`SERVER_STARTED`	サーバー起動	`STARTUP`
`DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP`	データベース・オブジェクト所有権変更グループ	`ALTER`
`SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP`	スキーマ・オブジェクト権限変更グループ	`ALTER`
`IMPERSONATE`	偽装	`PROXY`
`CREATE`	作成	`CREATE`
`SERVER_STATE_CHANGE_GROUP`	サーバー状態変更グループ	`ALTER`
`TAKE OWNERSHIP`	所有権の取得	`ALTER`
`TRANSFER`	転送	`MOVE`
`CHANGE USERS LOGIN AUTO`	ユーザー自動ログインの変更	`ALTER`
`ADD MEMBER`	メンバーの追加	`UPDATE`
`VIEW CHANGETRACKING`	変更トラッキングの表示	`EXECUTE`
`LOGIN FAILED`	ログイン失敗	`LOGIN`
`DATABASE_PRINCIPAL_CHANGE_GROUP`	データベース・プリンシパル変更グループ	`ALTER`
`DATABASE_OBJECT_CHANGE_GROUP`	データベース・オブジェクト変更グループ	`UPDATE`
`DATABASE_MIRRORING_LOGIN_GROUP`	データベース・ミラー化ログイン・グループ	`LOGIN`
`ALTER`	変更	`LOGIN`
`PASSWORD EXPIRATION`	パスワードの失効	`EXPIRE`
`UPDATE`	更新	`UPDATE`
`NAME CHANGE`	名前の変更	`ALTER`
`LOGOUT`	ログアウト	`LOGOUT`
`LOGIN SUCCEEDED`	ログイン成功	`LOGIN`
`DATABASE_CHANGE_GROUP`	データベース変更グループ	`UPDATE`
`LOGIN_CHANGE_PASSWORD_GROUP`	ログイン変更パスワード・グループ	`UPDATE`
`RESET OWN PASSWORD`	自分のパスワードのリセット	`RESET`
`CHANGE USERS LOGIN`	ユーザー・ログインの変更	`ALTER`
`TRACE_CHANGE_GROUP`	変更グループのトレース	`ALTER`
`FAILED_LOGIN_GROUP`	失敗ログイン・グループ	`LOGIN`
`TRACE AUDIT STOP`	トレース監査停止	`NOAUDIT`
`REVOKE`	権限取消し	`REVOKE`
`CHANGE OWN PASSWORD`	自分のパスワードの変更	`UPDATE`
`CHANGE LOGIN CREDENTIAL`	ログイン資格証明の変更	`ALTER`
`RECEIVE`	受信	`GET`
`AUDIT_CHANGE_GROUP`	変更グループの監査	`AUDIT`
`CHANGE DEFAULT LANGUAGE`	デフォルト言語の変更	`ALTER`
`CHANGE PASSWORD`	パスワードの変更	`UPDATE`
`RESTORE`	リストア	`RESTORE`
`DATABASE MIRRORING LOGIN`	データベース・ミラー化ログイン	`LOGIN`
`REVOKE WITH CASCADE`	カスケードで取消	`REVOKE`
`DROP`	削除	`DROP`
`SERVER_OBJECT_CHANGE_GROUP`	サーバー・オブジェクト変更グループ	`ALTER`
`VIEW_DATABASE_STATE`	データベース状態の表示	`EXECUTE`
`SERVER_PRINCIPAL_CHANGE_GROUP`	サーバー・プリンシパル変更グループ	`ALTER`
