建立审计规范

　　在你创建好审计以后，你还需要创建一个审计规范。它用来告诉SQL Server审计到底捕获那些信息。你可以根据需要捕获尽可能多或少的信息，只要你捕获的信息能满足你的需要就好。如果你不需要，我推荐你不要审计所有事件，因为那样会给你的服务器和你的存储子系统造成压力，特别是在业务繁忙的SQL Server上更明显。

　　要创建审计规范，请在对象浏览器中我们找到的审计树中查看。列表中的下一项应该是审计规范。在该选项上右击，从弹出的上下文菜单中选择“新建服务器审计规范”。此时会给你显示一个界面，选择SQL Server中可以被审计的各种事件。

　　正如你在图3中看到的示例审计规范，你可以从列表中选择多种不同的审计动作类型，这样一个规范就可以捕获各种各样的信息。在下面的例子中，我们想捕获所有对实例中表的DML(数据操纵语言)访问，以及所有登录密码修改。你还会注意到审计动作类型的名称不是很易读。

　　图3：在SQL Server中创建审计规范(点击放大)。

　　正如上面创建审计的例子一样，你还可以通过T-SQL创建审计规范，如图4所示。

　　图4：利用T-SQL创建审计规范(点击放大)。

　　一旦你创建了审计和审计规范，你需要启用这两种对象。在SQL Server Management Studio中，可以通过在每个对象上右击，然后选择“启用{对象名称}”来实现。如果你是通过T-SQL创建的这些对象，你可以使用“ALTER SERVER AUDIT”和“ALTER SERVER AUDIT SPECIFICATION”语句，把状态值设置为ON，如图5所示。

　　图5：通过T-SQL启用审计和审计规范(点击放大)。

　　此时，所有已经配置捕获审计规范的数据将会按照该规范绑定的审计指定的方式写到审计文件中。

　　在我们的例子中，我们可以通过查看SQL Server上的“D：Audit”文件夹检查这一点。在那里我们可以看是否文件已经被创建，以及SQL Server是否给那里写了数据，如图6所示。

　　图6：验证SQL Server审计(点击放大)。

　　希望这份对微软SQL Server 2008 R2的简介对于简单配置微软提供给你的令人惊喜的审计能力给你一些概念性的了解。然而，像大部分最新功能一样，这些功能不能对SQL Server 2005和更早的版本向后兼容，这样你将需要向你的审计人员解释，审计数据只在那些宿主在更新的服务器上的数据库可用。你可能甚至会把它作为让SQL Server 2000和2005应用从微软升级到更新版本一个驱动因素。