使用 SQL Server 在 Web 应用程序中进行审计跟踪

Question

我们正在使用 asp.net 和 sql server 开发一个 Web 应用程序。我们需要对该应用程序进行审核跟踪。据我了解，审计跟踪基本上是针对数据库上的所有插入、更新和删除，对吧？现在解决这个问题的方法是，我在数据库中有一个审计跟踪表，该表在每次插入、更新或删除被触发后填充（在 DAL 中手动编写脚本）。然而，任何直接从 SQL Management studio 触发的数据库更改都不会被记录（出于显而易见的原因：P）。

为了满足这一点，我可以创建一个触发器来处理所有事情。我还做了一些谷歌搜索，发现 SQL Server 有能力进行审计跟踪。然而，使用触发器的问题是我不会获取登录网站的用户信息。我会得到 sql 用户，但我不会对此大惊小怪，我担心网站用户。

我想出的解决方案是 a) 从我的 Web 应用程序中获取审核跟踪并设置触发器。在审计报告中，我仅显示来自 Web 应用程序的审计日志和来自 SQL Server 的审计日志。 这种方法的明显问题是：开销。每次数据库更改时写入两组不同的表。

b) 我在每个数据库表上都有一个名为 UserId 的列。然后我创建一个触发器来捕获所有数据库更改。我在更改（插入、更新、删除）的每个表上传递此 userId，并从触发器中获取此 id。 明显的挫折：每个表中都有不必要的 userid 列，

我对这篇长帖子表示歉意。基本上，我需要一个审核日志来记录所有数据库更改（包括直接破解数据库），但同时为我提供从 Web 应用程序进行的那些数据库更改的用户登录信息。

将不胜感激这方面的任何意见。

非常感谢谢

舒

Answer 1

通过 SQL 管理工作室或其他方式直接对数据库执行 SQL 查询，对数据库进行合法更改的可能性有多大。我建议假设数据中的所有数据都是通过您的应用程序输入的，并且在您的 BL 层中进行审核。然后，您可以简单地将数据库的访问权限限制为受信任的用户。最终必须有一个或多个用户有权更改数据库模式，如果这些用户想要绕过审核，他们可以简单地禁用触发器或伪造审核跟踪。如果有合法理由对数据库运行直接 SQL 查询，例如不频繁地从其他系统导入数据等，那么您可以将此活动限制为受信任的用户，并确保他们的导入脚本正确填充审核表。无论如何，任何会给 DBA 或可信用户带来过多工作量的内容都应该内置到应用程序中。

Answer 2

经过一番谷歌搜索后，我认为这是合适的方法：通用审计表

Audit_Table (
ID，
表名,
RecordId，（链接到相关记录）
修改者，
修改于，
类型（I、U 或 D）
)

Audit_Details_Table (
ID，
审核ID,
字段名称,
旧值，
新价值）

Answer 3

听起来你的路线是对的。但是，您通常不会有一个审计跟踪表，而是每个表都有一个审计表。因此，对于 TableA 中的行的每次修改，都会向 TableA_Audit 添加一个新行，其中包含 TableA 中的新状态以及日期和用户名称。

触发器通常用于此目的，但如果您要存储网络应用程序的用户名，我不知道如何将此数据传递到触发器中（其他人可以帮忙吗？）在这种情况下，我可能会想使用存储的程序。对于每个表，都有存储过程来插入、更新和删除行。这些存储过程将各自调用另一个存储过程，该存储过程将行插入审计表中。这样，您可以轻松地将 Web 应用程序用户名传递给存储过程，该存储过程将该行插入审计表中。显然，缺点是必须为每个表维护一堆存储过程，这可能有点乏味，因为您必须确保它们全部与表（以及应用程序的数据访问层）保持同步，因为不可避免地需要架构更改。

请注意，您不需要在每个表中都有用户名列，只需在每个审核表中都需要。

希望其中一些有用。

干杯

大卫

Answer 4

我同意其他海报的观点。底线是，如果您想存储网络应用程序用户的用户名（即您的自定义身份验证），那么触发器将无法帮助您审核正在发生的情况。 - 警告，除非您可以使用集成身份验证

如果您还想使用审计跟踪来监视用户的活动量，那么这一点非常重要。解决方案是通过存储过程执行所有 DDL，并在这些存储过程中添加审核逻辑（如果您希望所有日志记录都用 T-SQL 编写）。或者，从应用程序中执行此操作，并查看可用于 ASP.Net 的众多日志记录库之一，例如 NLog 。