Kategorie: SQl Server 2025

Warum ich mir Benutzeraktivitäten genauer anschaue Ab einer gewissen Größe will die Geschäftsleitung wissen:Wer hat wann was gemacht?Welche Daten wurden gelesen, verändert oder gelöscht?Nicht zur Kontrolle - sondern zur Absicherung. SQL Server 2025 bringt einige Neuerungen, mit denen ich genau das leichter abbilden kann.Und ich zeige Dir, wie ich das ohne Enterprise-Edition aufbaue. 1. Server Audit (auch in Standard Edition) SQL Server 2025 erlaubt jetzt auch in der Standard Edition mehr Audit-Events. Setup: Audit erstellen CREATE SERVER AUDIT Audit_KMU TO FILE (FILEPATH = 'C:\AuditLogs\', MAXSIZE = 10 MB) WITH (ON_FAILURE = CONTINUE); ALTER SERVER AUDIT Audit_KMU WITH (STATE = ON); Ereignis hinzufügen CREATE SERVER AUDIT SPECIFICATION Audit_Logins FOR SERVER AUDIT Audit_KMU ADD (SUCCESSFUL_LOGIN_GROUP), ADD (FAILED_LOGIN_GROUP); ALTER SERVER AUDIT SPECIFICATION Audit_Logins WITH (STATE = ON); Du bekommst jetzt zuverlässig mit: Wer sich einloggt Wer es (vergeblich) versucht Wann das passiert 2. Datenbank-spezifisches Audit CREATE DATABASE AUDIT SPECIFICATION Audit_Updates FOR SERVER AUDIT Audit_KMU ADD (UPDATE ON dbo.kunden BY public), ADD (DELETE ON dbo.kunden BY public); ALTER DATABASE AUDIT SPECIFICATION Audit_Updates WITH (STATE = ON); Jetzt weißt Du z. B., wenn jemand an dbo.kunden rumfummelt.Mit User, Uhrzeit, Statement, Hostname. 3. Neuerung 2025: Audit Lookup Views Neu in SQL Server 2025: Audit-Einträge lassen sich direkt als Views abfragen. SELECT event_time, server_principal_name, database_name, object_name, statement FROM sys.dm_audit_log_lookup WHERE object_name = 'kunden' AND event_time > DATEADD(DAY, -1, GETDATE()); Das spart Dir das Zusammenbasteln aus xel-Files und Viewer. 4. Benutzerdefiniertes Logging (manuell) Für eigene Protokolle logge ich sensitive Aktionen selbst - z. B. in Triggern. CREATE TRIGGER trg_LogDelete ON dbo.kunden AFTER DELETE AS BEGIN INSERT INTO dbo.audit_log (aktion, tabelle, benutzer, datum, details) SELECT 'DELETE', 'kunden', SYSTEM_USER, GETDATE(), CONCAT('Gelöscht: ', name, ', ID: ', id) FROM deleted; END; Vorteil: läuft unabhängig vom Server-Audit.Nachteil: bei vielen Aktionen ein Performancefaktor. 5. Extended Events für Lesefolgen Lesen wird nicht geloggt. Außer, Du willst es. Beispiel: SELECTs auf sensible Tabelle tracken CREATE EVENT SESSION Track_KundenSelects ON SERVER ADD EVENT sqlserver.sql_statement_completed ( WHERE sqlserver.database_name = 'KundenDB' AND sqlserver.sql_text LIKE '%FROM dbo.kunden%' ) ADD TARGET package0.ring_buffer; ALTER EVENT SESSION Track_KundenSelects ON SERVER STATE = START; Dann auslesen: SELECT event_data.value('(event/@name)[1]', 'varchar(100)') AS event_name, event_data.value('(event/data[@name="statement"]/value)[1]', 'varchar(max)') AS sql_text, event_data.value('(event/action[@name="client_app_name"]/value)[1]', 'varchar(100)') AS app_name, event_data.value('(event/action[@name="username"]/value)[1]', 'varchar(100)') AS user_name, event_data.value('(event/@timestamp)[1]', 'datetime') AS event_time FROM ( SELECT CAST(event_data AS XML) AS event_data FROM sys.dm_xe_sessions AS s JOIN sys.dm_xe_session_targets AS t ON s.address = t.event_session_address WHERE s.name = 'Track_KundenSelects' ) x; 6. Sichtbare Reports für Admins Ich baue in SSMS Views wie: CREATE VIEW vw_Audit_LetzteAktivitäten AS SELECT TOP 100 event_time, server_principal_name AS benutzer, database_name, object_name, statement FROM sys.dm_audit_log_lookup ORDER BY event_time DESC; Dann haben Admins immer einen Überblick, ohne im File Explorer zu wühlen. 7. Proaktive Checks auf Rollenänderung SELECT name, create_date, modify_date, principal_id, type_desc FROM sys.database_principals WHERE type IN ('S', 'U') AND modify_date > GETDATE() - 7; Wenn jemand sich selbst db_owner gegeben hat - hier siehst Du es. Mein Fazit Security Audits sind kein Luxus.Und SQL Server 2025 macht's leichter als je zuvor.Weniger Tricks, mehr Bordmittel.Wenn Du willst, schick ich Dir gern meine Starter-Definitionen als SQL-Datei.Oder ein Standard-Audit-Paket für KMU-Datenbanken.