sql server security agent - static.helpsystems.com · sql server scans auditing thinagent.....36...

SQL Server Security AgentGuía de Usuario

1.6VMC-TSS

VISUAL Message Center SQL Server Security Agent Guía de Usuario

El software descrito en este documento se distribuye bajo un contracto de licencia y puede utilizarse

únicamente de acuerdo a los términos de uso de dicho acuerdo.

Aviso de Copyright

Copyright © 2012 Tango/04. Todos los derechos reservados.

Fecha de documento: Agosto 2012

Versión de documento: 2.41

Versión de producto: 1.6

Ninguna parte de esta publicación puede reproducirse, transmitirse, transcribirse, almacenarse en un

sistema de recuperación o traducirse a ningún idioma o lenguaje de programación, de ninguna forma ni

medio, electrónico, mecánico, magnético, óptico, químico, manual, o de cualquier otro tipo, sin el

permiso por escrito previo de Tango/04.

Marcas Registradas

Cualquier referencia a nombres de productos registrados son propiedad de las respectivas empresas.

Soporte Técnico

Para soporte técnico visite nuestra página web en www.tango04.com.

Tango/04 Computing Group S.L. Avda. Meridiana 358, 5 A-B Barcelona 08027 España

Teléfono: +34 93 274 0051

http://www.tango04.com

http://www.tango04.com

Tabla de Contenidos

Tabla de Contenidos

Tabla de Contenidos.......................................................................... III

Cómo Usar esta Guía.......................................................................VIII

Capítulo 1

Introducción ...................................................................................... 1

Capítulo 2

Método de Auditoria .......................................................................... 3

Capítulo 3

Administración de Origen de Datos ...................................................... 53.1. Creación de un Origen de Datos ....................................................................5

3.2. Eliminar un Origen de Datos...........................................................................6

Capítulo 4

Consideraciones Especiales ................................................................. 74.1. Configuración por Defecto de los ThinAgents ................................................7

4.2. Filtros de Auditoría..........................................................................................7

4.2.1. SQL Server 7 ............................................................................................7

4.2.2. SQL Server 2000 y Posteriores ................................................................8

© 2012 Tango/04 Computing Group Página III

Tabla de Contenidos

4.3. Perfil Mínimo de Usuario ..............................................................................10

4.3.1. Dar Derechos de Iniciar Sesión como Proceso por Lotes ......................13

4.3.2. Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2005 ..13

4.3.3. Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2008 ..14

4.4. Cambiar la Configuración de un Origen de Datos ........................................15

4.5. Eliminar Trazas .............................................................................................15

4.5.1. Eliminar Trazas en SQL Server 2000, 2005 y 2008................................16

4.5.2. Eliminar Trazas en SQL Server 7 ...........................................................16

4.6. Eventos en Tiempo Real...............................................................................16

Capítulo 5

ThinAgents ...................................................................................... 185.1. Eventos y Campos........................................................................................18

Capítulo 6

SQL Server Database Files Auditing ThinAgent (v2000 y Posteriores)...................................................................... 21

6.1. Eventos Recuperados...................................................................................21

6.2. Campos.........................................................................................................21

6.3. Campos por Evento ......................................................................................22

Capítulo 7

SQL Server Errors and Warnings ThinAgent......................................... 237.1. Eventos Recuperados...................................................................................23

7.2. Campos.........................................................................................................24


Capítulo 8

SQL Server Locks Auditing ThinAgent ................................................. 278.1. Eventos Recuperados...................................................................................27

8.2. Campos ........................................................................................................28


© 2012 Tango/04 Computing Group Página IV

Tabla de Contenidos

Capítulo 9

SQL Server Object Changes ThinAgent................................................ 319.1. Eventos Recuperados...................................................................................31

9.2. Campos.........................................................................................................32


Capítulo 10

SQL Server Scans Auditing ThinAgent................................................. 3610.1. Eventos Recuperados.................................................................................36