`UNLOCK ACCOUNT`	アカウントのロック解除	`UNLOCK`
`FULLTEXT_GROUP`	全文テキスト・グループ	`EXECUTE`
`ENABLE`	有効化	`ENABLE`
`PASSWORD POLICY`	パスワード・ポリシー	`UPDATE`
`REVOKE WITH GRANT`	権限付きで取消	`REVOKE`
`DATABASE_PRINCIPAL_IMPERSONATION_GROUP`	データベース・プリンシパル偽装グループ	`PROXY`
`RESET PASSWORD`	パスワードのリセット	`RESET`
`SUBSCRIBE QUERY NOTIFICATION`	問合せ通知のサブスクライブ	`SUBSCRIBE`
`SERVER_PRINCIPAL_IMPERSONATION_GROUP`	サーバー・プリンシパル偽装グループ	`PROXY`
`APPLICATION_ROLE_CHANGE_PASSWORD_GROUP`	アプリケーション・ロール変更パスワード・グループ	`UPDATE`
`TRACE AUDIT START`	トレース監査開始	`AUDIT`
`DATABASE OBJECT PERMISSION CHANGE GROUP`	データベース・オブジェクト権限変更グループ	`ALTER`
`SERVER PAUSED`	サーバー一時停止	`PAUSE`
`DATABASE_OPERATION_GROUP`	データベース操作グループ	`DML`
`ACCESS`	アクセス	`ACCESS`
`DATABASE_PERMISSION_CHANGE_GROUP`	データベース権限変更グループ	`ALTER`
`UNSAFE ASSEMBLY`	安全でないアセンブリ	`ACCESS`
`DENY WITH CASCADE`	カスケードで拒否	`DENY`
`DBCC_GROUP`	DBCCグループ	`EXECUTE`
`BROKER_LOGIN_GROUP`	ブローカ・ログイン・グループ	`LOGIN`
`CHECKPOINT`	チェックポイント	`SAVEPOINT`
`SERVER SHUTDOWN`	サーバーの停止	`SHUTDOWN`
`NO CREDENTIAL MAP TO LOGIN`	ログインするための資格証明マップなし	`SET`
`SCHEMA_OBJECT_CHANGE_GROUP`	スキーマ・オブジェクト変更グループ	`ALTER`
`CONNECT`	接続	`CONNECT`
`GRANT WITH GRANT`	権限付きで権限付与	`GRANT`
`CHANGE DEFAULT DATABASE`	デフォルト・データベースの変更	`ALTER`
`DISABLE`	無効化	`DISABLE`
`SCHEMA_OBJECT_OWNERSHIP CHANGE_GROUP`	スキーマ・オブジェクト所有権変更グループ	`ALTER`
`GRANT`	権限付与	`GRANT`
`SERVER_PERMISSION_CHANGE_GROUP`	サーバー権限変更グループ	`ALTER`
`SERVER_OBJECT_PERMISSION CHANGE_GROUP`	サーバー・オブジェクト権限変更グループ	`ALTER`
`DATABASE_OBJECT_ACCESS_GROUP`	データベース・オブジェクト・アクセス・グループ	`ACCESS`
`DBCC`	DBCC	`EXECUTE`
`BACKUP`	バックアップ	`BACKUP`
`GLOBAL TRANSACTIONS LOGIN`	`グローバル・トランザクション・ログイン`	`LOGIN`
`GLOBAL_TRANSACTION_LOGIN_GROUP`	`グローバル・トランザクション・ログイン・グループ`	`LOGIN`
`VIEW`	`VIEW`	`EXECUTE`

