SQL Server Security AgentGuía de Usuario
1.6VMC-TSS
VISUAL Message Center SQL Server Security Agent Guía de Usuario
El software descrito en este documento se distribuye bajo un contracto de licencia y puede utilizarse
únicamente de acuerdo a los términos de uso de dicho acuerdo.
Aviso de Copyright
Copyright © 2012 Tango/04. Todos los derechos reservados.
Fecha de documento: Agosto 2012
Versión de documento: 2.41
Versión de producto: 1.6
Ninguna parte de esta publicación puede reproducirse, transmitirse, transcribirse, almacenarse en un
sistema de recuperación o traducirse a ningún idioma o lenguaje de programación, de ninguna forma ni
medio, electrónico, mecánico, magnético, óptico, químico, manual, o de cualquier otro tipo, sin el
permiso por escrito previo de Tango/04.
Marcas Registradas
Cualquier referencia a nombres de productos registrados son propiedad de las respectivas empresas.
Soporte Técnico
Para soporte técnico visite nuestra página web en www.tango04.com.
Tango/04 Computing Group S.L. Avda. Meridiana 358, 5 A-B Barcelona 08027 España
Teléfono: +34 93 274 0051
Tabla de Contenidos
Tabla de Contenidos
Tabla de Contenidos.......................................................................... III
Cómo Usar esta Guía.......................................................................VIII
Capítulo 1
Introducción ...................................................................................... 1
Capítulo 2
Método de Auditoria .......................................................................... 3
Capítulo 3
Administración de Origen de Datos ...................................................... 53.1. Creación de un Origen de Datos ....................................................................5
3.2. Eliminar un Origen de Datos...........................................................................6
Capítulo 4
Consideraciones Especiales ................................................................. 74.1. Configuración por Defecto de los ThinAgents ................................................7
4.2. Filtros de Auditoría..........................................................................................7
4.2.1. SQL Server 7 ............................................................................................7
4.2.2. SQL Server 2000 y Posteriores ................................................................8
© 2012 Tango/04 Computing Group Página III
Tabla de Contenidos
4.3. Perfil Mínimo de Usuario ..............................................................................10
4.3.1. Dar Derechos de Iniciar Sesión como Proceso por Lotes ......................13
4.3.2. Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2005 ..13
4.3.3. Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2008 ..14
4.4. Cambiar la Configuración de un Origen de Datos ........................................15
4.5. Eliminar Trazas .............................................................................................15
4.5.1. Eliminar Trazas en SQL Server 2000, 2005 y 2008................................16
4.5.2. Eliminar Trazas en SQL Server 7 ...........................................................16
4.6. Eventos en Tiempo Real...............................................................................16
Capítulo 5
ThinAgents ...................................................................................... 185.1. Eventos y Campos........................................................................................18
Capítulo 6
SQL Server Database Files Auditing ThinAgent (v2000 y Posteriores)...................................................................... 21
6.1. Eventos Recuperados...................................................................................21
6.2. Campos.........................................................................................................21
6.3. Campos por Evento ......................................................................................22
Capítulo 7
SQL Server Errors and Warnings ThinAgent......................................... 237.1. Eventos Recuperados...................................................................................23
7.2. Campos.........................................................................................................24
7.3. Campos por Evento ......................................................................................24
Capítulo 8
SQL Server Locks Auditing ThinAgent ................................................. 278.1. Eventos Recuperados...................................................................................27
8.2. Campos ........................................................................................................28
8.3. Campos por Evento ......................................................................................28
© 2012 Tango/04 Computing Group Página IV
Tabla de Contenidos
Capítulo 9
SQL Server Object Changes ThinAgent................................................ 319.1. Eventos Recuperados...................................................................................31
9.2. Campos.........................................................................................................32
9.3. Campos por Evento ......................................................................................32
Capítulo 10
SQL Server Scans Auditing ThinAgent................................................. 3610.1. Eventos Recuperados.................................................................................36
10.2. Campos ......................................................................................................36
10.3. Campos por Evento ....................................................................................37
Capítulo 11
SQL Server Security Auditing ThinAgent (v7) ...................................... 3911.1. Eventos Recuperados.................................................................................39
11.2. Campos ......................................................................................................40
11.3. Campos por Evento ....................................................................................40
11.4. Filtros Útiles ................................................................................................42
Capítulo 12
SQL Server Security Auditing ThinAgent (v2000 y posteriores)...................................................................... 44
12.1. Eventos Recuperados.................................................................................44
12.2. Campos.......................................................................................................45
12.3. Campos por Evento ....................................................................................46
12.4. Filtros Útiles ................................................................................................55
Capítulo 13
SQL Server Audit (Generic) ThinAgent ................................................ 5613.1. Eventos Recuperados.................................................................................56
13.2. Campos.......................................................................................................56
13.3. Campos por Evento ....................................................................................57
© 2012 Tango/04 Computing Group Página V
Tabla de Contenidos
Capítulo 14
SQL Server Statements Auditing ThinAgent......................................... 5814.1. Eventos Recuperados.................................................................................58
14.2. Campos.......................................................................................................58
14.3. Campos por Evento ....................................................................................59
Capítulo 15
SQL Server Stored Procedures Auditing ThinAgent ............................... 6115.1. Eventos Recuperados.................................................................................61
15.2. Campos.......................................................................................................62
15.3. Campos por Evento ....................................................................................62
Capítulo 16
SQL Server Transactions Auditing ThinAgent ....................................... 6616.1. Eventos Recuperados.................................................................................66
16.2. Campos.......................................................................................................66
16.3. Campos por Evento ....................................................................................67
Capítulo 17
SQL Server User Auditing ThinAgent (v7) ........................................... 7017.1. Eventos Recuperados.................................................................................70
17.2. Campos.......................................................................................................70
17.3. Campos por Evento ....................................................................................71
17.4. Filtros Útiles ................................................................................................71
Capítulo 18
SQL Server User Auditing ThinAgent (v2000 y posteriores) .................. 7318.1. Eventos Recuperados.................................................................................73
18.2. Campos.......................................................................................................74
18.3. Campos por Evento ....................................................................................75
18.4. Filtros Útiles ................................................................................................82
© 2012 Tango/04 Computing Group Página VI
Tabla de Contenidos
Apéndices
Apéndice A: Mapeo de Campos ThinkServer – SmartConsole................ 83
Apéndice B: Información Adicional .................................................... 84B.1. Uso de la documentación PDF de Tango/04................................................84
B.2. Tango/04 University......................................................................................84
B.3. Contactar con Tango/04 ...............................................................................86
Acerca de Tango/04 Computing Group ............................................... 87
Aviso Legal...................................................................................... 88
© 2012 Tango/04 Computing Group Página VII
Cómo Usar esta Guía
© 2012 Tango/04 Computing Group Página VIII
Cómo Usar esta Guía
Este capítulo explica cómo usar las Guías de Usuario de Tango/04 y comprender las convenciones
tipográficas usadas en toda la documentación de Tango/04.
Convenciones Tipográficas
Los siguientes términos, formatos de texto y símbolos convencionales se utilizan en toda la
documentación impresa de Tango/04:
Convention Description
Negrita Mandatos, botones en pantalla y opciones de menú.
Cursiva azul Referencias y enlaces a otras secciones en el manual o a otra documentación que contiene información relevante.
Cursiva Texto mostrado en pantalla, o variables donde el usuario debe sustituir sus propios detalles.
Monospacia Mandatos de entrada como mandatos o código System i, o texto que los usuarios deben teclear.
MAYUSCULA Claves de teclado, como CTRL para la tecla Control y F5 para la tecla de función que está etiquetada como F5.
Notas e información adicional de utilidad.
Consejos y pistas que mejoran la experiencia de usuario al trabajar con este producto.
Importante: información adicional que es altamente recomendable que el usuario tenga en cuenta.
Aviso: El no seguir esta información podría derivar potencialmente en serios problemas.
Introducción
Capítulo 11 Introducción
VISUAL Message Center ofrece una amplia gama de funcionalidades de monitorización par uno o
varios motores de bases de datos SQL Server.
Soporta las versiones SQL Server 7, SQL Server 2000, SQL Server 2005, y Desktop Edition (MSDE)
ejecutándose en Windows 2000, Windows 2003 Server Edition o Windows 2008. Nuestra amplia gama
de soluciones de monitorización incluye control y gestión de:
• Disponibilidad de la base de datos
• Rendimiento de la base de datos
• Seguridad, Auditoría y Cumplimiento de regulaciones de la base de datos
• Servicios de Negocio que utilizan SQL Server como un componente de la aplicación
Los SQL Server Security ThinAgents vienen preconfigurados para que pueda iniciar fácil y rápidamente
la monitorización desde el primer momento
VISUAL Message Center puede alertarle en tiempo real o próximo a tiempo real de eventos
procedentes de una amplia lista de fuentes, incluyendo entre otros:
• Proveedores de rendimiento WMI de SQL Server
• Indicadores de rendimiento interno de SQL Server
• Logs de SQL Server
• Windows Event Log
• Estado de procesos y servicios de SQL Server
• Transacciones sintéticas (vea los detalles a continuación)
• Logs de transacciones
• Eventos de auditoría
• Transacciones SQL
• Variables SNMP proporcionadas por SQL Server
• Objetos SQL Server incluidos en el Monitor del Sistema
• Otros productos de monitorización de Microsoft y terceros como MOM
© 2012 Tango/04 Computing Group Página 1
Introducción
• Indicadores críticos de rendimiento, seguridad y disponibilidad del sistema operativo y de
hardware de los servidores donde reside SQL Server
• Dispositivos de red y servicios de infraestructura relacionados que puede afectar a SQL Server
• Servicios de negocio afectados por el estado de la base de datos
Normalmente no es necesario utilizar todos los monitores a la vez (de hecho, algunos de ellos
recuperan los mismos datos), pero debe saber que VISUAL Message Center es lo suficientemente
flexible para utilizar las mejores estrategias de monitorización para cada cliente o escenario.
Los eventos no relevantes pueden filtrarse a nivel de origen o de SmartConsole para ahorrar recursos
de CPU, ancho de banda y la necesidad de supervisión de los operadores. Sólo se señalan los eventos
relevantes y requieren la atención del operador, para evitar la dificultad de buscar información crítica
entre grandes cantidades de datos técnicos no relevantes.
Nota Este manual está pensado para usuarios con conocimientos de SQL. El manual explica
cómo VISUAL Message Center ThinkServer utiliza variables SQL para monitorizar
rendimiento y seguridad de SQL. Este manual no le enseñará cómo utilizar SQL.
© 2012 Tango/04 Computing Group Página 2
Método de Auditoria
Capítulo 2 2 Método de Auditoria
Este capítulo explica cómo funciona el proceso de auditoría de SQL Server y como lo hace VISUAL
Message Center ThinkServer en referencia a la recuperación de la información de auditoría. Le
recomendamos que actualice a la última versión de Service3 Pack de SQL Server antes de empezar.
El primer paso es crear un origen de datos para la auditoria SQL. Cuando crea el origen de datos, se
crea un proceso de auditoría (traza) en el servidor.
Una vez ha creado un origen de datos, puede reducir el proceso de auditoría aplicando filtros al origen
de datos. Además puede configurar filtros a nivel de monitor y asignar condiciones para asignar la salud
y las acciones a realizar.
Tenga en cuenta que:
• El proceso de auditoría se ejecutará en el servidor, independientemente si se está ejecutando
el servicio ThinkServer o no.
• Los eventos de auditoría recuperados se almacenan en archivos temporales en el servidor..
− En servidores SQL Server 7, los datos se almacenan en tablas
− En servidores SQL Server 2000 y posteriores, los datos se almacenan en archivos binarios
en una carpeta del sistema.
• Cuando se reinicia el servidor o el servicio SQL Server, también se reinicia el proceso de
auditoría. El SQL Audit ThinAgent crea un procedimiento almacenado llamado
tango_restart_traces cuando se crea el primer origen de datos de auditoría. Este
procedimiento almacenado es llamado cuando se reinicia SQL Server. Lee la tabla
tango_traces y reinicia cada proceso de auditoría en ejecución en el servidor antes de que
arranque SQL Server.
• El proceso creado en un servidor recibe eventos de todo el servidor, no sólo de una base de
datos específica. Si sólo necesita auditor una base de datos específica, cree filtros de origen
de datos en las variables DatabaseName o DatabaseID.
• La auditoria de SQL Server puede tener efectos importantes en un servidor. Las operaciones
de entrada/salida pueden incrementarse hasta niveles peligrosos si no se establecen los filtros
apropiados. Tenga en cuenta que una sencilla consulta puede generar 30 evento que se
escriben en un archivo o base de datos. Por ello es muy importante decidir qué usuarios,
bases de datos y tipos de consulta necesita auditor. No es posible para un SQL Server con
elevadas cargas de trabajo recopilar y guardar todos los eventos posibles.
© 2012 Tango/04 Computing Group Página 3
Método de Auditoria
• Tenga en cuenta que recuperar una gran cantidad de eventos puede llevar a problemas de
almacenamiento en el servidor. Si ThinkServer no se está ejecutando o si la velocidad a la que
se generan nuevos eventos es mayor que la velocidad a la que ThinkServer lee los eventos es
fácil que se produzcan problemas de almacenamiento.
Los eventos de auditoría de archivos temporales se recuperan a través del proceso de recolección del
origen de datos utilizando consultas SQL.
Nota El proceso de auditoría en el servidor se ejecutará hasta que se elimine el origen de datos,
independientemente de si se está ejecutando o no el servicio ThinkServer.
© 2012 Tango/04 Computing Group Página 4
Administración de Origen de Datos
Capítulo 3 3 Administración de Origen de Datos
3.1 Creación de un Origen de DatosCuando crea un monitor se le pedirá que cree un origen de datos si no existe ninguno todavía para el
ThinAgent que ha seleccionado. Aparecerá la pantalla de configuración de origen de datos. Aquí puede
introducir la información necesaria para recuperar los datos.
Los orígenes de datos vienen parcialmente preconfigurados. Ajuste los valores por defecto para que se
adapten a las necesidades de su empresa e introduzca los siguientes campos, como sea necesario:
• DSN (Nombre de la conexión ODBC adjunta al, adjunta al Servidor SQL)
• Usuario
• Contraseña
• Versión de SQL Server – seleccione si está usando SQL 7 o SQL 2000
El ThinAgent utiliza las siguientes plantillas para dar nombre automáticamente al proceso de auditoría
de SQL Server y a los archivos intermedios:
• En SQL Server 7, los datos temporales se almacenan en una base de datos con un nombre
similar a:
DefaultDatabase..ClientHostName_TangoTraceNNNNN,
• Donde DefaultDatabase es la base de datos por defecto del DSN ODBC utilizado para
conectar a SQL Server (por defecto se utiliza master), ClientHostname es el nombre del
sistema donde se está ejecutando ThinkServer, y NNNNN es un número secuencial.
• Se asignará el número máximo más 1 al siguiente origen de datos. Por ejemplo:
master..MICH_TangoTrace00001
• En SQL Server 2000 y posteriores, los archivos temporales se almacenan, por defecto en la
carpeta WinNT\system32, con un nombre similar a:
ClientHostName_TangoTraceNNNNN.trc
• Donde ClientHostName es el nombre del sistema donde se está ejecutando ThinkServer. Por
ejemplo:
c:\winnt\system32\tangotraces\MICH_TangoTrace00002.trc
© 2012 Tango/04 Computing Group Página 5
Administración de Origen de Datos
3.2 Eliminar un Origen de DatosLa única manera de detener un proceso de auditoría en el Servidor SQL es eliminar el origen de datos.
