SQL सर्वर ऑडिट डेटा से स्केलर वेटेड यूज़र-डिफ़ाइंड फ़ंक्शन उपयोग को कैसे फ़िल्टर करें?

हमारे पास एक SQL सर्वर डेटाबेस है जिसमें एक डेटाबेस ऑडिट विनिर्देश है जो डेटाबेस पर सभी कार्यों को निष्पादित करता है।

CREATE DATABASE AUDIT SPECIFICATION [dbAudit]
FOR SERVER AUDIT [servAudit]
ADD (EXECUTE ON DATABASE::[DatabaseName] BY [public])

हमने पाया है कि कुछ प्रश्न परिणाम सेट में प्रत्येक पंक्ति के लिए एक स्केलर फ़ंक्शन के उपयोग के लिए ऑडिट को लिखेंगे। जब ऐसा होता है, तो लॉग भरने से पहले हम इसे अंतिम रूप देने वाले स्थान पर ETL कर सकते हैं और हमारे लॉगिंग में एक अंतर है।

दुर्भाग्य से अनुपालन कारणों के कारण, हम बस हर EXECUTEबयान का ऑडिट नहीं कर सकते ।

इस समस्या के लिए हमारा पहला विचार यह है कि गतिविधि को फ़िल्टर करने के WHEREलिए सर्वर ऑडिट पर क्लॉज़ का उपयोग किया जाए । कोड इस तरह दिखता था:

WHERE [object_id] not in (Select object_id from sys.objects where type = 'FN' )

दुर्भाग्य से, एसक्यूएल सर्वर रिलेशनल इन ऑपरेटर की अनुमति नहीं देता है (शायद इसलिए कि यह हर बार क्वेरी को ऑडिट लॉग में लिखना नहीं चाहता है)।

हम संग्रहीत संग्रह लिखने से बचना चाहते हैं, जो क्लॉज़ object_idमें कठिन कोड है WHERE, लेकिन इस समस्या को हल करने के लिए सबसे अच्छी तरह से हमारी वर्तमान सोच है। क्या कोई वैकल्पिक दृष्टिकोण है जिस पर हमें विचार करना चाहिए?

हमने देखा है कि जब पुनरावर्ती CTE में स्केलर फ़ंक्शन का उपयोग होता है, तो यह परिणाम सेट में प्रत्येक पंक्ति के लिए ऑडिट लॉग को लिखने के लिए क्वेरी का कारण बनता है।

कुछ स्केलेर वैल्यूड फंक्शंस हैं जो एक वेंडर द्वारा दिए जाते हैं जिसे हम डिलीट नहीं कर सकते हैं या वैकल्पिक डेटाबेस में नहीं जा सकते हैं।

कुछ विकल्प हैं जो मुझे काम करने में सक्षम थे। सभी विकल्प फ़िल्टर की विविधता के साथ सौदा करते हैं। नोट: आपको परिवर्तन करने के लिए सर्वर ऑडिट को अक्षम करना होगा , और फिर इसे सक्षम करना होगा।

सबसे पहले, सबसे सामान्य दृष्टिकोण सभी स्केलर यूडीएफ को फ़िल्टर करना है। आप class_typeऑडिट फ़ील्ड का उपयोग करके ऐसा कर सकते हैं । दस्तावेज़ इंगित करता है कि यह फ़ील्ड है VARCHAR(2), लेकिन यह किसी स्ट्रिंग को निर्दिष्ट करने की अनुमति नहीं देता है। हालांकि, मुझे काम करने के लिए निम्नलिखित मिला:

ALTER SERVER AUDIT [servAudit]
WHERE ([class_type] <> 20038); -- EXECUTE Scalar UDF

(उस जाँच के बारे में अधिक जानकारी यहाँ: सर्वर ऑडिट मिस्ट्री: फ़िल्टरिंग class_type में त्रुटि हो जाती है Msg 25713 )

अगला सबसे सामान्य दृष्टिकोण एक विकल्प नहीं है क्योंकि यह कहा गया था कि यह एक विक्रेता-आपूर्ति डेटाबेस है और इसलिए कोई बदलाव नहीं किया जा सकता है। तो मैं उस अंतिम को कवर करूंगा।

कम से कम सामान्य दृष्टिकोण (लेकिन एक जो निश्चित रूप से काम करता है) विशिष्ट फ़ंक्शन नाम को फ़िल्टर करने के लिए है:

ALTER SERVER AUDIT [servAudit]
WHERE ([object_name]<>'function_name');

या, यदि कई नाम:

ALTER SERVER AUDIT [servAudit]
WHERE ([object_name]<>'function_name1' AND [object_name]<>'function_name2');

हालांकि बहुत सामान्य नहीं है, यह दृष्टिकोण ठीक होना चाहिए क्योंकि फ़िल्टर करने के लिए कार्यों की संख्या काफी कम होनी चाहिए, और यह बहुत बार नहीं होगा कि नए फ़ंक्शन पेश किए जाते हैं।

अंत में, दूसरों के लिए जो इस स्थिति का सामना करते हैं और परिवर्तन करने से प्रतिबंधित नहीं होते हैं: आप कार्यों को अपने स्कीमा में रख सकते हैं और फिर केवल स्कीमा को फ़िल्टर कर सकते हैं। यह व्यक्तिगत रूप से कार्यों को फ़िल्टर करने की तुलना में अधिक सामान्य है। यह मानते हुए कि आप एक स्कीमा नामित करते हैं fnऔर फ़ंक्शन को उसमें डालते हैं:

ALTER SERVER AUDIT [servAudit]
WHERE ([schema_name]<>'fn');

ALSO, प्रश्न में निम्नलिखित दो टिप्पणियों के बारे में:

दुर्भाग्य से, एसक्यूएल सर्वर रिलेशनल इन ऑपरेटर की अनुमति नहीं देता है (शायद इसलिए कि यह हर बार क्वेरी को ऑडिट लॉग में लिखना नहीं चाहता है)।

तथा:

हम संग्रहीत संग्रह को लिखने से बचना चाहते हैं, जो WHO क्लॉज में object_id को कोड करता है

INऑपरेटर मुद्दा नहीं है। सच है, यह समर्थित नहीं है, लेकिन ORशर्तों की सूची के लिए यह केवल आशुलिपि है । वास्तविक मुद्दा टी-एसक्यूएल का उपयोग है। केवल शाब्दिक - तार या संख्या - की अनुमति है। तो आप वैसे भी एक संग्रहीत प्रक्रिया को निष्पादित करने में सक्षम नहीं होंगे। न ही आप अंतर्निहित कार्यों का उपयोग कर सकते हैं।