H-2 イベント・ログ・イベント

イベント・ログ・イベントを使用すると、サーバー・レベル、データベース・レベルおよび個別のイベントを監査できます。これらのイベントは、アクションのグループ(DATABASE_MIRRORING_LOGIN_GROUP)または個別のアクション(SELECTまたはREVOKE)のいずれかを指定できるゼロ個以上の監査アクション項目で構成されます。

イベント・ログ・イベントは、次の3つのイベントのカテゴリを追跡します。

サーバー・レベル: これらのアクションには、管理変更、ログオンおよびログオフ操作などのサーバー操作があります。
データベース・レベル: これらのアクションには、データ操作言語(DML)およびデータ定義言語(DDL)があります。
監査レベル: これらのアクションには、監査プロセスでのアクションがあります。

表H-2 イベント・ログ・イベント

ソース・イベント	イベントの説明	コマンド・クラス	ターゲット・タイプ
`OP ALTER TRACE:STOP`	OPトレースの変更: 停止	`STOP`	`DATABASE`
`OP ALTER TRACE:START`	OPトレースの変更: 開始(イベントID: 19033)	`START`	`DATABASE`
`OP ALTER TRACE:START`	OPトレースの変更: 開始(イベントID: 19034)	`START`	`DATABASE`
`LOGIN FAILED: ONLY ADMINISTRATORS CAN CONNECT AT THIS TIME`	ログイン失敗: 現時点では管理者のみ接続できます(イベントID: 18450)	`LOGIN`	`DATABASE`
`LOGIN FAILED: ONLY ADMINISTRATORS CAN CONNECT AT THIS TIME`	ログイン失敗: 現時点では管理者のみ接続できます(イベントID: 18451)	`LOGIN`	`DATABASE`
`LOGIN FAILED: UNTRUSTED DOMAIN`	ログイン失敗: 信頼されないドメイン	`LOGIN`	`DATABASE`
`LOGIN SUCCEEDED: TRUSTED`	ログイン成功: 信頼	`LOGIN`	`DATABASE`
`LOGIN SUCCEEDED: NON-TRUSTED`	ログイン成功: 信頼できない	`LOGIN`	`DATABASE`
`LOGIN SUCCEEDED`	ログイン成功	`LOGIN`	`DATABASE`
`LOGIN FAILED`	ログイン失敗	`LOGIN`	`DATABASE`
`LOGIN FAILED: ILLEGAL USER NAME`	ログイン失敗: 不正なユーザー名	`LOGIN`	`DATABASE`
`LOGIN FAILED: SIMULTANEOUS LICENSE LIMIT`	ログイン失敗: 同時ライセンス制限	`LOGIN`	`DATABASE`
`LOGIN FAILED: WORKSTATION LICENSING LIMIT`	ログイン失敗: ワークステーション・ライセンス制限	`LOGIN`	`DATABASE`
`LOGIN FAILED: SIMULTANEOUS LICENSE LIMIT`	ログイン失敗: 同時ライセンス制限	`LOGIN`	`DATABASE`
`LOGIN FAILED: SERVER IN SINGLE USER MODE`	ログイン失敗: 単一ユーザー・モードのサーバー	`LOGIN`	`DATABASE`
`LOGIN FAILED: ACCOUNT DISABLED`	ログイン失敗: アカウント無効	`LOGIN`	`DATABASE`
`LOGIN FAILED: ACCOUNT LOCKED`	ログイン失敗: アカウント・ロック	`LOGIN`	`DATABASE`
`LOGIN FAILED: PASSWORD EXPIRED`	ログイン失敗: パスワード失効	`LOGIN`	`DATABASE`
`LOGIN FAILED: PASSWORD MUST BE CHANGED`	ログイン失敗: パスワードを変更する必要があります	`LOGIN`	`DATABASE`
`OP ERROR: SERVER SHUT DOWN`	OPエラー: サーバー停止	`RAISE`	`DATABASE`
`OP ERROR: MIRRORING ERROR`	OPエラー: ミラー化エラー	`RAISE`	`DATABASE`
`OP ERROR: STACK OVER FLOW`	OPエラー: スタック・オーバーフロー	`RAISE`	`DATABASE`
`OP ERROR: COMMIT`	OPエラー: コミット	`RAISE`	`DATABASE`
`OP ERROR: ROLLBACK`	OPエラー: ロールバック	`RAISE`	`DATABASE`
`OP ERROR: DB OFFLINE`	OPエラー: DBオフライン	`RAISE`	`DATABASE`
`OP ERROR: PROCESS VIOLATION`	OPエラー: プロセス違反	`RAISE`	`DATABASE`
`OP ERROR: RESTORE FAILED`	OPエラー: リストア失敗	`RAISE`	`DATABASE`
`OP ERROR: RECOVER`	OPエラー: リカバリ	`RAISE`	`DATABASE`
`OP ERROR: .NET FATAL ERROR`	OPエラー: .NETの致命的なエラー	`RAISE`	`DATABASE`
`OP ERROR: .NET USER CODE`	OPエラー: .NETユーザー・コード	`RAISE`	`DATABASE`
`NOTIFICATION SERVICE`	通知サービス	`RAISE`	`DATABASE`
`PASSWORD POLICY UPDATE SUCCESFUL`	パスワード・ポリシー更新成功	`UPDATE`	`POLICY`
`OP` modify: `START`	OP変更: 開始	`STARTUP`	`DATABASE`
`OP` modify: `STOP`	OP変更: 停止	`SHUTDOWN`	`DATABASE`

