fn_get_audit_file (Transact-SQL)

Retourne des informations à partir d'un fichier d'audit créé par un audit du serveur. Pour plus d'informations, consultez Fonctionnement de SQL Server Audit.

Icône Lien de rubriqueConventions de syntaxe Transact-SQL

Syntaxe

fn_get_audit_file ( file_pattern, {default | initial_file_name | NULL }, {default | audit_file_offset | NULL } )

Arguments

  • file_pattern
    Spécifie le répertoire ou chemin d'accès et nom de fichier du jeu de fichiers d'audit à lire. Cet argument doit inclure à la fois un chemin d'accès (lettre de lecteur ou partage réseau) et un nom de fichier qui peut inclure un caractère générique. Un astérisque unique (*) peut être utilisé pour recueillir plusieurs fichiers à partir d'un jeu de fichiers d'audit. Par exemple :

    • <chemin_d'accès>\* - Recueillir tous les fichiers d'audit à l'emplacement spécifié.

    • <chemin_d'accès>\LoginsAudit_{GUID} - Recueillir tous les fichiers d'audit qui ont la paire nom/GUID spécifiée.

    • <chemin_d'accès>\LoginsAudit_{GUID}_00_29384.sqlaudit - Recueillir un fichier d'audit spécifique.

    Notes

    Le passage d'un chemin d'accès sans modèle de nom de fichier génère une erreur.

  • initial_file_name
    Spécifie le chemin d'accès et le nom d'un fichier spécifique dans le jeu de fichiers d'audit à partir duquel commencer à lire des enregistrements d'audit.

    Notes

    L'argument initial_file_name doit contenir des entrées valides ou doit contenir la valeur default | NULL.

  • audit_file_offset
    Spécifie un emplacement connu avec le fichier spécifié pour l'initial_file_name. Lorsque cet argument est utilisé, la fonction commence à lire au premier enregistrement de la mémoire tampon qui suit le décalage spécifié.

    Notes

    L'argument audit_file_offset doit contenir des entrées valides ou doit contenir la valeur default | NULL.

Tables retournées

Le tableau suivant décrit le contenu de fichier d'audit qui peut être retourné par cette fonction.

Nom de la colonne

Type

Description

event_time

datetime2

Date et heure auxquelles l'action pouvant être auditée est déclenchée. N'accepte pas la valeur NULL.

sequence_number

int

Assure le suivi de la séquence d'enregistrements dans un enregistrement d'audit unique qui était trop grand pour la mémoire tampon d'écriture pour audits. N'accepte pas la valeur NULL.

action_id

char(4)

ID de l'action. N'accepte pas la valeur NULL.

succeeded

bit

1 = succès

0 = échec

Indique si l'action qui a déclenché l'événement a réussi. N'accepte pas la valeur NULL. Pour tous les événements autres les événements de connexion, cet argument signale uniquement le succès ou l'échec de la vérification des autorisations, mais n'indique rien sur l'opération.

permission_bitmask

bigint

Dans certaines actions, il s'agit des autorisations qui ont été accordées, refusées ou révoquées.

is_column_permission

bit

1 = vrai

0 = faux

Indicateur qui indique s'il s'agit d'une autorisation de niveau colonne. N'accepte pas la valeur NULL. Retourne 0 lorsque le permission_bitmask = 0.

session_id

int

ID de la session sur laquelle l'événement s'est produit. N'accepte pas la valeur NULL.

server_principal_id

int

ID du contexte de connexion dans lequel l'action est effectuée. N'accepte pas la valeur NULL.

database_principal_id

int

ID du contexte de l'utilisateur de la base de données dans lequel l'action est effectuée. N'accepte pas la valeur NULL. Retourne 0 si cela ne s'applique pas. Par exemple, une opération de serveur.

target_server_principal_id

int

Entité de sécurité serveur sur lequel est effectuée l'opération GRANT/DENY/REVOKE. N'accepte pas la valeur NULL. Retourne 0 si non applicable.

