SQL Server incluye una función de auditoría incorporada que le permite capturar varios eventos. Esta función está disponible en todas las ediciones de SQL Server y se puede utilizar para realizar un seguimiento y registrar eventos para actividades internas o para cumplir con estándares externos de regulación y cumplimiento.

Cuando configure la Auditoría y las Especificaciones de SQL Server, es posible que encuentre que las opciones de filtro no están ampliamente documentadas o no son intuitivas. Este artículo tiene como objetivo ayudarlo a planificar e implementar un método efectivo para reducir los eventos “ruidosos” capturados en su auditoría que no necesariamente desea informar.

La función de auditoría de SQL Server utiliza Eventos Extendidos en SQL Server. Consta de tres componentes principales: Auditoría de SQL Server, Especificación de Auditoría de SQL Server y Especificación de Auditoría de Base de Datos. La Auditoría de SQL Server es el objeto principal que forma el manifiesto de la Auditoría y permite varias configuraciones y ajustes. La Especificación de Auditoría de SQL Server contiene los Grupos de Acciones de Auditoría del Servidor, que recopilan acciones a nivel de servidor para ser registradas. La Especificación de Auditoría de Base de Datos contiene los Grupos de Acciones de Auditoría de Base de Datos, que recopilan acciones a nivel de base de datos para ser registradas.

Cuando filtra la Auditoría de SQL Server, puede utilizar un filtro de predicado para especificar los eventos que desea excluir. Sin embargo, filtrar en ciertos campos, como action_id y class_type, puede ser desafiante debido a su codificación interna en el Motor de Base de Datos.

Para superar este desafío, puede utilizar funciones escalares proporcionadas por Microsoft para decodificar el código de caracteres a un entero. Estas funciones se pueden utilizar para encontrar el valor entero mapeado para valores específicos de action_id o class_type.

Una vez que haya identificado los eventos que desea excluir, puede configurar el filtro de auditoría utilizando SQL Server Management Studio (SSMS) o Transact-SQL (T-SQL).

Para configurar el filtro de auditoría utilizando SSMS, siga estos pasos:

1. Abra SSMS y conéctese a la instancia de SQL Server.
2. Expanda la carpeta Seguridad y encuentre la Auditoría que desea configurar.
3. Haga clic derecho en el nombre de la Auditoría y elija “Deshabilitar Auditoría” si la Auditoría está habilitada.
4. Haga clic derecho en el nombre de la Auditoría y elija “Propiedades”.
5. Navegue hasta la página “Filtro”.
6. En el bloque de código vacío, ingrese la cláusula T-SQL sin la cláusula WHERE, encerrando el predicado del filtro en paréntesis específicos.
7. Haga clic en Aceptar para guardar los cambios.
8. Haga clic derecho en el nombre de la Auditoría y elija “Habilitar Auditoría”.

Para configurar el filtro de auditoría utilizando T-SQL, siga estos pasos:

1. Abra SSMS y conéctese a la instancia de SQL Server.
2. Abra una nueva ventana de consulta.
3. Copie y pegue el código T-SQL de ejemplo proporcionado en el artículo.
4. Ejecute el código.

Después de configurar el filtro de auditoría, puede probarlo monitoreando los eventos utilizando el Monitor de Actividad de SSMS. Verifique que los eventos excluidos ya no se capturen según su predicado de filtro.

Al filtrar de manera efectiva los eventos de auditoría de SQL Server, puede centrarse en los eventos de auditoría críticos sin verse abrumado por ruido innecesario.

Para obtener más información e instrucciones detalladas, consulte el artículo original en el sitio web de MSSQLTips.