Cuando elimina el origen de datos, también se elimina el archivo/tabla de traza.
Nota En SQL server 2005 debe especificarse el path de los archivos temporales.
Importante Asegúrese que elimina el origen de datos cuan do elimina los monitores adjuntos al mismo.
Esto es muy importante para evitar problemas de rendimiento.
Si no elimina el origen de datos continuará generando eventos en el servidor SQL utilizando
potencialmente cantidades significantes de disco.
© 2012 Tango/04 Computing Group Página 6
Consideraciones Especiales
Capítulo 4 4 Consideraciones Especiales
Este capítulo cubre información importante que debe leer antes de empezar a utilizar los SQL Security
ThinAgents. La información presentada aplica a todos los SQL Security ThinAgents y proporciona al
usuario los conocimientos necesarios para utilizar correctamente estos monitores además de algunas
útiles herramientas de resolución de problemas.
4.1 Configuración por Defecto de los ThinAgentsUna configuración precisa de los filtros es un aspecto muy importante de la configuración de los SQL
Server ThinAgents. Insistiremos en ello a lo largo de todo el documento.
Los SQL Security ThinAgents pueden ser extremadamente útiles para detector situaciones de
seguridad sospechosas, errores y avisos producidos en SQL Server, consultas ejecutadas en el
Servidor SQL, cambios sobre objetos e incluso información de rendimiento de la ejecución de una
consulta. Pero también puede ser perjudicial para el rendimiento de su Servidor SQL. L diferencia
reside en la configuración de los filtros de cada monitor.
Aunque la configuración apropiada de los filtros es incluso más importante en SQL Server 7, todos los
sistemas de base de datos necesitan una configuración precisa. No es posible para un sistema con una
carga de trabajo promedio, auditor cada cursor, cada bloqueo, cada RPC, involucrado en una consulta.
Por ejemplo si la configuración de sus monitores causa 60 eventos que se deben almacenar para cada
consulta sencilla, necesitará 60 servidores con la misma capacidad para soportar la misma carga de
trabajo.
Hemos creado configuraciones por defecto para cada ThinAgent que filtran aquellos eventos que
indican que puede haber un problema en un servidor y aquellos eventos que indican cambios
importantes en los permisos como inicios de sesión o usuarios añadidos.
4.2 Filtros de AuditoríaLa configuración de los filtros para SQL Server 7 difiere de la configuración de filtros para SQL Server
2000 y posteriores. En SQL Server 7 simplemente introduce los calores a incluir o excluir para cada
campo de evento. La configuración de filtros en SQL Server 2000 es más flexible y permite una
definición más específica de los filtros.
4.2.1 SQL Server 7La configuración de filtros en SQL Server 7 consiste en la definición de todos los valores que desea
incluir o excluir de un campo de evento determinado en una entrada sencilla.
© 2012 Tango/04 Computing Group Página 7
Consideraciones Especiales
Figura 1 – Configuración de filtros de inclusión y exclusión para SQL Server 7
En la pestaña Advanced Settings pulse el botón Add a filter para abrir la ventana de detalles de filtro.
Aquí puede buscar las variables disponibles utilizando el botón de insertar.
Figura 2 – Detalles de Filtro
Seleccione las variables que desea incluir o excluir para el campo de evento. Las variables aparecen
como una lista en el campo correspondiente.
4.2.2 SQL Server 2000 y PosterioresLa configuración de filtros para SQL Server 2000 y posteriores, requiere una entrada para cada
comparación de un campo de evento.
Para añadir filtros seleccione la pestaña Advanced y pulse el botón Add a filter.
© 2012 Tango/04 Computing Group Página 8
Consideraciones Especiales
Figura 3 – Configuración de filtros para SQL Server 2000 y posterior.
Aparece la ventana de detalles de filtro, donde puede
• Seleccionar el campo de evento al que aplica el filtro,
• Seleccionar el operador deseado, y
• Introducir el valor requerido.
Para activar el filtro recuerde seleccionar Active. Desactivar un filtro le permite detener temporalmente
un filtro sin perder su definición. Para reactivar los filtros simplemente seleccione Active.
Figura 4 – Detalles de filtro
Nota Es importante agrupar todas las comparaciones para un campo en particular.
© 2012 Tango/04 Computing Group Página 9
Consideraciones Especiales
4.3 Perfil Mínimo de Usuario • En SQL Server 7, el usuario debe ser capaz de crear una nueva traza y acceder a la tabla que
crea la traza para realizar operaciones de lectura y escritura.
• Por defecto, se otorgan a los miembros del rol fijo de servidor sysadmin permisos de ejecución
para:
xp_trace_addnewqueue
xp_trace_setqueuedestination
xp_trace_restartqueue
xp_trace_pausequeue
xp_trace_destroyqueue
xp_trace_enumqueuehandles
xp_trace_getqueuedestination.
• Estos permisos también pueden otorgarse a otros usuarios si surge la necesidad.
• Para realizar consultas select y delete en la tabla donde se almacena la información de
eventos, necesita un usuario que pertenezca al rol del servidor sysadmin, o el usuario que creó
la traza llamando al procedimiento almacenado xp_trace_setqueuedestination (por
ejemplo, el propietario de la traza).
• Para crear un procedimiento almacenado de arranque, debe haber iniciado sesión como
miembro del rol fijo de servidor sysadmin y crear el procedimiento almacenado en la base de
datos master.
• Para crear la tabla tango_traces, deben otorgarse al usuario permisos CREATE TABLE. Por
defecto, este permiso se otorga a los miembros de los roles fijos del servidor db_owner y
db_ddladmin. Los miembros del rol fijo de base de datos db_owner y los miembros del rol fijo
de servidor sysadmin pueden otorgar a otros usuarios permisos CREATE TABLE. Para llevar a cabo consultas delete a la tabla tango_traces deben otorgarse permisos
DELETE. Estos permisos se otorgan por defecto a los miembros del rol fijo de servidor
sysadmin, los roles fijos de base de datos db_owner y db_datawriter, y al propietario de la
tabla. Además del propietario de la tabla, los miembros de los roles sysadmin, db_owner, y
db_securityadmin, pueden transferir permisos a otros usuarios.
• En SQL Server 2005 y 2008, el servidor debe permitir el uso del procedimiento almacenado
xp_cmdshell. Este procedimiento almacenado está deshabilitado por defecto y debe
habilitarse utilizando la configuración de área de superficie de SQL Server, diríjase a la sección 4.3.2 - Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2005 en la página 13
para más detalles.
• A diferencia de SQL Server 2000, SQL Server 2005 y 2008 no tienen una cuenta sysadminrequerida estrictamente que permite la restricción de los permiso otorgados al usuario de DSN.
También es posible restringir la ejecución directa del procedimiento almacenado
xp_cmdshell. Esto produce dos opciones de configuración que se muestran a continuación.
Configure estas opciones en la pestaña Security, seleccionado el parámetro Avoid using
xp_cmdshell directly.
© 2012 Tango/04 Computing Group Página 10
Consideraciones Especiales
Figura 5 – Configuración de Origen de datos
− Opción 1: No usar directamente xp_cmdshell
Para habilitar esta opción, se necesitan un usuario del sistema (DOMINIO\USUARIO) y
una cuenta DB sysadmin hasta la primera recolección de datos. Tras la primera
recolección, estas cuentas no son necesarias y pueden eliminarse de la configuración
del origen de datos.
El usuario del sistema debe tener derechos de log on as a batch job y permiso de
control total en el directorio donde se almacenan las trazas. Para instrucciones, diríjase
a la sección 4.3.1 - Dar Derechos de Iniciar Sesión como Proceso por Lotes en la página 13. Este se utiliza para configurar ##xp_cmdshell_proxy_account## que es
la credencial utilizada para comprobar los permisos para accede al filesystem. Para
reconfigurar, debe entrarse sysadmin y, como antes, puede eliminarse tras la primera
recolección.
La cuenta sysadmin es necesaria para crear sp_tango_shell (que encapsula
xp_cmdshell y se ejecutará con los permisos de su propietario), actualizar o crear
##xp_cmdshell_proxy_account## y otorgar los permisos necesarios para el DSN.
− Opción 2: Usar direectamente xp_cmdshell
Para utilizar esta opción, asigne privilegios a usuarios o nombres de login
manualmente. Estos privilegios se otorgan por defecto a miembros del rol fijo de
servidor sysadmin y pueden otorgarse a otros usuarios con los siguientes mandatos
© 2012 Tango/04 Computing Group Página 11
Consideraciones Especiales
Donde xp_cmdshell es llamado por un usuario que no es miembro del rol fijo de
servidor sysadmin, conecta con el sistema operativo utilizando el nombre de usuario y
contraseña almacenados en la credencial denominada
##xp_cmdshell_proxy_account##. Si no existen estas credenciales de proxy,
xp_cmdshell fallará. Cree la credencial de cuenta de proxy ejecutando el siguiente
mandato:
Este usuario debe tener derechos log on as a batch job y permisos de control total en el
directorio donde se almacenan las trazas (diríjase a la sección 4.3.1 - Dar Derechos de Iniciar Sesión como Proceso por Lotes en la página 13).
Los SQL Audit ThinAgents también llevan a cabo operaciones para comprobar si existe un archivo en el
sistema y eliminar archivos temporales antiguos donde se almacenaron eventos. Esto se realiza
ejecutando el procedimiento almacenado avanzado xp_cmdshell, el permiso para el cual se otorga
por defecto a los miembros del rol fijo del servidor sysadmin pero puede otorgarse a otros usuarios.
Es importante tener en cuenta que cuanto se utiliza una cuenta Windows NT que no es miembro del
grupo de administradores locales del servicio MSSQLServer, los usuarios que no son miembros del rol
fijo del servidor sysadmin no pueden ejecutar xp_cmdshell.
USE [master]
GRANT ALTER ON SCHEMA :: [dbo] TO [tango_user]
GRANT SELECT ON SCHEMA :: [dbo] TO [tango_user]
GRANT INSERT ON SCHEMA :: [dbo] TO [tango_user]
GRANT UPDATE ON SCHEMA :: [dbo] TO [tango_user]
GRANT DELETE ON SCHEMA :: [dbo] TO [tango_user]
GRANT EXECUTE ON [master].[sys].[xp_cmdshell] TO [tango_user]
GRANT EXECUTE ON [master].[dbo].[sp_trace_setfilter] TO [tango_user]
GRANT EXECUTE ON [master].[dbo].[sp_trace_create] TO [tango_user]
GRANT EXECUTE ON [master].[dbo].[sp_trace_setevent] TO [tango_user]
GRANT EXECUTE ON [master].[dbo].[sp_trace_setstatus] TO [tango_user]
GRANT EXECUTE ON [master].[dbo].[xp_fileexist] TO [tango_user]
GRANT CREATE PROCEDURE TO [tango_user]
GRANT CREATE TABLE TO [tango_user]
GRANT ALTER TRACE TO [tango_login]
CREATE CREDENTIAL [##xp_cmdshell_proxy_account##] WITH IDENTITY = N'DOMAIN\USER', SECRET = N'PASSWORD'
© 2012 Tango/04 Computing Group Página 12
Consideraciones Especiales
4.3.1 Dar Derechos de Iniciar Sesión como Proceso por LotesEs necesario añadir algunos permisos al nuevo usuario asignado a las credenciales de proxy para que
pueda iniciar la sesión como un proceso por lotes. Esto se realiza en la directiva local de la maquina
que va a monitorizar.
Para otorgar los privilegios “Iniciar sesión como proceso por lotes” a un usuario:
Paso 1. Abra el servidor SQL deseado.
Paso 2. Haga clic sobre Configuración de seguridad y seleccione Directivas locales.
Después haga clic sobre Asignación de derechos de usuario.
Paso 3. Abra Iniciar sesión como proceso por lotes, y añada el usuario que ha asignado a
las credenciales de proxy ##xp_cmdshell_proxy_account##. Haga clic sobre
Aplicar, y pulse Aceptar.
4.3.2 Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2005SQL Server 2005 ha sufrido varias mejoras de seguridad, una de las cuales es prohibir a cualquier
usuario la ejecución del procedimiento almacenado xp_cmdshell. Los SQL Server Security Agents
utilizan este procedimiento almacenado, y por lo tanto debe habilitarse.
Para habilitar el procedimiento almacenado xp_cmdshell:
Paso 1. En la barra de tareas pulse el menú Inicio, seleccione Todos los programas >
Microsoft SQL Server 2005 > Herramientas de Configuración, y a continuación
pulse Configuración de Área de Superficie de SQL Server para lanzar la
herramienta de configuración de área de superficie.
Existen instrucciones detalladas en:
http://msdn2.microsoft.com/en-us/library/ms173748.aspx
Paso 2. Pulse la opción Configuración de Área de Superficie para Características
Más información disponible en:
http://msdn2.microsoft.com/en-us/library/ms183753.aspx
Nota Esto es sólo aplicable a SQL Server 2005 y versiones posteriores (no a SQL Server 2000).
© 2012 Tango/04 Computing Group Página 13
Consideraciones Especiales
Figura 6 – Utilidad de Configuración de Área de Superficie – Opción Configuración de Área de Superficie para Características
Paso 1. Seleccione xp_cmdshell y marque la casilla Habilitar xp_cmdshell.
Figura 7 – Configuración de Área de Superficie en SQL Server 2005– procedimiento para habilitar xp_cmdshell
4.3.3 Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2008Para habilitar el procedimiento xp_cmdshell en SQL Server 2008, debe ejecutar las siguientes
sentencias:
© 2012 Tango/04 Computing Group Página 14
Consideraciones Especiales
4.4 Cambiar la Configuración de un Origen de DatosMientras un origen de datos está ocupado recuperando datos de una traza existente, el usuario puede
realizar cambios en la configuración del origen de datos, pero estos cambios no se aplicarán hasta que
el origen de datos haya completado la recuperación de todos los datos.
De todas maneras, el usuario puede forzar que los cambios en la configuración tengan efecto
inmediato, deteniendo y reiniciando el monitor adjunto al Origen de Datos. Sólo una vez que los ambos
se hayan aplicado, se mostrarán los nuevos valores al editar la configuración del origen de datos.
El forzar los cambios puede ser útil en situaciones específicas, por ejemplo si la recolección de eventos
es continua y se genera una gran cantidad de eventos. En esta situación es imposible aplicar cambios
en la configuración del origen de datos e incluir cualquier Nuevo filtro para mejorar la situación
siguiendo las reglas normales de actualización de la configuración de un origen de datos. En este caso
es mejor forzar los cambios para corregir la situación.
4.5 Eliminar TrazasExisten muchas situaciones en las cuales una traza continua ejecutándose y en la que no es posible
eliminarla de ThinkServer. Por ejemplo, cuando ThinkServer es desinstalado en el cliente o se produce
un error al eliminar el origen de datos; la traza puede continuar ejecutándose mientras el usuario se
queda sin opciones normales para eliminarla.
Para asegurar que las trazas no continúan ejecutándose en el sistema de forma no intencionada, se
han añadido dos ThinAgents para comprobar qué trazas se están ejecutando en el servidor (Traces on
SQL Server 2000 y Traces on SQL Server 7).
Deberá saber cómo eliminar trazas no deseadas y evitar que estas trazas se reinicien en el próximo
arranque de SQL Server.