H.3 SQL監査およびイベント・ログ・イベントのターゲット・タイプ

特定の監査イベントに関連付けられているターゲット・タイプの値は、次のリストのいずれかになります。この付録の監査イベントの表を参照してください。

H.3.1 SQL監査およびイベント・ログ・イベントに関連付ける、ターゲット・タイプに指定可能な値

可能性があるターゲット・タイプ	Class_Type
`CONSTRAINT`	`F`
`DATABASE`	`DT`
`DATABASE`	`DN`
`KEY`	`DK`
`CONSTRAINT`	`UQ`
`USER`	`US`
`CATALOG`	`FC`
`ENDPOINT`	`EP`
`NOTIFICATION`	`EN`
`VIEW`	`V`
`TYPE`	`TY`
`TREE`	`XR`
`FUNCTION`	`FS`
`FUNCTION`	`FT`
`FUNCTION`	`FN`
`STOPLIST`	`FL`
`USER`	`WU`
`GROUP`	`WG`
`USER`	`WL`
`STORED PROCEDURE`	`X`
`USER`	`GU`
`RESOURCE`	`RG`
`FILTER`	`RF`
`ROLE`	`RL`
`TABLE`	`S`
`ASSEMBLY`	`AS`
`ROLE`	`AR`
`QUERY`	`AQ`
`USER`	`AU`
`CONSTRAINT`	`C`
`QUERY`	`PQ`
`BROKER PRIORITY`	`PR`
`PARTITION`	`PS`
`AGGREGATE`	`AF`
`KEY`	`AK`
`USER`	AL
`RULE`	`R`
ドキュメントに記載されていません	AP
`FUNCTION`	`TF`
`DEFAULT`	`D`
`TRIGGER`	`TR`
`USER`	`SU`
`SERVICE`	`SV`
`STATISTICS`	`ST`
`SCHEMA`	`SX`
`SERVICE`	`BN`
`TABLE`	`U`
`ASSEMBLY`	`TA`
`SERVER`	`SD`
`SCHEMA`	`SC`
`SESSION`	`SE`
`ROLE`	`SG`
`USER`	`CU`
`CONTRACT`	`CT`
`USER`	`SL`
`DATABASE`	`DB`
`KEY`	`SK`
`AUDIT SPECIFICATION`	`DA`
`SYNONYM`	`SN`
`SERVER`	`SR`
`QUEUE`	`SQ`
`ROUTE`	`RT`
`CREDENTIAL`	`CD`
`CERTIFICATE`	`CR`
`SERVER`	`CO`
`PROVIDER`	`CP`
`SERVER`	`T`
`AUDIT SPECIFICATION`	`SA`
`USER`	`CL`
`USER`	`LX`
`KEY`	`MK`
`MESSAGE`	`MT`
`OBJECT`	`ON`
`OBJECT`	`OB`
`STORED PROCEDURE`	`P`
`PRIMARY KEY`	`PK`
`FUNCTION`	`PF`
`ASSEMBLY`	`PC`
`SERVER AUDIT`	`A`
`FUNCTION`	`IF`
`FUNCTION`	`IS`
`TABLE`	`IT`
`INDEX`	`IX`
`COLUMN ENCRYPTION KEY`	`CK`
`COLUMN MASTER KEY DEFINITION`	`CM`
`DATABASE CREDENTIAL`	`DC`
`EXTERNAL DATA SOURCE`	`ED`
`EXTERNAL FILE FORMAT`	`EF`
`SECURITY POLICY`	`SP`
`SEARCH PROPERTY LIST`	`FP`
`SEQUENCE OBJECT`	`SO`
`AVAILABILITY GROUP`	`AG`