fn_get_audit_file (Transact-SQL)
Retourne des informations à partir d'un fichier d'audit créé par un audit du serveur. Pour plus d'informations, consultez Fonctionnement de SQL Server Audit.
Syntaxe
fn_get_audit_file ( file_pattern, {default | initial_file_name | NULL }, {default | audit_file_offset | NULL } )
Arguments
file_pattern
Spécifie le répertoire ou chemin d'accès et nom de fichier du jeu de fichiers d'audit à lire. Cet argument doit inclure à la fois un chemin d'accès (lettre de lecteur ou partage réseau) et un nom de fichier qui peut inclure un caractère générique. Un astérisque unique (*) peut être utilisé pour recueillir plusieurs fichiers à partir d'un jeu de fichiers d'audit. Par exemple :<chemin_d'accès>\* - Recueillir tous les fichiers d'audit à l'emplacement spécifié.
<chemin_d'accès>\LoginsAudit_{GUID} - Recueillir tous les fichiers d'audit qui ont la paire nom/GUID spécifiée.
<chemin_d'accès>\LoginsAudit_{GUID}_00_29384.sqlaudit - Recueillir un fichier d'audit spécifique.
[!REMARQUE]
Le passage d'un chemin d'accès sans modèle de nom de fichier génère une erreur.
initial_file_name
Spécifie le chemin d'accès et le nom d'un fichier spécifique dans le jeu de fichiers d'audit à partir duquel commencer à lire des enregistrements d'audit.[!REMARQUE]
L'argument initial_file_name doit contenir des entrées valides ou doit contenir la valeur default | NULL.
audit_file_offset
Spécifie un emplacement connu avec le fichier spécifié pour l'initial_file_name. Lorsque cet argument est utilisé, la fonction commence à lire au premier enregistrement de la mémoire tampon qui suit le décalage spécifié.[!REMARQUE]
L'argument audit_file_offset doit contenir des entrées valides ou doit contenir la valeur default | NULL.
Tables retournées
Le tableau suivant décrit le contenu de fichier d'audit qui peut être retourné par cette fonction.
Nom de la colonne |
Type |
Description |
---|---|---|
event_time |
datetime2 |
Date et heure auxquelles l'action pouvant être auditée est déclenchée. N'accepte pas la valeur NULL. |
sequence_number |
int |
Assure le suivi de la séquence d'enregistrements dans un enregistrement d'audit unique qui était trop grand pour la mémoire tampon d'écriture pour audits. N'accepte pas la valeur NULL. |
action_id |
char(4) |
ID de l'action. N'accepte pas la valeur NULL. |
succeeded |
bit 1 = succès 0 = échec |
Indique si l'action qui a déclenché l'événement a réussi. N'accepte pas la valeur NULL. Pour tous les événements autres les événements de connexion, cet argument signale uniquement le succès ou l'échec de la vérification des autorisations, mais n'indique rien sur l'opération. |
permission_bitmask |
bigint |
Dans certaines actions, il s'agit des autorisations qui ont été accordées, refusées ou révoquées. |
is_column_permission |
bit 1 = vrai 0 = faux |
Indicateur qui indique s'il s'agit d'une autorisation de niveau colonne. N'accepte pas la valeur NULL. Retourne 0 lorsque le permission_bitmask = 0. |
session_id |
int |
ID de la session sur laquelle l'événement s'est produit. N'accepte pas la valeur NULL. |
server_principal_id |
int |
ID du contexte de connexion dans lequel l'action est effectuée. N'accepte pas la valeur NULL. |
database_principal_id |
int |
ID du contexte de l'utilisateur de la base de données dans lequel l'action est effectuée. N'accepte pas la valeur NULL. Retourne 0 si cela ne s'applique pas. Par exemple, une opération de serveur. |
target_server_principal_id |
int |
Entité de sécurité serveur sur lequel est effectuée l'opération GRANT/DENY/REVOKE. N'accepte pas la valeur NULL. Retourne 0 si non applicable. |