-- Para permitir que se cambien las opciones avanzadas.
EXEC sp_configure 'show advanced options', 1
GO
-- Para actualizar el valor configurado actual para opciones avanzadas.
RECONFIGURE
GO
-- Para habilitar la funcionalidad.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- Para actualizar el valor configurado actualmente para esta funcionalidad.
RECONFIGURE
GO
Nota Deben ejecutarse las siguientes consultas sólo en situaciones de emergencia. Es
importante mantener la consistencia entre los orígenes de datos en ThinkServer y las trazas
ejecutándose en el servidor.
© 2012 Tango/04 Computing Group Página 15
Consideraciones Especiales
4.5.1 Eliminar Trazas en SQL Server 2000, 2005 y 2008Para eliminar trazas en SQL Server 2000, 2005 o 2008:
Paso 1. Recupere la lista de trazas en ejecución en SQL Server ejecutando la consulta:
SELECT * FROM ::fn_trace_getinfo(default) where property = 2
Con esta consulta recupera los nombres e identificadores de las trazas en ejecución en
el SQL Server
Paso 2. Ejecute las siguientes consultas en cada identificador de traza para detener las trazas
en ejecución en el servidor
EXEC master..sp_trace_setstatus TraceIdentifier, 0
EXEC master..sp_trace_setstatus TraceIdentifier, 2
Paso 3. Esta consulta muestra la información de las trazas que se arrancarán al reiniciar SQL
Server.
SELECT tracename, traceid FROM tango_traces
Paso 4. Elimine la información de las trazas que no deberían reiniciarse de la tabla
tango_traces
DELETE from tango_traces where traceid = TraceIdentifier
4.5.2 Eliminar Trazas en SQL Server 7
Para eliminar trazas en SQL Server 7:
Paso 1. Para recuperar la lista de trazas en ejecución en SQL Server ejecute la consulta:
EXEC master..xp_trace_enumqueuehandles
Esta consulta devuelve la lista de identificadores de traza que se están ejecutando en
el servidor
EXEC master..xp_trace_getqueuedestination TraceIdentifier, 4
Esta consulta devuelve la tabla donde la traza guarda datos temporales.
Paso 2. Para destruir las traza que se ejecutan en el servidor, ejecute la consulta:
EXEC master..xp_trace_destroyqueue TraceIdentifier
Paso 3. Para listar las definiciones de trazas en el servidor que se reiniciarán la próxima vez
que se arranque el SQL Server ejecute la consulta:
EXEC master..xp_trace_enumqueuedefname 1
Esta consulta devuelve la lista de identificadores de traza que se están ejecutando en
el servidor
Paso 4. Para eliminar las definiciones de las colas de manera que la próxima vez que arranque
SQL Server estas trazas no se vuelvan a crear, ejecute la consulta:
EXEC master..xp_trace_deletequeuedefinition 'TraceName', 1
4.6 Eventos en Tiempo RealLos SQL Audit ThinAgents reciben eventos a los que están suscritos en el orden en que se generan. Si
hay muchos eventos pendientes de procesarse en el servidor, puede pasar mucho tiempo hasta que un
© 2012 Tango/04 Computing Group Página 16
Consideraciones Especiales
evento llegue a ThinkServer y que pueda activar una alarma. Esto subraya la importancia de configurar
los filtros apropiados en el origen de datos así como en el monitor.
Si la capacidad de leer eventos de ThinkServer es inferior a la capacidad de SQL Server de generar
eventos, se producirá un desfase creciente en el procesamiento de eventos, que puede acabar en un
colapso de la capacidad de almacenamiento del servidor.
En SQL Server 2000, en el que los eventos se almacenan en un buffer de memoria de SQL Server
antes de almacenarse en los archivos utilizados por ThinkServer para procesarlos, pueden producirse
problemas si sólo se generan unos pocos eventos. En este caso puede ser necesario mucho tiempo
para que se llene el buffer, liberando los eventos a los archivos de ThinkServer para su procesamiento.
Cuando ThinkServer detecta que no se ha recuperado ningún dato en 10 iteraciones consecutivas,
fuerza al buffer de SQL Server a escribir en el archivo, de manera que ThinkServer pueda procesar los
eventos. Tenga en cuenta que por defecto, este delay es de sólo 10 minutos (10 iteraciones con un
refresco de 60 segundos). Este delay cambia de acuerdo con si configuración del tiempo de refresco en
un origen de datos.
© 2012 Tango/04 Computing Group Página 17
ThinAgents
Capítulo 5 5 ThinAgents
Todos los ThinAgents están basados en el SQL Auditing (Generic) ThinAgent, pero cada ThinAgent
tiene una configuración específica para ayudarle a que pueda comenzar a monitorizar de inmediato.
Desde luego, puede cambiar las configuraciones por defecto de los ThinAgents o usar el SQL Auditing
(Generic) ThinAgent para configurar monitores que se adapten a sus necesidades de negocio
específicas.
Los SQL Server ThinAgents disponibles actualmente son:
• SQL Server Database Files Auditing
• SQL Server Errors and Warnings
• SQL Server Locks Auditing
• SQL Server Object Changes
• SQL Server Scans Auditing
• SQL Server Security Auditing
• SQL Auditing Monitor (Generic)
• SQL Estado del servidorments Auditing
• SQL Server Stored Procedures Auditing
• SQL Server Transaction Auditing
• SQL Server User Auditing
Los siguientes des ThinAgents, basados en el Data Adapter ThinAgent, son peticiones de base de
datos para saber qué trazas se están ejecutando en el servidor.
• Traces on SQL Server 2000
• Traces on SQL Server 7
5.1 Eventos y CamposLos ThinAgents recuperan su información del origen de dato. Puede ver los campos y eventos por
defecto disponibles para un monitor en la pestaña Advanced Data Source Configuration de la
configuración de origen de datos. Aquí puede seleccionar qué eventos y campos desea que recupere el
origen de datos, o añadir más eventos y campos para adaptarlo a las necesidades de su organización.
© 2012 Tango/04 Computing Group Página 18
ThinAgents
Los eventos y campos que puede recuperar un origen de datos varían según el ThinAgent. Cada
ThinAgent y los eventos y campos que recupera se describen individualmente en los capítulos 10 a 15
de este documento.
Además de los campos específicos de cada ThinAgent, existe un número de campos comunes que se
recuperan por defecto para cada ThinAgent. Estos campos se listan en la siguiente tabla.
Campo Descripción
Application Name
Nombre de la aplicación cliente que ha creado la conexión a una ins-tancia de SQL Server. Esta columna se llena con los valores que pasa la aplicación, en lugar de con el nombre que se muestra del programa.
ClientProcessID
ID asignado por el host al proceso donde se está ejecutando la apli-cación cliente. Este dato se completa si el cliente proporciona el ID de proceso.
DatabaseID
ID de la base de datos especificada por la sentencia USE database o la base de datos por defecto si no se ha ejecutado una sentencia USE database para una instancia dada. SQL Profiler muestra el nombre de la base de datos si la columna de datos Server Name es capturada en la traza y el servidor está disponible. Determine el valor para una base de datos utilizando la función DB_ID.
DBUserName Nombre de usuario de SQL Server del cliente.
EventClass Tipo de clase de evento capturado.
EventSubClass
Tipo de subclase de evento, que proporciona más información sobre cada clase de evento. Por ejemplo, los valores de subclase de evento para la clase de evento Execution Warning son:
1 = Query wait. La consulta debe esperar por recursos (por ejemplo memoria) antes de que pueda ejecutarse.
2 = Query time-out. La consulta sobrepasó el time out mientras esperaba los recursos necesarios para ejecutarse.
Esta columna de datos no se completa para todas la clases de even-tos.
HostName
Nombre del PC en el cual se está ejecutando el cliente. Esta columna de datos se completa si el cliente proporciona el nombre de host. Para determinar el nombre de host, use la función HOST_NAME.
LoginSid
Número de identificación de seguridad (SID) del usuario conectado. Puede encontrar esta información en la tabla sysxlogins de la base de datos master. Cada SID es único para cada inicio de sesión en el servidor.
NTDomainName
Dominio Microsoft Windows NT® 4.0 o Windows 2000 al cual perte-nece el usuario.
NTUserName Nombre de usuario en Windows NT 4.0 o Windows 2000.
ServerName Nombre de la instancia de SQL Server que está siendo trazada.
SPIDID de proceso de Servidor asignado por SQL Server al proceso aso-ciado con el cliente.
StartTime Hora en la que se inició el evento, cuando esté disponible.
TextData Texto de la sentencia en el procedimiento almacenado.
© 2012 Tango/04 Computing Group Página 19
ThinAgents
Además de los campos proporcionados por las trazas de SQL Server, hemos añadido un conjunto de
variables descriptivas que ayudan a los usuarios a comprender el significado de cada evento y detallar
la información principal relacionada con él.
Muchos de los nombres de las variables no son intuitivos para el usuario. Y en algunos casos una
variable con el mismo nombre puede significar algo completamente diferente dependiendo del evento
del que se recupera.
Es muy importante comprender el significado de cada variable para crear filtros más inteligentes para
sus orígenes de datos y monitores.
Campo Descripción
EventDescription
Breve descripción del evento SQL Server
EventInfo Información sobre la clase del Evento SQL Server
EventOriginInformación sobre el usuario responsable (cuando está disponible) para este evento de SQL Server
EventPerfInformación sobre los recursos (cuando está disponible) utilizados por SQL Server relacionados con este evento
EventTextInformación de texto relacionada con este evento de SQL Server. Es normalmente el texto de una consulta TSQL
EventTime Time stamp de la acción descrita por este Evento de SQL Server
© 2012 Tango/04 Computing Group Página 20
SQL Server Database Files Auditing ThinAgent (v2000 y Posteriores)
Capítulo 6 6 SQL Server Database Files Auditing ThinAgent
(v2000 y Posteriores)
Con el monitor SQL Server Database Files Auditing puede registrar toda la actividad relacionada con el
crecimiento automático o la reducción de archivos de datos y log.
6.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
6.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 6.3 - Campos por Evento en la página 22 para más detalles.
• EventClass
• StartTime
• EndTime
Evento Descripción
DataFileAutoGrow
Indica que el archivo de datos ha crecido automáticamente. Este evento no se desencadena si se aumentó explícitamente el archivo de datos mediante la instrucción ALTER DATABASE.
DataFileAutoShrink
Indica que el archivo de datos se ha reducido.
LogFileAutoGrowIndica que el archivo de registro creció automáticamente. Este evento no se desencadena si el archivo de registro se aumentó explícitamente mediante ALTER DATABASE.
LogFileAutoShrink
Indica que el archivo de registro se ha reducido automáticamente.
© 2012 Tango/04 Computing Group Página 21
SQL Server Database Files Auditing ThinAgent (v2000 y Posteriores)
• Duration
• FileName
6.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Database
Files Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Evento Data File Auto Grow
EventClass Tipo de evento registrado = 92.
EndTime La hora en la que finalizó el auto-crecimiento del archivo de datos.
DurationLa cantidad de tiempo (en milisegundos) necesaria para extender el archivo.
FileName El nombre lógico del archivo extendido.
IntegerDataEl número de páginas de 8-kilobytes (KB) en las que se incrementó el archivo.
Evento Data File Auto Shrink
EventClass Tipo de evento registrado = 94.
EndTime Hora de finalización de la reducción automática.
Duration Tiempo (en milisegundos) necesario para reducir el archivo.
FileName Nombre lógico del archivo que se va a reducir.
IntegerData Número de páginas de 8 KB en las que se redujo el archivo.
Evento Log File Auto Grow
EventClass Tipo de evento registrado = 93.
EndTimeHora de finalización del crecimiento automático del archivo de registro.
Duration Tiempo (en milisegundos) necesario para ampliar el archivo.
FileName Nombre lógico del archivo que se va a ampliar.
IntegerData Número de páginas de 8 KB en las que se incrementa el archivo.
Evento Log File Auto Shrink
EventClass Tipo de evento registrado = 95.
EndTime Hora de finalización de la reducción automática.
© 2012 Tango/04 Computing Group Página 22
SQL Server Errors and Warnings ThinAgent
Capítulo 7 7 SQL Server Errors and Warnings ThinAgent
Con este ThinAgent puede monitorizar todos los eventos relacionados con mensajes de error y aviso
generados por el servidor. Tenga en cuenta que algunos de estos eventos indican que hay un problema
en el sistema SQL Server, mientras que otros son únicamente informativos.
7.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Evento Descripción
AttentionIndica que ha ocurrido un evento de atención, como conexio-nes de cliente interrumpidas, solicitudes de interrupción de cliente o cancelaciones.
ServiceControlSe produce cuando se modifica el estado del servicio SQL Server.
EventLogIndica que se han registrado eventos en el log de3 Aplicacio-nes de Microsoft Windows NT.
ErrorLogIndica que se han registrado eventos de error en el log de errores de SQL Server.
Exception Indica que se produjo una excepción en SQL Server.
Hash Warning
Indica que una operación de hashing (por ejemplo, hash join, hash aggregate, hash union, y hash distinct) que no se está procesando en una partición del buffer ha vuelto a un plan alternativo. Esto puede producirse por recursion depth, data skew, trace flags, o bit counting.
Auto Update StatsIndica que se ha producido una actualización automática de estadísticas de índice.
OLE DB Errors Indica que se ha producido un error OLE DB.
Execution WarningsIndica las advertencias de concesión de memoria que han tenido lugar durante la ejecución de una instrucción o proce-dimiento almacenado de SQL Server.
Sort Warnings
Indica que las operaciones de orden no caben en la memo-ria. Esto no incluye aquellas operaciones de orden que impli-can la creación de índices, sólo las operaciones de orden dentro de una consulta (como las de una cláusula ORDER BY en una instrucción SELECT).
© 2012 Tango/04 Computing Group Página 23
SQL Server Errors and Warnings ThinAgent
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
7.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 7.3 - Campos por Evento en la página 24.
• EventClass
• EventSubClass
• ClientHostName
• SQLSecurityLoginName
• TextData
• NTUserName
• NTDomainName
• StartTime
• EndTime
• ServerName
• DatabaseID
• ClientProcessID
• ApplicationName
7.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server User
Activity Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Missing Column Statistics
Indica que las estadísticas de la columna que podrían haber resultado útiles para el optimizador no están disponibles.
Missing Join Predicate
Indica que se está ejecutando una consulta que no tiene nin-gún predicado de combinación. Esto podría dar como resul-tado una consulta de ejecución prolongada.
Server Memory Change
La utilización de memoria de MicrosoftSQL Server ha aumentado o ha disminuido 1 megabyte (MB) o el 5 por ciento de la memoria máxima del servidor, el valor que sea más alto.
Evento Descripción
Evento Attention
EventClass Tipo de evento registrado = 16
© 2012 Tango/04 Computing Group Página 24
SQL Server Errors and Warnings ThinAgent
Evento Service Control
EventClass Tipo de evento registrado = 18
Evento ErrorLog
EventClass Tipo de evento registrado = 22.
Error Número de error.
Severity Severidad del error generado.
TextData Texto del mensaje de error.
Evento EventLog
EventClass Tipo de evento registrado = 21.
BinaryDataValor binario dependiente de la clase de evento capturado en la traza.
Error Número de error.
Severity Severidad del error.
TextData Texto del mensaje de error, si está disponible.
Evento Exception
EventClass Tipo de evento registrado = 33.