target_database_principal_id

int

Entité de sécurité de la base de données sur laquelle est effectuée l'opération GRANT/DENY/REVOKE. N'accepte pas la valeur NULL. Retourne 0 si non applicable.

object_id

int

ID de l'entité sur laquelle l'audit s'est produit. Notamment :

  • Objets de serveur

  • Bases de données

  • Objets de base de données

  • Objets de schéma

N'accepte pas la valeur NULL. Retourne 0 si l'entité est le serveur lui-même ou si l'audit n'est pas effectué à un niveau objet. Par exemple, Authentification.

class_type

char(2)

Type d'entité pouvant être auditée sur laquelle l'audit se produit. N'accepte pas la valeur NULL.

session_server_principal_name

sysname

Entité de sécurité du serveur pour la session. Elle accepte les valeurs NULL.

server_principal_name

sysname

Connexion actuelle. Elle accepte les valeurs NULL.

server_principal_sid

varbinary

SID de la connexion actuelle. Elle accepte les valeurs NULL.

database_principal_name

sysname

Utilisateur actuel. Elle accepte les valeurs NULL. Retourne NULL si non disponible.

target_server_principal_name

sysname

Connexion cible de l'action. Elle accepte les valeurs NULL. Retourne NULL si non applicable.

target_server_principal_sid

varbinary

SID de la connexion cible. Elle accepte les valeurs NULL. Retourne NULL si non applicable.

target_database_principal_name

sysname

Utilisateur cible de l'action. Elle accepte les valeurs NULL. Retourne NULL si non applicable.

server_instance_name

nvarchar(120)

Nom de l'instance de serveur où l'audit s'est produit. Le format de server\instance standard est utilisé.

database_name

sysname

Contexte de base de données dans lequel l'action s'est produite. Elle accepte les valeurs NULL. Retourne NULL pour les audits qui ont lieu au niveau serveur.

schema_name

sysname

Contexte de schéma dans lequel l'action s'est produite. Elle accepte les valeurs NULL. Retourne NULL pour les audits qui ont lieu à l'extérieur d'un schéma.

object_name

sysname

Nom de l'entité sur laquelle l'audit s'est produit. Notamment :

  • Objets de serveur

  • Bases de données

  • Objets de base de données

  • Objets de schéma

Elle accepte les valeurs NULL. Retourne NULL si l'entité est le serveur lui-même ou si l'audit n'est pas effectué à un niveau objet. Par exemple, Authentification.

instruction

nvarchar(4000)

Instruction TSQL si elle existe. Elle accepte les valeurs NULL. Retourne NULL si non applicable.

additional_information

nvarchar(4000)

Les informations uniques qui s'appliquent seulement à un événement unique sont retournées au format XML. Un petit nombre d'actions pouvant être auditées contient ce type d'informations.

Elle accepte les valeurs NULL. Retourne NULL lorsqu'il n'y a pas d'informations supplémentaires signalées par l'événement.

file_name

varchar(260)

Chemin d'accès et nom du fichier journal d'audit d'où provenait l'enregistrement. N'accepte pas la valeur NULL.

audit_file_offset

bigint

Offset de la mémoire tampon dans le fichier qui contient l'enregistrement d'audit. N'accepte pas la valeur NULL.

Notes

Si l'argument file_pattern passé à fn_get_audit_file référence un chemin d'accès ou un fichier qui n'existe pas, ou si le fichier n'est pas un fichier d'audit, le message d'erreur MSG_INVALID_AUDIT_FILE est retourné.

Autorisations

Requiert l'autorisation CONTROL SERVER.

Exemples

Cet exemple lit à partir d'un fichier nommé \\serverName\Audit\HIPPA_AUDIT.sqlaudit.

SELECT * FROM sys.fn_get_audit_file ('\\serverName\Audit\HIPPA_AUDIT.sqlaudit',default,default);
GO

Pour obtenir un exemple complet de création d'audit, consultez Fonctionnement de SQL Server Audit.

Voir aussi

Référence

Concepts