如何实现SQL存储过程权限审计_记录谁执行了什么存储过程

张开发
2026/4/20 16:32:16 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

如何实现SQL存储过程权限审计_记录谁执行了什么存储过程
SQL Server用Audit功能审计存储过程执行MySQL通过general_log或audit_log插件PostgreSQL依赖log_statement与pg_stat_statements组合三者均不记录参数值需扩展机制或应用层埋点。SQL Server 中如何开启存储过程执行审计SQL Server 本身不自动记录谁调用了哪个存储过程必须主动启用跟踪或日志机制。最直接有效的方式是用 SQL Server Audit 功能它底层基于 Extended Events开销低、权限粒度细、支持写入文件或安全日志。必须在 master 数据库中创建服务器审核CREATE SERVER AUDIT再绑定到具体数据库的审核规范CREATE DATABASE AUDIT SPECIFICATION要审计存储过程执行得在规范中添加 EXECUTE ON DATABASE::[YourDB] BY [public] 操作——注意不是 ON OBJECT::[proc_name]那是针对单个对象的权限检查不是执行行为捕获审核默认不记录参数值只记 object_name 和 session_id如果需要参数内容得配合 fn_get_audit_file() 解析原始事件或改用 Extended Events 单独捕获 rpc_completed 事件MySQL 8.0 怎么记录 CALL 执行行为MySQL 没有原生“存储过程执行审计”开关但可通过 general_log 或 audit_log 插件实现。前者简单粗暴后者更可控但需企业版或 MySQL Enterprise Edition。开启 general_log 后所有语句包括 CALL proc_name()都会被记录但无法区分是应用直连执行还是通过事件/触发器间接调用且日志体积增长快、影响性能audit_log 插件可过滤出 command_class call_procedure 的事件但要求 MySQL 版本 ≥ 8.0.19 且插件已安装启用配置项 audit_log_policy 必须设为 ALL 或 LOGINS 才能捕获执行动作日志里不会显示传入的具体参数值只有 CALL proc_name 字符串如需参数只能靠应用层打点或在存储过程中手动插入审计表PostgreSQL 如何追踪 SELECT * FROM pg_proc EXECUTEPostgreSQL 不提供开箱即用的过程调用审计但能组合 pg_stat_statements 扩展和日志参数实现近似效果。关键在于它不记录“谁调了”而记录“哪条语句被高频执行”所以必须配合连接信息补全上下文。 arXiv Xplorer ArXiv 语义搜索引擎帮您快速轻松的查找保存和下载arXiv文章。

更多文章