Error Número de error.
State Estado del servidor.
Severity Severidad del error.
Evento Hash Warning
EventClass Tipo de evento registrado = 55.
EventSubClass
Tipo de operación hash. Puede tener los siguientes valo-res:
0 = Repetición.
1 = Cese de hash.
IntegerData Nivel de recursividad (sólo recursividad hash).
ObjectIDId. del nodo de la raíz del equipo de hash implicado en la nueva creación de particiones.
Evento Auto Update Stats
EventClass Tipo de evento registrado = 58
© 2012 Tango/04 Computing Group Página 25
SQL Server Errors and Warnings ThinAgent
Evento OLE DB Errors
EventClass Tipo de evento registrado = 61.
TextData Mensaje de error de OLE DB.
Evento Execution Warnings
EventClass Tipo de evento registrado = 67.
EventSubClass
Tipo de execution warning. Puede tener los siguientes valores:
1 = Espera de consulta. La consulta debe espera por recursos (por ejemplo, memoria) antes de poder ejecu-tarse.
2 = Tiempo de espera de consulta. La consulta consumió el tiempo de espera para los recursos necesarios para eje-cutarse.
Error Número de error.
Evento Sort Warnings
EventClass Tipo de evento registrado = 69.
EventSubClass
Tipo de sort warning. Puede tener los siguientes valores:
1 = Paso único. Cuando la tabla de orden se escribió en disco, sólo fue necesario pasar una vez por los datos para obtener la salida ordenada.
2 = Varios pasos. Cuando la tabla de orden se escribió en disco, fue necesario pasar varias veces por los datos para obtener la salida ordenada.
Evento Missing Column Statistics
EventClass Tipo de evento registrado = 79.
TextData Lista de las columnas de las que faltan estadísticas.
Evento Missing Join Predicate
EventClass Tipo de evento registrado = 80.
Evento Server Memory Change
EventClass Tipo de evento registrado = 81
© 2012 Tango/04 Computing Group Página 26
SQL Server Locks Auditing ThinAgent
Capítulo 8 8 SQL Server Locks Auditing ThinAgent
Use este ThinAgent para monitorizar bloqueos causados por usuarios y aplicaciones que utilizan la
misma base de datos. Para mejores resultados, personalice este ThinAgent para auditar una base de
datos específica.
8.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Es posible suscribir los siguientes eventos, aunque no recomendamos hacerlo debido a la gran
cantidad de flujo de datos generada. Tenga también en cuenta que es normal que estos eventos se
produzcan para casi todas las consultas ejecutadas en el sistema.
Evento Descripción
Lock:DeadlockDos transacciones concurrentes se han bloqueado la una a la otra al intentar obtener bloqueos no compatibles en recursos que posee la otra transacción.
Lock:CancelIndica que se ha cancelado la adquisición de un bloqueo de un recurso (por ejemplo, debido a la cancelación de una consulta).
Lock:Timeout
Indica que una solicitud de bloqueo de un recurso, como una página, ha agotado el tiempo de espera debido a que existía otra transacción que mantenía un bloqueo de cierre en el recurso necesario. El tiempo de espera está determinado por la función del sistema @@LOCK_TIMEOUT y se puede establecer con la ins-trucción SET LOCK_TIMEOUT.
Lock:Deadlock Chain
Este evento se produce para cada participante en un interblo-queo.
Lock:EscalationIndica que un bloqueo específico se ha convertido en un bloqueo general (por ejemplo, un bloqueo de fila se ha convertido en un bloqueo de página).
Evento Descripción
Lock:ReleasedIndica que se ha liberado un bloqueo en un recurso, por ejemplo una página.
Lock:AcquiredIndica que se ha logrado la adquisición de un bloqueo en un recurso, por ejemplo una página de datos.
© 2012 Tango/04 Computing Group Página 27
SQL Server Locks Auditing ThinAgent
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
8.2 Campos En la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 8.3 - Campos por Evento en la página 28 para más detalles.
• EventClass
• ObjectID
• Mode
• Duration
• StartTime
• EndTime
• IntegerData
• BinaryData
8.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Locks
Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Evento Lock:Released
EventClass Tipo de evento registrado = 23.
BinaryData Tipo de recurso.
EndTime Hora de finalización del evento.
DurationTiempo de espera entre que se produjo la petición de bloqueo y se liberó el bloqueo
ObjectID Id. asignado por el sistema del objeto que se ha liberado.
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Evento Lock:Acquired
EventClass Tipo de evento registrado = 24.
ModeModo resultante, como intención exclusiva, tras adquirir el blo-queo.
BinaryData Tipo de recurso.
EndTime Hora de finalización del evento.
DurationTiempo (en microsegundos) entre el envío de la solicitud de blo-queo y la adquisición del mismo.
© 2012 Tango/04 Computing Group Página 28
SQL Server Locks Auditing ThinAgent
ObjectID Id. del objeto en el que se ha adquirido el bloqueo.
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Evento Lock:Deadlock
EventClass Tipo de evento registrado = 25.
Mode Modo de bloqueo del bloqueo que disparó el deadlock.
BinaryData Tipo de recurso.
EndTime Hora a la que finalizó el interbloqueo.
IntegerDataNúmero de interbloqueo. Los números se asignan empezando desde 0 cuando se inicia el servidor y se incrementan para cada interbloqueo.
DurationTiempo (en microsegundos) transcurrido entre la hora de emisión de la solicitud de bloqueo y la hora en la que se ha producido el interbloqueo.
ObjectID Id. del objeto en conflicto.
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Evento Lock:Cancel
EventClass Tipo de evento registrado = 26.
Mode Modo de bloqueo del bloqueo cancelado.
BinaryData Tipo de recurso.
EndTime Hora de finalización del evento.
DurationTiempo (en microsegundos) entre el envío de la solicitud de blo-queo y la cancelación del mismo.
ObjectID Id. del objeto en el que se ha cancelado el bloqueo.
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Evento Lock:Timeout
EventClass Tipo de evento registrado = 27.
ModeModo de bloqueo del bloqueo solicitado que consumió el tiempo de espera.
BinaryData Tipo de recurso.
EndTime Hora de finalización del evento.
DurationTiempo (en microsegundos) entre el envío de la solicitud de blo-queo y la superación del tiempo de espera del mismo.
ObjectID Id. del objeto que ha superado el tiempo de espera.
Evento Lock:Acquired
© 2012 Tango/04 Computing Group Página 29
SQL Server Locks Auditing ThinAgent
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Evento Lock: Deadlock Chain
EventClass Tipo de evento registrado = 59.
Mode Modo de bloqueo de cada bloqueo en la deadlock chain.
BinaryData Tipo de recurso.
IntegerDataNúmero de interbloqueo. Los números se asignan a partir de 0 cuando se inicia el servidor y se incrementan para cada interblo-queo.
ObjectID Id. del objeto bloqueado.
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Evento Lock: Escalation
EventClass Tipo de evento registrado = 60.
ObjectID Id. Del objeto para el que se inició la ampliación del bloqueo.
IndexID ID del índice, si el objeto bloqueado estaba en un índice.
Mode Modo de bloqueo del bloqueo después del escalamiento.
Evento Lock:Timeout
© 2012 Tango/04 Computing Group Página 30
SQL Server Object Changes ThinAgent
Capítulo 9 9 SQL Server Object Changes ThinAgent
Con este ThinAgent puede monitorizar todos los cambios en objetos de base de datos, por ejemplo:
• Monitorizar la creación o destrucción de objetos de base de datos, como índices, tablas o
bases de datos
• Monitorizar la ejecución de transacciones SELECT, INSERT, y UPDATE, entre otras.
9.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
Evento Descripción
DOP EventSe produce antes de que se ejecute una sentencia SELECT, INSERT, o UPDATE.
Object:CreatedIndica que se ha creado un objeto; por ejemplo, por parte de la instrucción CREATE INDEX, la instrucción CREATE TABLE o la instrucción CREATE DATABASE.
Object:DeletedIndica que se ha eliminado un objeto; por ejemplo, mediante instrucciones DROP INDEX y DROP TABLE.
Audit Statement Permission
Se produce cuando se utiliza un permiso de instrucción (como CREATE TABLE).
Audit Object PermissionSe produce cuando se utiliza un permiso de objeto (como SELECT), ya sea satisfactoriamente o no.
Audit Backup/ RestoreSe produce cuando se emite un comando BACKUP o RESTORE.
Audit DBCC se produce cuando se emite un comando DBCC
Audit Object Derived Permission
Registra cuándo se envía un comando CREATE, ALTER o DROP para un objeto.
© 2012 Tango/04 Computing Group Página 31
SQL Server Object Changes ThinAgent
9.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 9.3 - Campos por Evento en la página 32para más detalles.
• EventClass
• EventSubClass
• ClientHostName
• SQLSecurityLoginName
• TextData
• NTUserName
• NTDomainName
• StartTime
• EndTime
• ServerName
• DatabaseID
• ClientProcessID
• ApplicationName
9.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server User
Activity Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se
presentan en la configuración de ThinkServer.
Evento DOP
EventClass Tipo de evento registrado = 28
EventSubClass
Si está trazando un servidor Microsoft® SQL Server™ 2000, Event Sub Class puede tener los siguientes valores, que reflejan el tipo de sentencia:
1 = Select
2 = Insert
3 = Update
4 = Delete
BinaryDataDato binario proporcionado, que es el número de CPU utilizadas para completar el proceso.
IntegerData Páginas utilizadas en memoria para el plan de consulta
Evento Object:Created
EventClass Tipo de evento registrado = 46
© 2012 Tango/04 Computing Group Página 32
SQL Server Object Changes ThinAgent
ObjectType Tipo del objeto creado.
ObjectName Nombre del objeto creado
ObjectID ID del objeto creado.
IndexID ID del índice, si se creó un índice.
Evento Object:Deleted
EventClass Tipo de evento registrado = 47.
ObjectType Tipo del objeto borrado
ObjectName Nombre del objeto borrado.
ObjectID ID del objeto borrado
IndexID ID del índice, si se borró un índice.
Evento Audit Statement Permission
EventClass Tipo de evento registrado = 113.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = CREATE DATABASE (sólo base de datos maestra)
2 = CREATE TABLE
4 = CREATE PROCEDURE
8 = CREATE VIEW
16 = CREATE RULE
32 = CREATE DEFAULT
64 = BACKUP DATABASE
128 = BACKUP LOG
512 = CREATE FUNCTION
TextData Valor de texto dependiente de la clase de evento capturado.
Evento Audit Object Permission
EventClass Tipo de evento registrado = 114.
Evento Object:Created
© 2012 Tango/04 Computing Group Página 33
SQL Server Object Changes ThinAgent
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
OwnerNameNombre de usuario de la base de datos del propietario del objeto que se va a crear, modificar o quitar.
Evento Audit Backup/Restore
EventClass Tipo de evento registrado = 115.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Backup
2 = Restore
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
TextDataTexto SQL de la instrucción para realizar una copia de seguridad o una restauración.
Evento Audit DBCC
EventClass Tipo de evento registrado = 116.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
TextData Texto SQL del mandato DBCC.
Evento Audit Object Derived Permission
Event Class Tipo de evento registrado = 118.
Evento Audit Object Permission
© 2012 Tango/04 Computing Group Página 34
SQL Server Object Changes ThinAgent
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = crear objeto
2 = modificar objeto
3 = quitar objeto
DatabaseNameNombre de la base de datos en que se ejecuta la instrucción del usuario.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
ObjectType
Tipo de objeto creado, modificado o quitado. Los valores son:
1 = Índice
2 = Base de datos
3 = Objeto de usuario
4 = Restricción CHECK
5 = Restricción DEFAULT o valor predeterminado
6 = Restricción FOREIGN KEY
7 = Restricción PRIMARY KEY
8 = Procedimiento almacenado
9 = Función definida por el usuario (UDF)
10 = Regla
11 = Procedimiento de filtro de replicación
12 = Tabla de sistema
13 = Desencadenador
14 = Función inline
15 = Tabla definida por el usuario
16 = Restricción UNIQUE
17 = Tabla de usuario
18 = View
19 = Procedimiento almacenado extendido
20 = Consultas ad hoc
21 = Consultas preparadas
22 = Estadísticas
ObjectName Nombre del objeto que se va a crear, modificar o quitar.
OwnerNameNombre de usuario de la base de datos del propietario del objeto que se va a crear, modificar o quitar.
TextData El texto SQL de la sentencia.
Evento Audit Object Derived Permission
© 2012 Tango/04 Computing Group Página 35
SQL Server Scans Auditing ThinAgent
Capítulo 10 10 SQL Server Scans Auditing ThinAgent
El SQL Server Scans Auditing Monitor le permite auditor todos los recorridos de índice (scans)
producidos en una tabla o índice particular. Puede personalizar este ThinAgent para una tabla
específica, o una consulta específica.
Tenga en cuenta que los scans son operaciones comunes realizadas en la base de datos por la
mayoría de consultas. Una sentencia count, una sentencia select *, o un select condicionado por un
campo no indexado producen que se inicie un scan.
Debería intentar reducir el número de scans tanto como sea posible, pero en muchas consultas son
inevitables.
10.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
10.2 Campos En la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 10.3 - Campos por Evento en la página 37 para más detalles.
• EventClass
• StartTime
• Duration
• Mode
• EndTime
Evento Descripción
Scan:Started Tiene lugar cuando se inicia un recorrido de índice o de tabla.
Scan:Stopped Tiene lugar cuando se detiene el recorrido de una tabla o índice.
© 2012 Tango/04 Computing Group Página 36
SQL Server Scans Auditing ThinAgent
• Reads
• TransactionID
• Success
• ObjectID
• IndexID
10.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Scans
Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Evento Scan:Started
EventClass Tipo de evento registrado = 51.
Mode
Modo de scan. Son posibles los siguientes valores:
1 = Normal
2 = First
4 = Back
8 = Unordered
16 = No data
32 = Reserved
64 = Exlatch
128 = Index supplied
256 = Marker
ObjectID Id. del objeto que se está recorriendo.
IndexID Índice que se está recorriendo (si es un índice).
TransactionID Id. de la transacción asignado por el sistema.
Evento Scan:Stopped
EventClass Tipo de evento registrado = 52.
Mode
Modo que se utilizó para realizar el scan. Son posibles los siguientes valores:
1 = Normal
2 = First
4 = Back
8 = Unordered
16 = No data
32 = Reserved
64 = Exlatch
128 = Index supplied
256 = Marker
EndTime Hora de finalización del evento.
Duration Duración del scan.
© 2012 Tango/04 Computing Group Página 37
SQL Server Scans Auditing ThinAgent
Reads Número de páginas leídas (lógicamente).
IndexID Índice que se está recorriendo, si se está escaneando un índice.
ObjectID Identificador del objeto que se está recorriendo.
Evento Scan:Stopped
© 2012 Tango/04 Computing Group Página 38
SQL Server Security Auditing ThinAgent (v7)
Capítulo 1111 SQL Server Security Auditing ThinAgent (v7)
Con este ThinAgent puede monitorizar todos los eventos de auditoría de seguridad relacionados con la
administración de inicios de sesión, contraseñas, roles, permisos, y permisos de uso de objetos.
11.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Es posible suscribir también los siguientes eventos, pero añaden muy poca información y en un
servidor con una carga de trabajo media pueden afectar negativamente al rendimiento de la base de
datos, así como su capacidad de almacenamiento. Le recomendamos que no los utilice si no son
necesarios.