target_database_principal_id |
int |
Entité de sécurité de la base de données sur laquelle est effectuée l'opération GRANT/DENY/REVOKE. N'accepte pas la valeur NULL. Retourne 0 si non applicable. |
object_id |
int |
ID de l'entité sur laquelle l'audit s'est produit. Notamment :
N'accepte pas la valeur NULL. Retourne 0 si l'entité est le serveur lui-même ou si l'audit n'est pas effectué à un niveau objet. Par exemple, Authentification. |
class_type |
char(2) |
Type d'entité pouvant être auditée sur laquelle l'audit se produit. N'accepte pas la valeur NULL. |
session_server_principal_name |
sysname |
Entité de sécurité du serveur pour la session. Elle accepte les valeurs NULL. |
server_principal_name |
sysname |
Connexion actuelle. Elle accepte les valeurs NULL. |
server_principal_sid |
varbinary |
SID de la connexion actuelle. Elle accepte les valeurs NULL. |
database_principal_name |
sysname |
Utilisateur actuel. Elle accepte les valeurs NULL. Retourne NULL si non disponible. |
target_server_principal_name |
sysname |
Connexion cible de l'action. Elle accepte les valeurs NULL. Retourne NULL si non applicable. |
target_server_principal_sid |
varbinary |
SID de la connexion cible. Elle accepte les valeurs NULL. Retourne NULL si non applicable. |
target_database_principal_name |
sysname |
Utilisateur cible de l'action. Elle accepte les valeurs NULL. Retourne NULL si non applicable. |
server_instance_name |
nvarchar(120) |
Nom de l'instance de serveur où l'audit s'est produit. Le format de server\instance standard est utilisé. |
database_name |
sysname |
Contexte de base de données dans lequel l'action s'est produite. Elle accepte les valeurs NULL. Retourne NULL pour les audits qui ont lieu au niveau serveur. |
schema_name |
sysname |
Contexte de schéma dans lequel l'action s'est produite. Elle accepte les valeurs NULL. Retourne NULL pour les audits qui ont lieu à l'extérieur d'un schéma. |
object_name |
sysname |
Nom de l'entité sur laquelle l'audit s'est produit. Notamment :
Elle accepte les valeurs NULL. Retourne NULL si l'entité est le serveur lui-même ou si l'audit n'est pas effectué à un niveau objet. Par exemple, Authentification. |
instruction |
nvarchar(4000) |
Instruction TSQL si elle existe. Elle accepte les valeurs NULL. Retourne NULL si non applicable. |
additional_information |
nvarchar(4000) |
Les informations uniques qui s'appliquent seulement à un événement unique sont retournées au format XML. Un petit nombre d'actions pouvant être auditées contient ce type d'informations. Elle accepte les valeurs NULL. Retourne NULL lorsqu'il n'y a pas d'informations supplémentaires signalées par l'événement. |
file_name |
varchar(260) |
Chemin d'accès et nom du fichier journal d'audit d'où provenait l'enregistrement. N'accepte pas la valeur NULL. |
audit_file_offset |
bigint |
Offset de la mémoire tampon dans le fichier qui contient l'enregistrement d'audit. N'accepte pas la valeur NULL. |
Notes
Si l'argument file_pattern passé à fn_get_audit_file référence un chemin d'accès ou un fichier qui n'existe pas, ou si le fichier n'est pas un fichier d'audit, le message d'erreur MSG_INVALID_AUDIT_FILE est retourné.
Autorisations
Requiert l'autorisation CONTROL SERVER.
Exemples
Cet exemple lit à partir d'un fichier nommé \\serverName\Audit\HIPPA_AUDIT.sqlaudit.
SELECT * FROM sys.fn_get_audit_file ('\\serverName\Audit\HIPPA_AUDIT.sqlaudit',default,default);
GO
Pour obtenir un exemple complet de création d'audit, consultez Fonctionnement de SQL Server Audit.
Voir aussi