Evento Descripción
SQL:StmtCompleted
Se ha completado una instrucción Transact-SQL.
SQL:StmtStarting
Se ha iniciado una instrucción Transact-SQL.
SQL:BatchStarting
Se está iniciando un lote Transact-SQL.
SQL:BatchCompleted
Se ha completado el lote Transact-SQL.
SP:StmtCompleted
Se ha completado una instrucción Transact-SQL en un procedi-miento almacenado.
SP:StmtStartingSe ha iniciado una instrucción Transact-SQL dentro de un proce-dimiento almacenado.
SP:Starting Un procedimiento almacenado va a comenzar a ejecutarse
SP:Completed El procedimiento almacenado ha terminado de ejecutarse
Evento Descripción
RPC:Starting Se ha iniciado una llamada a procedimiento remoto.
© 2012 Tango/04 Computing Group Página 39
SQL Server Security Auditing ThinAgent (v7)
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
11.2 Campos En la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 11.3 - Campos por Evento en la página 40 para más detalles.
• EventClass
• ObjectID
• HostName
• EventSubClass
• TextData
• Duration
• StartTime
• EndTime
11.3 Campos por EventoEsta sección detalla los campos recuperados para cada evento del monitor SQL Server Security
Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
RPC:Completed Se ha completado una llamada a procedimiento remoto.
Evento Descripción
Evento RPC:Starting
EventClass Tipo de evento registrado = 11.
TextData Texto del RPC.
Evento RPC:Completed
EventClass Tipo de evento registrado = 10.
EndTime Hora a la que finalizó la llamada a procedimiento remoto.
Duration Tiempo (en microsegundos) que tardó el RPC.
CPUCantidad de tiempo de CPU (en milisegundos) que utilizó el RPC
ReadsNúmero de lecturas de páginas emitidas por la llamada a procedimiento remoto.
WritesNúmero de escrituras de páginas emitidas por la llamada a procedimiento remoto.
© 2012 Tango/04 Computing Group Página 40
SQL Server Security Auditing ThinAgent (v7)
TextData Texto de la llamada a procedimiento remoto.
Evento SQL:StmtCompleted
EventClass Tipo de evento registrado = 41.
Duration Duración del evento.
EndTime Hora de finalización del evento.
ReadsNúmero de lecturas de páginas emitidas por la instrucción SQL.
WritesNúmero de escrituras en páginas emitidas por la instruc-ción SQL.
CPU La CPU utilizada por la instrucción SQL.
IntegerData Número de filas devueltas por la instrucción SQL.
ObjectIDID de objeto del procedimiento almacenado paterno, si la instrucción se ha ejecutado en un procedimiento almace-nado.
NestLevelNivel de anidamiento del procedimiento almacenado si la instrucción se ha ejecutado en un procedimiento almace-nado.
TextData Texto de la instrucción que se ha ejecutado.
Evento SQL:StmtStarting
EventClass Tipo de evento registrado = 40.
ObjectIDID de objeto del procedimiento almacenado paterno, si la instrucción se ha ejecutado en un procedimiento almace-nado.
NestLevelNivel de anidamiento del procedimiento almacenado si la instrucción se ha ejecutado en un procedimiento almace-nado.
TextData Texto de la instrucción que se ha ejecutado.
Evento SQL:BatchStarting
EventClass Tipo de evento registrado = 13.
TextData Texto del proceso por lotes.
Evento SQL:BatchCompleted
EventClass Tipo de evento registrado = 12.
Duration Duración del evento.
EndTime Hora de finalización del evento.
Evento RPC:Completed
© 2012 Tango/04 Computing Group Página 41
SQL Server Security Auditing ThinAgent (v7)
11.4 Filtros Útiles
ReadsNúmero de operaciones de E/S de lectura de páginas cau-sadas por el proceso por lotes.
WritesNúmero de operaciones de E/S de escritura de páginas causadas por el proceso por lotes.
CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el proceso por lotes.
TextData Texto del proceso por lotes.
Evento SP:StmtCompleted
EventClass Tipo de evento registrado = 45.
NestLevel Nivel de anidamiento del procedimiento almacenado.
IntegerData Líneas devueltas por la instrucción.
ObjectID Id. del objeto asignado por el sistema.
TextData Texto de la sentencia en el procedimiento almacenado.
Evento SP:StmtStarting
EventClass Tipo de evento registrado = 44.
NestLevel Nivel de anidamiento del procedimiento almacenado.
ObjectID Id. del objeto asignado por el sistema.
TextData Texto de la sentencia en el procedimiento almacenado.
Evento SP:Starting
EventClass Tipo de evento registrado = 42.
NestLevel Nivel de anidamiento del procedimiento almacenado.
ObjectID Id. asignado por el sistema al procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado que se inicia.
ObjectType Tipo de procedimiento almacenado que se inicia.
TextData Texto de la llamada del procedimiento almacenado.
Evento SP:Completed
EventClass Tipo de evento registrado = 43.
NestLevel Nivel de anidamiento del procedimiento almacenado.
Evento SQL:BatchCompleted
© 2012 Tango/04 Computing Group Página 42
SQL Server Security Auditing ThinAgent (v7)
EndTime Hora de finalización del evento.
DurationCantidad de tiempo que se ejecutó el procedimiento alma-cenado .
ObjectID ID de objeto del procedimiento almacenado.
ObjectName El nombre del procedimiento almacenado.
ObjectType Tipo de procedimiento almacenado al que se ha llamado.
TextData Texto de la llamada del procedimiento almacenado.
Logical And
Field TextData
Operator Not like (excluir)
Value
'"-- network protocol: TCP/IP%";
"exec sp_MSadd_logreader%";
"exec sp_MSget_last_transaction%";
"exec sp_MSupdate_%";
"exec sp_replcmds %";
"exec sp_sproc_columns%";
"exec Iss_%"'
Evento SP:Completed
© 2012 Tango/04 Computing Group Página 43
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
Capítulo 1212 SQL Server Security Auditing ThinAgent
(v2000 y posteriores)
El SQL Server Security Auditing ThinAgent le permite monitorizar todos los eventos de auditoría de
seguridad relacionados con la gestión de inicios de sesión, contraseñas, roles, permisos, permisos de
uso de objetos, y más.
12.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Evento Descripción
SP:StartingIndica que un procedimiento almacenado va a comenzar a ejecutarse
SP:CompletedIndica que el procedimiento almacenado ha ter-minado de ejecutarse
Audit Statement GDRRegistra eventos de permisos de sentencias GRANT, DENY, REVOKE.
Audit Object GDRRegistra eventos de permisos de objetos GRANT, DENY, REVOKE.
Audit Add/Drop LoginRegistra acciones ADD y DROP en inicios de sesión de SQL Server para sp_addlogin y sp_droplogin.
Audit Login GDR
Registra acciones GRANT, DENY, REVOKE en dere-chos de inicio de sesión para sp_grantlogin, sp_revokelogin, y sp_denylogin en Windows NT 4.0 o Windows 2000
Audit Login Change PropertyRegistra modificaciones en propiedades de inicio de sesión, excepto contraseñas para sp_defaultdb y sp_defaultlanguage.
© 2012 Tango/04 Computing Group Página 44
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
Si estos ajustes generan demasiados eventos, puede reducirlos rápidamente aplicando un nuevo que
recupere sólo aquellos eventos con el valor de la variable Succes igual a Falso (0).
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
12.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 12.3 - Campos por Evento en la página 46 para más detalles.
• EventClass
Audit Login Change Password
Registra cambios en cambios de contraseñas de SQL Server. Las contraseñas no se guardan. Si es miembro de los roles fijos de servidor sysad-min o securityadmin y resetea su contraseña uti-lizando sp_password con los tres argumentos especificados ('old_password', 'new_password', 'login'), el registro de auditoría reflejará que está cambiando la contraseña de otra persona.
Audit Add Login to Server RoleRegistra la adición o eliminación de inicios de sesión para o de un rol fijo del servidor para sp_addsrvrolemember y sp_dropsrvrolemember.
Audit Add DB User
Registra la adición o eliminación de usuarios de base de datos (Microsoft Windows NT® 4.0, Microsoft Windows® 2000, o Microsoft SQL Ser-ver™).
Audit Add Member to DB Role
Registra la adición o eliminación de miembros para o de un rol de base de datos (fijo o definido por el usuario) para sp_addrolemember, sp_droprolemember, and sp_changegroup.
Audit Add/Drop RoleRegistra acciones de añadido o eliminación en roles de base de datos para sp_addrole y sp_droprole.
App Role Pass Change (Audit App Role Change Password)
Registra cambios en la contraseña de una apli-cación.
Audit Statement PermissionRegistra cuando se utiliza un permiso de instruc-ción.
Audit Object PermissionRegistra el uso con éxito o no de permisos de objetos.
Audit Backup/Restore Registra eventos de BACKUP y RESTORE.
Audit DBCC Registra mandatos DBCC que se han producido.
Audit Change AuditRegistra modificación de un seguimiento de auditoría.
Audit Object Derived PermissionRegistra cuándo se envía un comando CREATE, ALTER o DROP para un objeto especificado.
Evento Descripción
© 2012 Tango/04 Computing Group Página 45
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
• Permissions
• Target
• RoleName CPU
• Database Username
• Duration
• EventSubClass
• ColumnPermissionsSet
• TargetUserName
• ObjectName
• TargetLoginName
• StartTime
• Success
• TextData
• Reads
• ObjectType
• TargetLoginSID
• EndTime
• Database name
• HostName
• Writes
12.3 Campos por EventoEsta sección detalla los campos recuperados para cada evento del monitor SQL Server Security
Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Evento SP:Starting
EventClass Tipo de evento registrado = 42.
NestLevel Nivel de anidamiento del procedimiento almacenado.
ObjectID Id. asignado por el sistema al procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado que se inicia.
ObjectType Tipo de procedimiento almacenado que se inicia.
TextData Texto de la llamada del procedimiento almacenado.
© 2012 Tango/04 Computing Group Página 46
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
Evento SP:Completed
EventClass Tipo de evento registrado = 43.
NestLevel Nivel de anidamiento del procedimiento almacenado.
EndTime Hora de finalización del evento.
Duration Cantidad de tiempo que se ejecutó el procedimiento almacenado.
ObjectID Id. del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
ObjectType Tipo de procedimiento almacenado al que se ha llamado.
TextData Texto de la llamada del procedimiento almacenado.
Evento Audit Statement GDR
EventClass Tipo de evento registrado = 102.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error,
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = GRANT,
2 = REVOKE,
3 = DENY
DatabaseName
Nombre de la base de datos a la que se aplica la sentencia de per-miso GRANT/DENY/REVOKE.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = CREATE DATABASE (sólo base de datos master),
2 = CREATE TABLE,
4 = CREATE PROCEDURE,
8 = CREATE VIEW,
16 = CREATE RULE,
32 = CREATE DEFAULT,
64 = BACKUP DATABASE,
128 = BACKUP LOG,
512 = CREATE FUNCTION
TextData Texto SQL de la sentencia GRANT/DENY/REVOKE.
Evento Audit Object GDR
EventClass Tipo de evento registrado = 103.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
© 2012 Tango/04 Computing Group Página 47
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Grant,
2 = Revoke,
3 = Deny
DatabaseName Nombre de la base de datos a la que se ejecuta la sentencia de permiso GRANT/DENY/REVOKE.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
OwnerNameNombre de usuario de la base de datos del propietario del objeto que es el destino de los permisos conceder, revocar o denegar.
ObjectName Nombre del objeto que es el destino de los permisos conceder, revocar o denegar.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = SELECT ALL,
2 = UPDATE ALL,
4 = REFERENCES ALL,
8 = INSERT,
16 = DELETE,
32 = EXECUTE (sólo procedimientos)
ColumnPermissions
Indicador de configuración de un permiso de columna. Los valo-res son:
0 = No,
1 = Si
TextData Texto SQL de la sentencia GRANT/REVOKE/DENY.
Evento Audit Add/Drop Login
EventClass Tipo de evento registrado = 104.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
TargetLoginSID
Número de identificación de seguridad (SID) asignado al inicio de sesión añadido.
TargetLoginName
Nombre del inicio de sesión añadido.
Evento Audit Login GDR
EventClass Tipo de evento registrado = 105.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
Evento Audit Object GDR
© 2012 Tango/04 Computing Group Página 48
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Grant
2 = Revoke
3 = Deny
TargetLoginSID
Número de identificación de seguridad (SID) del inicio de sesión Windows objetivo.
TargetLoginName
Nombre del inicio de sesión Windows de destino.
Evento Audit Login Change Property
EventClass Tipo de evento registrado = 106.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Base de datos predeterminada
2 = Idioma predeterminado
TargetLoginSIDNúmero de identificación de seguridad (SID) del inicio de sesión de destino.
TargetLoginName
Nombre del inicio de sesión de destino.
Evento Audit Login Change Password
EventClass Tipo de evento registrado = 107.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = El usuario cambió su propia contraseña
2 = El usuario cambió la contraseña de otro usuario
TargetLoginSID Número de identificación de seguridad (SID) del inicio de sesión de destino.
TargetLoginName
Nombre del inicio de sesión de destino.
Evento Audit Add Login to Server Role
EventClass Tipo de evento registrado = 108.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
Evento Audit Login GDR
© 2012 Tango/04 Computing Group Página 49
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
TargetLoginSID Número de identificación de seguridad (SID) del inicio de sesión de destino.
TargetLoginName
Nombre del inicio de sesión de destino.
RoleName Nombre del rol al cual se ha añadido el inicio de sesión.
Evento Audit Add DB User
EventClass Tipo de evento registrado = 109.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = sp_adduser
2 = sp_dropuser
3 = grantdbaccess
4 = revokedbaccess
DatabaseNameNombre de la base de datos en la que se va a agregar o quitar el nombre de usuario.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
TargetLoginSID
SID del inicio de sesión Microsoft® Windows® objetivo.
TargetLoginName
Nombre del inicio de sesión Windows objetivo.
TargetUserName
Nombre del usuario de la base de datos que se va a agregar a la base de datos.
RoleNameNombre de un rol al cual se va añadir el Nuevo usuario de base de datos.
Evento Audit Add Member to DB
EventClass Tipo de evento registrado = 110.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
Evento Audit Add Login to Server Role
© 2012 Tango/04 Computing Group Página 50
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
TargetLoginSID
SID del inicio de sesión objetivo.
TargetLoginName
Nombre del inicio de sesión al que se le está modificando la mem-bresía de rol.
TargetUserName
Nombre del usuario al que se le está modificando la membresía de rol.
Evento Audit Add/Drop Role
EventClass Tipo de evento registrado = 111.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
DatabaseName
Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
RoleName Nombre del rol que se está creando en la base de datos.
Evento App Role Pass Change – Audit App Role Change Password
EventClass Tipo de evento registrado = 112.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
RoleNameNombre de rol de la aplicación de base de datos cuyo contraseña se está cambiando.
Evento Audit Statement Permission
EventClass Tipo de evento registrado = 113.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. El valor es:
Siempre = 1
Evento Audit Add Member to DB
© 2012 Tango/04 Computing Group Página 51
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
DatabaseName
Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = CREATE DATABASE (sólo base de datos master)
2 = CREATE TABLE
4 = CREATE PROCEDURE
8 = CREATE VIEW
16 = CREATE RULE
32 = CREATE DEFAULT
64 = BACKUP DATABASE
128 = BACKUP LOG
512 = CREATE FUNCTION
TextData Valor de texto dependiente de la clase de evento capturado.
Evento Audit Object Permission
EventClass Tipo de evento registrado = 114.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
OwnerNameNombre de propietario del objeto cuyos permisos se están compro-bando.
ObjectName Nombre del objeto cuyos permisos están siendo comprobados.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = SELECT ALL
2 = UPDATE ALL
4 = REFERENCES ALL
8 = INSERT
16 = DELETE
32 = EXECUTE (sólo procedimientos)
ColumnPermissions
Indica si se han utilizado permisos de una columna. Parsee el texto de la sentencia para determinar qué permisos se aplicaron a cada columna
TextData Valor de texto dependiente de la clase de evento capturado.
Evento Audit Backup/Restore
EventClass Tipo de evento registrado = 115.
Evento Audit Statement Permission
© 2012 Tango/04 Computing Group Página 52
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Backup
2 = Restore
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
TextDataTexto SQL de la instrucción para realizar una copia de seguridad o una restauración.
Evento Audit DBCC
EventClass Tipo de evento registrado = 116.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseNameNombre de la base de datos en la cual se ha ejecutado el man-dato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
TextData Texto SQL del comando DBCC.
Evento Audit Change Audit
EventClass Tipo de evento registrado = 117.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = auditoría iniciada
2 = auditoría detenida
Evento Audit Object Derived Permission
EventClass Tipo de evento registrado = 118.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
Evento Audit Backup/Restore
© 2012 Tango/04 Computing Group Página 53
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
EventSubClass
Clase de evento dentro del evento. Los valores son:
1=Crear
2=Modificar
3=Quitar
DatabaseNameNombre de la base de datos en que se ejecuta la instrucción del usuario.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
ObjectType
Tipo de objeto creado, modificado o quitado. Los valores son:
1 = Índice
2 = Base de datos
3 = Objeto de usuario
4 = Restricción CHECK
5 = Restricción DEFAULT o valor predeterminado
6 = Restricción FOREIGN KEY
7 = Restricción PRIMARY KEY
8 = Procedimiento almacenado
9 = Función definida por el usuario (UDF)
10 = Regla
11 = Procedimiento de filtro de replicación
12 = Tabla de sistema
13 = Desencadenador
14 = Función inline
15 = Tabla definida por el usuario
16 = Restricción UNIQUE
17 = Tabla de usuario
18 = Vista
19 = Procedimiento almacenado extendido
20 = Consultas ad hoc
21 = Consultas preparadas
22 = Estadísticas
ObjectName Nombre del objeto que se va a crear, modificar o quitar.
OwnerNameNombre de usuario de la base de datos del propietario del objeto que se va a crear, modificar o quitar.
TextData El texto SQL de la sentencia.
Evento Audit Object Derived Permission
© 2012 Tango/04 Computing Group Página 54
SQL Server Security Auditing ThinAgent (v2000 y posteriores)
12.4 Filtros Útiles
Logical And
Field TextData
Operator Not like (excluir)
Value
'"-- network protocol: TCP/IP%";
"exec sp_MSadd_logreader%";
"exec sp_MSget_last_transaction%";
"exec sp_MSupdate_%";
"exec sp_replcmds %";
"exec sp_sproc_columns%";
"exec Iss_%"'
© 2012 Tango/04 Computing Group Página 55
SQL Server Audit (Generic) ThinAgent
Capítulo 13 13 SQL Server Audit (Generic) ThinAgent
VISUAL Message Center ThinkServer incorpora cierto número de SQL Server ThinAgents
preconfigurados, los cuales se basan en el Generic SQL Server Audit ThinAgent.
El Generic SQL Server ThinAgent es capaz de monitorizar todas las variables mencionadas en el resto
de ThinAgents y más. Puede utilizar este Generic ThinAgent para crear monitores para cualquier
necesidad especial de monitorización de SQL que pueda tener y que no esté cubierta por los SQL
ThinAgents preconfigurados.
13.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos en SQL Server 2000:
En SQL Server 7 recupera por defecto los siguientes eventos
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
13.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 13.3 - Campos por Evento en la página 57 para más detalles
• EventClass
• Permissions
• Target
Evento Descripción
Audit Change Audit Registra modificaciones de AUDITORIA.
Evento Descripción
TraceStart Registra un arranque de AUDITORIA
TraceStop Registra una parada de AUDITORIA
© 2012 Tango/04 Computing Group Página 56
SQL Server Audit (Generic) ThinAgent
• RoleName CPU
• Database Username
• Duration
• EventSubClass
• ColumnPermissionsSet
• TargetUserName
• ObjectName
• TargetLoginName
• StartTime
• Success
• TextData
• Reads
• ObjectType
• TargetLoginSID
• EndTime
• Database name
• HostName
• Writes
13.3 Campos por EventoEsta sección detalla los campos recuperados para cada evento del monitor SQL Server Security
Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Evento Audit Change Audit
EventClass Tipo de evento registrado = 117.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = correcto
1 = error
Event Sub Class
Clase de evento dentro del evento. Los valores son:
1=auditoría iniciada
2=auditoría detenida
© 2012 Tango/04 Computing Group Página 57
SQL Server Statements Auditing ThinAgent
Capítulo 14 14 SQL Server Statements Auditing ThinAgent
Use este ThinAgent para monitorizar la ejecución y finalización de consultas, además de las consultas
Transact-SQL sometidas en modo por lotes (batch) o en una sentencia individual.
14.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
14.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 14.3 - Campos por Evento en la página 59 para más detalles
Evento Descripción
Exec Prepared SQL
Indica que SqlClient, ODBC, OLE DB o DB-Library ha ejecutado una o varias instrucciones Transact-SQL preparadas.
Prepare SQLIndica que SqlClient, ODBC, OLE DB o DB-Library tienen una instrucción o instrucciones Transact-SQL listas para ser utiliza-das.
SQL:BatchStarting
Indica que se está iniciando un lote Transact-SQL.
SQL:BatchCompleted
Indica que se ha completado el lote Transact-SQL.
SQL:StmtStarting Indica que se ha iniciado una instrucción Transact-SQL.
SQL:StmtCompleted
Indica que se ha completado una instrucción Transact-SQL.
Unprepare SQLIndica que SqlClient, ODBC, OLE DB o DB-Library ha cancelado (eliminado) la preparación de una o varias instrucciones Tran-sact-SQL preparadas.
© 2012 Tango/04 Computing Group Página 58
SQL Server Statements Auditing ThinAgent
• EventClass
• TextData
• Duration
• EndTime
• StartTime
• Reads
• Writes
• CPU
• Handle
• ObjectID
• NestLevel
14.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server TSQL
Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
Evento Exec Prepared SQL
EventClass Tipo de evento registrado = 72.
Handle Identificador de la instrucción SQL preparada.
Evento Prepare SQL
EventClass Tipo de evento registrado = 71.
Handle Identificador de la instrucción SQL preparada.
Evento SQL:BatchStarting
EventClass Tipo de evento registrado = 13.
TextData Texto del proceso por lotes.
Evento SQL:BatchCompleted
EventClass Tipo de evento registrado = 12.
Duration Duración del evento.
EndTime Hora de finalización del evento.
ReadsNúmero de operaciones de E/S de lectura de páginas causadas por el proceso por lotes.
WritesNúmero de operaciones de E/S de escritura de páginas causadas por el proceso por lotes.
© 2012 Tango/04 Computing Group Página 59
SQL Server Statements Auditing ThinAgent
CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el pro-ceso por lotes.
TextData Texto del proceso por lotes.
Evento SQL:StmtStarting
EventClass Tipo de evento registrado = 40.
ObjectIDID de objeto del procedimiento almacenado paterno, si la sentencia SQL se ejecutó en un procedimiento almacenado.
NestLevelNivel de anidamiento del procedimiento almacenado si la instruc-ción SQL se ha ejecutado en un procedimiento almacenado.
TextData Texto de la instrucción que se va a ejecutar.
Evento SQL:StmtCompleted
EventClass Tipo de evento registrado = 41.
Duration Duración del evento.
EndTime Hora de finalización del evento.
Reads Número de lecturas de páginas emitidas por la instrucción SQL.
Writes Número de escrituras en páginas emitidas por la instrucción SQL.
CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el evento.
IntegerData Número de filas devueltas por la instrucción.
ObjectIDID de objeto del procedimiento almacenado paterno, si la senten-cia SQL se ejecutó en un procedimiento almacenado.
NestLevelNivel de anidamiento del procedimiento almacenado si la instruc-ción SQL se ha ejecutado en un procedimiento almacenado.
TextData Texto de la instrucción ejecutada.
Evento Unprepare SQL
EventClass Tipo de evento registrado = 73.
Handle Identificador de la instrucción Transact-SQL preparada.
Evento SQL:BatchCompleted
© 2012 Tango/04 Computing Group Página 60
SQL Server Stored Procedures Auditing ThinAgent
Capítulo 15 15 SQL Server Stored Procedures Auditing ThinAgent
El monitor SQL Server Stored Procedures Auditing le permite registrar todos los procedimientos
almacenados ejecutados en un SQL Server.
15.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Es posible suscribir también los siguientes eventos, pero añaden muy poca información y en un
servidor con una carga de trabajo media pueden afectar negativamente al rendimiento de la base de
datos, así como su capacidad de almacenamiento. Le recomendamos que no los utilice si no son
necesarios.
Evento Descripción
SP:Starting Inicio de procedimiento almacenado.
SP:Completed Finalización de procedimiento almacenado.
SP:StmtStarting
Inicio de sentencia en un procedimiento almacenado.
SP:StmtCompleted
Finalización de sentencia en un procedimiento almacenado..
SP:CacheMiss Indica que el procedimiento no se encuentra en la caché.
SP:CacheInsertIndica que el procedimiento almacenado se ha insertado en la caché del procedimiento.
SP:CacheRemove
Indica que el procedimiento almacenado se ha quitado de la caché del plan.
SP:Recompile El procedimiento almacenado se ha vuelto a compilar.
SP:CacheHit El procedimiento almacenado se encuentra en la caché del plan.
SP:ExecContextHit
Una versión de ejecución de un procedimiento almacenado se ha encontrado en el caché.
© 2012 Tango/04 Computing Group Página 61
SQL Server Stored Procedures Auditing ThinAgent
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
15.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 15.3 - Campos por Evento en la página 62 para más detalles.
• EventClass
• EventSubClass
• TextData
• StartTime
• EndTime
• Duration
• Reads
• Writes
• CPU
• ObjectID
• ObjectName
• ObjectType
15.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Stored
Procedures Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se
presentan en la configuración de ThinkServer.
Evento Descripción
RPC:Starting Indica que se ha iniciado una llamada a procedimiento remoto.
RPC:CompletedIndica que se ha completado una llamada a procedimiento remoto.
RPC Output Parameter
Muestra información de valores del parámetro de salida de las llamadas a procedimiento remoto (RPC) después de su ejecu-ción.
Evento SP:Starting
EventClass Tipo de evento registrado = 42.
NestLevel Nivel de anidamiento del procedimiento almacenado.
ObjectID Id. asignado por el sistema al procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado que se inicia.
© 2012 Tango/04 Computing Group Página 62
SQL Server Stored Procedures Auditing ThinAgent
ObjectType Tipo de procedimiento almacenado que se inicia.
TextData Texto de la llamada del procedimiento almacenado.
Evento SP:Completed
EventClass Tipo de evento registrado = 43.
NestLevel Nivel de anidamiento del procedimiento almacenado.
EndTime Hora de finalización del evento.
Duration Duración del procedimiento almacenado ejecutado.
ObjectID ID de objeto del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado que se inicia
ObjectType Tipo del procedimiento almacenado solicitado.
TextData Texto de la llamada del procedimiento almacenado.
Evento SP:StmtStarting
EventClass Tipo de evento registrado = 44.
EventSubClass Nivel de anidamiento del procedimiento almacenado.
ObjectID Id. del objeto asignado por el sistema.
Evento SP:StmtCompleted
EventClass Tipo de evento registrado = 45.
EventSubClass Nivel de anidamiento del procedimiento almacenado.
IntegerData Líneas devueltas por la instrucción.
ObjectID Id. del objeto asignado por el sistema.
TextData Texto de la sentencia en el procedimiento almacenado.
Evento SP:CacheMiss
EventClass Tipo de evento registrado = 34.
EventSub Class Nivel de anidamiento del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
Evento SP:CacheInsert
EventClass Tipo de evento registrado = 35.
Evento SP:Starting
© 2012 Tango/04 Computing Group Página 63
SQL Server Stored Procedures Auditing ThinAgent
ObjectID ID de objeto del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
TextData Texto de la sentencia SQL que se está almacenando en la caché.
Evento SP:CacheRemove
EventClass Tipo de evento registrado = 36.
ObjectID ID de objeto del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
TextData Texto de la instrucción SQL que se va a quitar de la caché.
Evento SP:Recompile
EventClass Tipo de evento registrado = 37.
NestLevel Nivel de anidamiento del procedimiento almacenado.
ObjectID ID de objeto del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
TextDataTexto de la llamada del procedimiento almacenado que disparó la recompilación.
Evento SP:CacheHit
EventData Tipo de evento registrado = 38.
ObjectID ID de objeto del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
TextData Texto del código SQL que se ha encontrado en la caché.
Evento SP:ExecContextHit
EventClass Tipo de evento registrado = 39.
ObjectID ID de objeto del procedimiento almacenado.
ObjectName Nombre del procedimiento almacenado.
TextData Texto de la llamada del procedimiento almacenado.
Evento RPC:Starting
EventClass Tipo de evento registrado = 11.
TextData Texto de la llamada a procedimiento remoto.
Evento SP:CacheInsert
© 2012 Tango/04 Computing Group Página 64
SQL Server Stored Procedures Auditing ThinAgent
Evento RPC:Completed
EventClass Tipo de evento registrado = 10.
EndTime Hora a la que finalizó la llamada a procedimiento remoto.
Duration Tiempo (en microsegundos) que tarda el evento.
CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el evento.
ReadsNúmero de lecturas de páginas emitidas por la llamada a procedi-miento remoto.
WritesNúmero de escrituras de páginas emitidas por la llamada a proce-dimiento remoto.
TextData Texto de la llamada a procedimiento remoto.
Evento RPC Output Parameter
EventClass Tipo de evento registrado = 100.
ObjectNameNombre el parámetro de salida del evento RPC (por ejemplo, han-dle).
TextData Valores del parámetro de salida de RPC.
© 2012 Tango/04 Computing Group Página 65
SQL Server Transactions Auditing ThinAgent
Capítulo 16 16 SQL Server Transactions Auditing ThinAgent
Use este ThinAgent para monitorizar el estado de transacciones (por ejemplo para monitorizar
Transacciones Distribuidas, Transacciones SQL, o la actividad en el Log de Transacciones)
16.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Esta configuración por defecto puede causar una alta carga de trabajo en un servidor que
principalmente ejecuta transacciones. Además no distingue entre situaciones normales o sospechosas,
simplemente funciona como un log de transacciones ejecutadas en el servidor. Úselo ocasionalmente y
asegúrese de añadir filtros restrictivos a estos monitores.
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
16.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase al sección 16.3 - Campos por Evento en la página 67 o para más detalles
• EventClass
• EndTime
• Binary Data
• EventSubClass
Evento Descripción
DTCTransaction
Rastrea transacciones coordinadas por Microsoft® Distributed Tran-saction Coordinator (MS DTC) entre dos o más bases de datos.
SQL Transaction
Registra sentencias Transact-SQL BEGIN, COMMIT, SAVE, and ROLL-BACK TRANSACTION.
Transaction Log
Registra cuando las transacciones se escriben en el log de transac-ciones
© 2012 Tango/04 Computing Group Página 66
SQL Server Transactions Auditing ThinAgent
• Reads
• ObjectID
• TextData
• Writes
• IndexID
• HostName
• CPU
• Transaction ID
• Duration
• Integer Data
• Mode
• StartTime
16.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server
Transactions Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan
en la configuración de ThinkServer.
Evento DTCTransaction
EventClass Tipo de evento registrado = 19.
© 2012 Tango/04 Computing Group Página 67
SQL Server Transactions Auditing ThinAgent
EventSubClass
Estado de Microsoft® Distributed Transaction Coordinator (MS DTC). Para más información diríjase a la documentación de MS DTC. Los valores posibles incluyen:
0 = GET_DTC_ADDRESS_SUB_CLASS
1 = PROPAGATE_XACT_SUB_CLASS
2 = DOWORK_SUB_CLASS
3 = CLOSE_CONN_SUB_CLASS
4 = DTC_VIRGIN_SUB_CLASS
5 = DTC_IDLE_SUB_CLASS
6 = DTC_BEG_DIST_SUB_CLASS
7 = DTC_ENLISTING_SUB_CLASS
8 = DTC_INT_ACTIVE_SUB_CLASS
9 = DTC_INT_COMMIT_SUB_CLASS
10 = DTC_INT_ABORT_SUB_CLASS
11 = DTC_INT_ASYNC_ABORT_SUB_CLASS
12 = DTC_ACTIVE_SUB_CLASS
13 = DTC_INIT_PREPARE_SUB_CLASS
14 = DTC_PREPARING_SUB_CLASS
15 = DTC_PREPARED_SUB_CLASS
16 = DTC_ABORTING_SUB_CLASS
17 = DTC_COMMITTING_SUB_CLASS
18 = DTC_DO_ASYNC_ABORT_SUB_CLASS
19 = DTC_DISASTER_SUB_CLASS
20 = DTC_DRAIN_ABORT_SUB_CLASS
21 = DTC_ASYNC_ABORT_SUB_CLASS
22 = DTC_TM_RECOVERY_SUB_CLASS
EndTime Hora de finalización del evento.
Duration Duración de la transacción DTC.
ReadsNúmero de páginas leídas generadas localmente por la transacción DTC.
WritesNúmero de páginas escritas generadas localmente por la transacción DTC.
CPU La cantidad de CPU utilizada por la transacción DTC.
IntegerData
Nivel de aislamiento de la transacción. Los valores posibles son:
256 = Lectura no comprometida
4096 = Lectura comprometida
65536 = Lectura repetible
1048576 = Serializable
4294967295 = No especificado
BinaryDataRepresentación binaria del Id. de unidad de trabajo (UOW) que identi-fica de forma exclusiva a esta transacción en DTC.
Evento SQL Transaction
EventClass Tipo de evento registrado = 50.
Evento DTCTransaction
© 2012 Tango/04 Computing Group Página 68
SQL Server Transactions Auditing ThinAgent
EventSubClass
Tipo de evento de transacción SQL. Los valores posibles incluyen:
0=Principio
1=Confirmar
2=Revertir
3=Punto de almacenamiento
EndTimeHora de finalización del evento. Esta opción es sólo válida para COM-MIT o ROLLBACK.
DurationCuanto tiempo duró la ejecución de la transacción. Esta opción es sólo válida para COMMIT o ROLLBACK.
TransactionID
Número de ID de la transacción.
TextData Nombre de almacenamiento o rollback, si se proporciona.
ObjectName Nombre de la transacción, si se proporciona.
Evento TransactionLog
EventClass Tipo de evento registrado = 54.
EventSubClass
Tipo de evento de transacción log, como BEGINXACT(null).
IntegerData Longitud del registro.
BinaryData
Replication log_pubid es el ID de publicación en la que se está traba-jando actualmente. If Si está usando replicación y mira la tabla de MSPublications existe una columna publication_id. Este es el valor representado en Binary Data. Puede usar este ID para encontrar la publicación y cualquier artículo asociado con ella.
EndTime Hora de finalización del evento.
ReadsNúmero de lecturas de E/S realizadas para llevar a cabo la entrada de registro.
WritesNúmero de escrituras de E/S realizadas para llevar a cabo la entrada de registro
CPU Cantidad de CPU utilizada para escribir la entrada de transacción.
TransactionID
Número de ID de la transacción.
ObjectID ID del objeto que ha registrado las modificaciones.
IndexID ID del índice que ha registrado las modificaciones.
Evento SQL Transaction
© 2012 Tango/04 Computing Group Página 69
SQL Server User Auditing ThinAgent (v7)
Capítulo 17 17 SQL Server User Auditing ThinAgent (v7)
Con este ThinAgent puede monitorizar todos los eventos de auditoría relacionados con la
administración de inicios de sesión, contraseñas, roles, permisos, permisos de uso de objetos y más.
Este monitor funciona mejor cuando aplica el filtro mencionado en la sección 18.4 - Filtros Útiles en la página 82.
17.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Es posible suscribir también los siguientes eventos, pero no diferencian entre situaciones normales y
sospechosas y, en un servidor con un alto número de inicios de sesión, incluso puede complicar la
detección de comportamientos sospechosos de un usuario o aplicación. Le recomendamos que no los
utilice si no son necesarios.
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
17.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 17.3 - Campos por Evento en la página 71 para más detalles.
• EventClass
Evento Descripción
Login FailedIndica que un usuario ha intentado conectarse a MicrosoftSQL Ser-ver y se ha producido un error.
Evento Descripción
DisconnectRecupera todos los eventos desconectados, como cuando un cliente produce un mandato desconectado
ConnectRecupera todos los eventos de conexión como cuando un cliente solicita un conexión a un servidor que ejecuta Microsoft® SQL Ser-ver™.
© 2012 Tango/04 Computing Group Página 70
SQL Server User Auditing ThinAgent (v7)
• EventSubClass
• ClientHostName
• SQLSecurityLoginName
• TextData
• NTUserName
• NTDomainName
• StartTime
• EndTime
• ServerName
• DatabaseID
• ClientProcessID
• ApplicationName
17.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server User
Activity Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la
configuración de ThinkServer.
17.4 Filtros ÚtilesPara obtener el máximo de este monitor aplique el siguiente filtro al origen de datos.
Evento Disconnect
EventClass Tipo de evento registrado = 15
EndTime Hora final de la conexión
Evento Connect
EventClass Tipo de evento registrado = 14
StartTime Hora de inicio de la conexión
Evento Audit Login Failed
EventClass Tipo de evento registrado = 20
SuccessÉxito o fallo del indicador de auditoría. El valor siempre será: 0 = error
Logical And
Field SQLSecurityLoginName
Operator Like (incluir)
© 2012 Tango/04 Computing Group Página 71
SQL Server User Auditing ThinAgent (v7)
Value '"nombre de usuario a monitorizar"
Logical And
© 2012 Tango/04 Computing Group Página 72
SQL Server User Auditing ThinAgent (v2000 y posteriores)
Capítulo 18 18 SQL Server User Auditing ThinAgent (v2000 y posteriores)
Con este ThinAgent puede monitorizar todos los eventos de auditoría relacionados con la
administración de inicios de sesión, contraseñas, roles, permisos, y permisos de uso de objetos. Este
monitor funciona mejor cuando aplica el filtro mencionado en la sección 18.4 - Filtros Útiles en la página 82.
18.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:
Evento Descripción
Audit Add/Drop LoginRegistra acciones ADD y DROP en inicios de sesión de SQL Server para sp_addlogin y sp_droplogin.
Audit Login GDRRegistra acciones GRANT, DENY, REVOKE en permisos de ini-cio de sesión para sp_grantlogin, sp_revokelogin y sp_denylogin en Windows NT 4.0 o Windows 2000
Audit Login Change Property
Registra modificaciones en propiedades de inicio de sesión, excepto contraseñas para sp_defaultdb y sp_defaultlanguage.
Audit Login Change Password
Registra cambios en cambios de contraseñas de SQL Ser-ver. Las contraseñas no se guardan. Si es miembro de los roles fijos de servidor sysadmin o securityadmin y resetea su contraseña utilizando sp_password con los tres argu-mentos especificados ('old_password', 'new_password', 'login'), el registro de auditoría reflejará que está cambiando la contraseña de otra persona.
Audit Add Login to Server Role
Registra la adición o eliminación de inicios de sesión para o de un rol fijo del servidor para sp_addsrvrolemember y sp_dropsrvrolemember.
Audit Add DB UserRegistra la adición o eliminación de usuarios de base de datos (Microsoft Windows NT® 4.0, Microsoft Windows® 2000, o Microsoft SQL Server™).
Audit Add Member to DB
Registra la adición o eliminación de miembros para o de un rol de base de datos (fijo o definido por el usuario) para sp_addrolemember, sp_droprolemember, and sp_changegroup.
© 2012 Tango/04 Computing Group Página 73
SQL Server User Auditing ThinAgent (v2000 y posteriores)
Es posible suscribir también los siguientes eventos, pero no diferencian entre situaciones normales y
sospechosas y, en un servidor con un alto número de inicios de sesión, incluso puede complicar la
detección de comportamientos sospechosos de un usuario o aplicación. Le recomendamos que no los
utilice si no son necesarios.
Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del
origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.
18.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los
campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que
recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada
Evento. Diríjase a la sección 18.3 - Campos por Evento en la página 75 para más detalles.
Audit Add/Drop RoleRegistra acciones de añadido o eliminación en roles de base de datos para sp_addrole y sp_droprole.
App Role Pass Change (Audit App
Role Change Password)
Registra cambios en la contraseña de una aplicación.
Audit Statement Permission
Registra cuando se utiliza un permiso de instrucción.
Audit Object Permission
Registra el uso con éxito o no de permisos de objetos.
Audit Backup/Restore Registra eventos de BACKUP y RESTORE.
Audit DBCC Registra mandatos DBCC que se han producido.
Audit Change Audit Registra modificación de un seguimiento de auditoría.
Audit Object Derived Permission
Registra cuándo se envía un comando CREATE, ALTER o DROP para un objeto especificado.
Evento Descripción
Evento Descripción
Audit LoginRecolecta todos los eventos de nuevas conexiones desde que se inició la traza (por ejemplo, un cliente solicitando una conexión a un servidor que ejecuta una instancia de SQL Server).
Audit LogoutRecolecta todos los nuevos eventos de desconexión desde que se inició la traza, como cuando un cliente realiza un mandato de desconexión.
ExistingConnection
Detecta actividad para todos los usuarios conectados a Microsoft SQL Server antes de que se inicie la traza.
Audit Statement GDR
Registra eventos de permisos para sentencias GRANT, DENY, REVOKE.
Audit Object GDRRegistra acciones GRANT, DENY, REVOKE en permisos de inicio de sesión para sp_grantlogin, sp_revokelogin, y sp_denylogin en Windows NT 4.0 o Windows 2000.
© 2012 Tango/04 Computing Group Página 74
SQL Server User Auditing ThinAgent (v2000 y posteriores)
• EventClass
• Permissions
• TargetRoleName
• CPU
• Database
• Username
• Duration
• EventSubClass
• Column
• PermissionsSet
• TargetUserName
• ObjectName
• TargetLoginName
• StartTime
• Success
• TextData
• Reads
• ObjectType
• TargetLoginSID
• EndTime
• Database name
• HostName
• Writes
18.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server User
Activity Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se
presentan en la configuración de ThinkServer.
Evento Audit Statement GDR
EventClass Tipo de evento registrado = 102.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error,
1 = correcto
© 2012 Tango/04 Computing Group Página 75
SQL Server User Auditing ThinAgent (v2000 y posteriores)
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = GRANT,
2 = REVOKE,
3 = DENY
DatabaseNameNombre de la base de datos a la que se aplica la sentencia de per-miso GRANT/DENY/REVOKE.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = CREATE DATABASE (sólo base de datos master),
2 = CREATE TABLE,
4 = CREATE PROCEDURE,
8 = CREATE VIEW,
16 = CREATE RULE,
32 = CREATE DEFAULT,
64 = BACKUP DATABASE,
128 = BACKUP LOG,
512 = CREATE FUNCTION
TextData Texto SQL de la sentencia GRANT/DENY/REVOKE.
Evento Audit Object GDR
EventClass Tipo de evento registrado = 103.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Grant,
2 = Revoke,
3 = Deny
DatabaseName Nombre de la base de datos a la que se ejecuta la sentencia de permiso GRANT/DENY/REVOKE.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
OwnerNameNombre de usuario de la base de datos del propietario del objeto que es el destino de los permisos conceder, revocar o denegar.
ObjectName Nombre del objeto que es el destino de los permisos conceder, revocar o denegar.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = SELECT ALL,
2 = UPDATE ALL,
4 = REFERENCES ALL,
8 = INSERT,
16 = DELETE,
32 = EXECUTE (sólo procedimientos)
Evento Audit Statement GDR
© 2012 Tango/04 Computing Group Página 76
SQL Server User Auditing ThinAgent (v2000 y posteriores)
ColumnPermissions
Indicador de configuración de un permiso de columna. Los valo-res son:
0 = No,
1 = Si
TextData Texto SQL de la sentencia GRANT/REVOKE/DENY.
Evento Audit Add/Drop Login
EventClass Tipo de evento registrado = 104.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
TargetLoginSID Número de identificación de seguridad (SID) asignado al inicio de sesión añadido.
TargetLoginName Nombre del inicio de sesión añadido.
Evento Audit Login GDR
EventClass Tipo de evento registrado = 105.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Grant
2 = Revoke
3 = Deny
TargetLoginSID Número de identificación de seguridad (SID) del inicio de sesión Windows objetivo.
TargetLoginName
Nombre del inicio de sesión Windows de destino.
Evento Audit Login Change Property
EventClass Tipo de evento registrado = 106.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Base de datos predeterminada
2 = Idioma predeterminado
TargetLoginSIDNúmero de identificación de seguridad (SID) del inicio de sesión de destino.
Evento Audit Object GDR
© 2012 Tango/04 Computing Group Página 77
SQL Server User Auditing ThinAgent (v2000 y posteriores)
TargetLoginName
Nombre del inicio de sesión de destino.
Audit Login Change Password Event
EventClass Tipo de evento registrado = 107.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = El usuario cambió su propia contraseña
2 = El usuario cambió la contraseña de otro usuario
TargetLoginSID
Número de identificación de seguridad (SID) del inicio de sesión de destino.
TargetLoginName
Nombre del inicio de sesión de destino.
Evento Audit Add Login to Server Role
EventClass Tipo de evento registrado = 108.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
TargetLoginSID Número de identificación de seguridad (SID) del inicio de sesión de destino.
TargetLoginName
Nombre del inicio de sesión de destino.
RoleName Nombre del rol al cual se ha añadido el inicio de sesión.
Evento Audit Add DB User
EventClass Tipo de evento registrado = 109.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = sp_adduser
2 = sp_dropuser
3 = grantdbaccess
4 = revokedbaccess
Evento Audit Login Change Property
© 2012 Tango/04 Computing Group Página 78
SQL Server User Auditing ThinAgent (v2000 y posteriores)
DatabaseName
Nombre de la base de datos en la que se va a agregar o quitar el nombre de usuario.
DBUserName El nombre de usuario que produce la incidencia en la base de datos.
TargetLoginSID
SID del inicio de sesión Microsoft® Windows® objetivo.
TargetLoginName
Nombre del inicio de sesión Windows objetivo.
TargetUserName
Nombre del usuario de la base de datos que se va a agregar a la base de datos.
RoleNameNombre de un rol al cual se va añadir el Nuevo usuario de base de datos.
Evento Audit Add Member to DB
EventClass Tipo de evento registrado = 110.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
TargetLoginSID
SID del inicio de sesión objetivo.
TargetLoginName
Nombre del inicio de sesión al que se le está modificando la mem-bresía de rol.
TargetUserName
Nombre del usuario al que se le está modificando la membresía de rol.
Evento Audit Add/Drop Role
EventClass Tipo de evento registrado = 111.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClass
Clase de evento dentro del evento. Los valores son:
1 = Add
2 = Drop
DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.
Evento Audit Add DB User
© 2012 Tango/04 Computing Group Página 79
SQL Server User Auditing ThinAgent (v2000 y posteriores)
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
RoleName Nombre del rol que se está creando en la base de datos.
Evento App Role Pass Change – Audit App Role Change Password
EventClass Tipo de evento registrado = 112.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseNameNombre de la base de datos en la cual se ha ejecutado el man-dato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
RoleNameNombre de rol de la aplicación de base de datos cuya contraseña se está cambiando.
Evento Audit Statement Permission
EventClass Tipo de evento registrado = 113.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
Database Name Nombre de la base de datos en la cual se ha ejecutado el mandato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = CREATE DATABASE (solo base de datos master)
2 = CREATE TABLE
4 = CREATE PROCEDURE
8 = CREATE VIEW
16 = CREATE RULE
32 = CREATE DEFAULT
64 = BACKUP DATABASE
128 = BACKUP LOG
512 = CREATE FUNCTION
TextData Valor de texto dependiente de la clase de evento capturado.
Evento Audit Object Permission
EventClass Tipo de evento registrado = 114.
Evento Audit Add/Drop Role
© 2012 Tango/04 Computing Group Página 80
SQL Server User Auditing ThinAgent (v2000 y posteriores)
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EventSubClassClase de evento dentro del evento. El valor es:
Siempre = 1
DatabaseNameNombre de la base de datos en la cual se ha ejecutado el man-dato.
DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.
OwnerNameNombre de propietario del objeto cuyos permisos se están com-probando.
ObjectName Nombre del objeto cuyos permisos están siendo comprobados.
Permissions
Tipo de sentencia con incidencia. Los valores son:
1 = SELECT ALL
2 = UPDATE ALL
4 = REFERENCES ALL
8 = INSERT
16 = DELETE
32 = EXECUTE (sólo procedimientos)
ColumnPermissions
Indica si se han utilizado permisos de una columna. Parsee el texto de la sentencia para determinar qué permisos se aplicaron a cada columna.
TextData Valor de texto dependiente de la clase de evento capturado.
Evento Audit Login
EventClass Tipo de evento registrado = 14.
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
BinaryDataConfiguración de sesión, incluidos los valores nulos ANSI, el relleno ANSI, el cierre del cursor al confirmar, la concatenación de valores nulos y los identificadores entre comillas.
TextData Lista delimitada por signos de punto y coma de todas las opciones establecidas.
Evento Audit Logout
EventClass Tipo de evento registrado = 15
Success
Éxito o fallo del indicador de auditoría. Los valores son:
0 = error
1 = correcto
EndTime Hora de cierre de la sesión.
DurationCantidad aproximada de tiempo desde el inicio de sesión del usua-rio.
Evento Audit Object Permission
© 2012 Tango/04 Computing Group Página 81
SQL Server User Auditing ThinAgent (v2000 y posteriores)
18.4 Filtros ÚtilesPara obtener el máximo de este monitor aplique el siguiente filtro al origende datos.
ReadsCantidad de operaciones de E/S de lectura lógica emitidas por el usuario durante la conexión.
WritesCantidad de operaciones de E/S de escritura lógica emitidas por el usuario durante la conexión.
CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el usuario durante la conexión.
Evento ExistingConnection
EventClass Tipo de evento registrado = 17.
BinaryData
Volcado binario de los indicadores de opción, como la configuración de sesión, incluidos valores ANSI NULL, el relleno ANSI, el cierre del cursor al confirmar, la concatenación de valores NULL y los identificadores entre comillas.
Evento Audit Logout
Logical And
Field DataBaseUserName
Operator Like (incluir)
Value '"nombre de usuario a monitorizar"
© 2012 Tango/04 Computing Group Página 82
Apéndice A : Mapeo de Campos ThinkServer – SmartConsole
© 2012 Tango/04 Computing Group Página 83
Apéndice A Apéndice A: Mapeo de Campos ThinkServer – SmartConsole
Cuando los mensajes llegan a VISUAL Message Center SmartConsole los nombres de las variables no
son siempre los mismos que los nombres de variable originales de SQL. La siguiente tabla muestra los
nombres de las variables en las aplicaciones.
SmartConsole SQL v7 SQL v2000
SourceName VSMMonitorName VSMMonitorName
EventID EventClass EventClass
Category VSMMonitorClass VSMMonitorClass
ComputerName Host Host
User DBUserName DBUserName
HourGenerated MessageTime MessageTime
DayGenerated MessageDate MessageDate
Apéndice B : Información Adicional
Apéndice BApéndice B: Información Adicional
B.1 Uso de la documentación PDF de Tango/04La documentación de Tango/04 está disponible directamente desde el DVD de soluciones de Tango/04.
Para abrir la documentación de Tango/04 proporcionada en archivos PDF, use Adobe Acrobat Reader.
Acrobat Reader le permite leer, buscar e imprimir la documentación. Puede descargar Acrobat Reader
de forma gratuita desde la página web de Adobe Web (http://www.adobe.com).
Para acceder a los documentos PDF del DVD:
Paso 1. Navegue a una suite de productos (VISUAL Message Center por ejemplo) y pulse en el
enlace Do-cumentación del producto para abrir una lista de todas las Guías de Usuario
disponibles para di-cha suite de productos. La lista contiene enlaces directos a los
documentos en formato PDF.
Paso 2. De forma alternativa, puede navegar en el menú del DVD a un producto en particular y
pulsar en el enlace Documentación del Producto para abrir la Guía de Uso en formato
PDF para dicho producto.
B.2 Tango/04 UniversityEn su continuo esfuerzo para proporcionar a todos los usuarios de tecnologías de Tango/04 una
elevada calidad de formación, Tango/04Computing Group presenta su Nuevo programa de formación
para partners y usuarios de todo el mundo.
Tango/04 University tiene como objetivo proporcionar a los usuarios y partners de Tango/04 las más
efectivas herramientas y conocimientos para gestionar las tecnologías y productos de Tango/04 y
exprimir todo su potencial.
La asistencia al curso de formación y la superación de los exámenes relacionados es obligatorio para
cualificarse como Business Partner de Tango/04 para el área tecnológica cubierta por el curso, y le
ofrece importantes beneficios como:
Consejo Le recomendamos imprimir la documentación PDF para una referencia más sencilla. Por
favor asegúrese de familiarizarse con la guía de uso de un producto antes de usarlo.
© 2012 Tango/04 Computing Group Página 84
Apéndice B : Información Adicional
• Certificaciones Oficiales de Tango/04 - Los partners de Tango/04 necesitan tener un número
determinado de consultores certificados, dependiendo de su Nivel en el programa de Business
Partner
• Explotar todo el potencial de las tecnologías de Tango/04 - Soluciones como VISUAL Message
Center y VISUAL Security Suite son soluciones muy amplias que presentan muchas
funcionalidades. Conocer todas estas funciones y saber como usarlas es la clave para
conseguir el máximo del producto
• Integración con otras soluciones - Tango/04 está creciendo constantemente: conocer los
nuevos productos y agents le puede permitir integrar otras partes de la infraestructura de TI en
las soluciones de Tango/04
• Los Business Partners de Tango/04 aprenderán como implementar de forma efectiva un
proyecto de monitorización para obtener la máxima efectividad y satisfacción del usuario.
Perfil de los participantes: Consultores, Administradores de Sistema, operadores y personal técnico
con conocimientos de sistemas Windows, iSeries, Linux y Unix que estarán involucrados en la gestión o
implementación de tecnología de Tango/04.
Pre-requisitos: Ser Business Partner o cliente de Tango/04.
© 2012 Tango/04Computing Group Página 85
Apéndice B : Información Adicional
B.3 Contactar con Tango/04
North America
Tango/04 North America
PO Box 3301
NH 03458 Peterborough USA
Phone: 1-800-304-6872 / 603-924-7391
Fax: 858-428-2864
www.tango04.com
EMEA
Tango/04 Computing Group S.L.
Avda. Meridiana 358, 5 A-B
08027 Barcelona Spain
Phone: +34 93 274 0051
Fax: +34 93 345 1329
www.tango04.com
Italy
Tango/04 Italy
Viale Garibaldi 51/53
13100 Vercelli Italy
Phone: +39 0161 56922
Fax: +39 0161 259277
www.tango04.it
Sales Office in France
Tango/04 France
La Grande Arche
Paroi Nord 15ème étage
92044 Paris La Défense France
Phone: +33 01 40 90 34 49
Fax: +33 01 40 90 31 01
www.tango04.fr
Sales Office in Switzerland
Tango/04 Switzerland
18, Avenue Louis Casaï
CH-1209 Genève
Switzerland
Phone: +41 (0)22 747 7866
Fax: +41 (0)22 747 7999
www.tango04.fr
Latin American Headquarters
Barcelona/04 Computing Group SRL (Argentina)
Avda. Federico Lacroze 2252, Piso 6
1426 Buenos Aires Capital Federal
Argentina
Phone: +54 11 4774-0112
Fax: +54 11 4773-9163
www.barcelona04.com
Sales Office in Peru
Barcelona/04 PERÚ
Centro Empresarial Real
Av. Víctor A. Belaúnde 147, Vía Principal 140 Edificio Real Seis, Piso 6
L 27 Lima
Perú
Phone: +51 1 211-2690
Fax: +51 1 211-2526
www.barcelona04.com
Sales Office in Chile
Barcelona/04 Chile
Nueva de Lyon 096 Oficina 702,
Providencia
Santiago
Chile
Phone: +56 2 234-0898
Fax: +56 2 2340865
www.barcelona04.com
© 2012 Tango/04Computing Group Página 86
Acerca de Tango/04 Computing Group
Acerca de Tango/04 Computing Group
Tango/04 Computing Group es una de las principales empresas desarrolladoras de software de gestión
y automatización de sistemas informáticos. El software de Tango/04 ayuda a las empresas a mantener
la salud operativa de sus procesos de negocio, mejorar sus niveles de servicio, incrementar su
productividad y reducir costes mediante una gestión inteligente de su infraestructura informática.
Fundada en 1991 en Barcelona, Tango/04 es IBM Business Partner y miembro de la iniciativa
estratégica IBM Autonomic Computing. Además de recibir numerosos reconocimientos de la industria,
las soluciones Tango/04 han sido validadas por IBM y tienen la designación IBM ServerProven™.
Tango/04 tiene más de mil clientes y mantiene operaciones en todo el mundo a través de una red de 35
Business Partners
Alianzas
Premios
Partnerships IBM Business Partner
IBM Autonomic Computing Business Partner
IBM PartnerWorld for Developers Advanced Membership
IBM ISV Advantage Agreement
IBM Early code release
IBM Direct Technical Liaison
Microsoft Developer Network
Microsoft Early Code Release
© 2012 Tango/04 Computing Group Página 87
Aviso Legal
Aviso Legal
Este documento y su contenido son propiedad de Tango/04 Computing Group o de sus respectivos propietarios cuando así se
indique. Cualquier utilización de este documento con una finalidad distinta de aquella con la cual ha sido creado está prohibida sin la
autorización expresa de su propietario. Asimismo queda prohibida la reproducción total o parcial de este documento por cualquier
medio físico, óptico, magnético, impreso, telemático, etc., sin la autorización expresa de su propietario.
La información técnica aquí contenida fue obtenida utilizando equipamiento e instalaciones específicas, y su aplicación se limita a
esas combinaciones especiales de productos y niveles de versiones de hardware y software. Cualquier referencia en este documento
a productos, software o servicios de Tango/04 Computing Group, no implica que Tango/04 Computing Group planee introducir esos
productos, software o servicios en cada uno de los países en los que opera o está representada. Cualquier referencia a productos de
software, hardware o servicios de Tango/04 Computing Group no está hecha con el propósito de expresar que solamente pueden
utilizarse productos o servicios de Tango/04 Computing Group. Cualquier producto o servicio funcionalmente equivalente que no
infrinja la propiedad intelectual o condiciones de licenciamiento específicas se podría utilizar en reemplazo de productos, software o
servicios de Tango/04 Computing Group.
Tango/04 Computing Group puede tener patentes o estar pendiente de obtención de patentes que cubren asuntos tratados en este
documento. La entrega de este documento no otorga ninguna licencia de esas patentes. La información contenida en este
documento no ha sido sometida a ningún test formal por Tango/04 Computing Group y se distribuye tal como está. El uso de esta
información o la implementación de cualquiera de las técnicas, productos, tecnologías, ideas o servicios explicitados o sugeridos por
el presente documento es responsabilidad exclusiva del cliente a quien está dirigido este documento, y es el cliente quien debe
evaluar y determinar la aplicabilidad y consecuencias de integrar esas técnicas, productos, tecnologías, ideas o servicios en su
entorno operativo.
Si bien cada ítem puede haber sido revisado por Tango/04 Computing Group en cuanto a su exactitud en una situación específica, no
existe ni se otorga ninguna garantía de que los mismos o similares resultados puedan ser obtenidos en otras situaciones o
instalaciones. Los clientes que intenten adaptar esas técnicas en sus propias instalaciones lo hacen bajo su propia cuenta,
responsabilidad y riesgo. Tango/04 Computing Group no será en ningún caso responsable directo o indirecto de cualquier daño o
perjuicio causado por el uso de las técnicas explicitadas o sugeridas en este documento, incluso si se han efectuado notificaciones
de la posibilidad de esos daños.
Este documento puede contener errores técnicos y/o errores tipográficos. Todas las referencias en esta publicación a entidades
externas o sitios web han sido provistas para su comodidad solamente, y en ningún caso implican una validación, garantía o respaldo
a esas entidades o sitios.
Las marcas siguientes son propiedad de International Business Machines Corporation en los Estados Unidos y/o otros países: AS/
400, AS/400e, System i, iSeries, e (logo)Server, i5, Operating System/400, OS/400, i5/OS.
Microsoft, SQL Server, Windows, Windows NT, Windows XP y el logotipo de Windows son marcas registradas de Microsoft
Corporation en los Estados Unidos y/o otros países. Java y todos los logotipos y marcas basadas en Java son propiedad de Sun
Microsystems, Inc. en los Estados Unidos y otros países. UNIX es una marca registrada en los Estados Unidos y otros países y se
licencia exclusivamente a través de The Open Group. Oracle es una marca registrada de Oracle Corporation. Otras marcas,
productos o servicios pueden ser marcas registradas de otras empresas.
© 2012 Tango/04 Computing Group Página 88