10.2. Campos ......................................................................................................36

10.3. Campos por Evento ....................................................................................37

Capítulo 11

SQL Server Security Auditing ThinAgent (v7) ...................................... 3911.1. Eventos Recuperados.................................................................................39

11.2. Campos ......................................................................................................40


11.4. Filtros Útiles ................................................................................................42

Capítulo 12

SQL Server Security Auditing ThinAgent (v2000 y posteriores)...................................................................... 44

12.1. Eventos Recuperados.................................................................................44

12.2. Campos.......................................................................................................45


12.4. Filtros Útiles ................................................................................................55

Capítulo 13

SQL Server Audit (Generic) ThinAgent ................................................ 5613.1. Eventos Recuperados.................................................................................56

13.2. Campos.......................................................................................................56


© 2012 Tango/04 Computing Group Página V

Tabla de Contenidos

Capítulo 14

SQL Server Statements Auditing ThinAgent......................................... 5814.1. Eventos Recuperados.................................................................................58

14.2. Campos.......................................................................................................58


Capítulo 15

SQL Server Stored Procedures Auditing ThinAgent ............................... 6115.1. Eventos Recuperados.................................................................................61

15.2. Campos.......................................................................................................62


Capítulo 16

SQL Server Transactions Auditing ThinAgent ....................................... 6616.1. Eventos Recuperados.................................................................................66

16.2. Campos.......................................................................................................66


Capítulo 17

SQL Server User Auditing ThinAgent (v7) ........................................... 7017.1. Eventos Recuperados.................................................................................70

17.2. Campos.......................................................................................................70


17.4. Filtros Útiles ................................................................................................71

Capítulo 18

SQL Server User Auditing ThinAgent (v2000 y posteriores) .................. 7318.1. Eventos Recuperados.................................................................................73

18.2. Campos.......................................................................................................74


18.4. Filtros Útiles ................................................................................................82

© 2012 Tango/04 Computing Group Página VI

Tabla de Contenidos

Apéndices

Apéndice A: Mapeo de Campos ThinkServer – SmartConsole................ 83

Apéndice B: Información Adicional .................................................... 84B.1. Uso de la documentación PDF de Tango/04................................................84

B.2. Tango/04 University......................................................................................84

B.3. Contactar con Tango/04 ...............................................................................86

Acerca de Tango/04 Computing Group ............................................... 87

Aviso Legal...................................................................................... 88

© 2012 Tango/04 Computing Group Página VII

Cómo Usar esta Guía

© 2012 Tango/04 Computing Group Página VIII

Cómo Usar esta Guía

Este capítulo explica cómo usar las Guías de Usuario de Tango/04 y comprender las convenciones

tipográficas usadas en toda la documentación de Tango/04.

Convenciones Tipográficas

Los siguientes términos, formatos de texto y símbolos convencionales se utilizan en toda la

documentación impresa de Tango/04:

Convention Description

Negrita Mandatos, botones en pantalla y opciones de menú.

Cursiva azul Referencias y enlaces a otras secciones en el manual o a otra documentación que contiene información relevante.

Cursiva Texto mostrado en pantalla, o variables donde el usuario debe sustituir sus propios detalles.

Monospacia Mandatos de entrada como mandatos o código System i, o texto que los usuarios deben teclear.

MAYUSCULA Claves de teclado, como CTRL para la tecla Control y F5 para la tecla de función que está etiquetada como F5.

Notas e información adicional de utilidad.

Consejos y pistas que mejoran la experiencia de usuario al trabajar con este producto.

Importante: información adicional que es altamente recomendable que el usuario tenga en cuenta.

Aviso: El no seguir esta información podría derivar potencialmente en serios problemas.

Introducción

Capítulo 11 Introducción

VISUAL Message Center ofrece una amplia gama de funcionalidades de monitorización par uno o

varios motores de bases de datos SQL Server.

Soporta las versiones SQL Server 7, SQL Server 2000, SQL Server 2005, y Desktop Edition (MSDE)

ejecutándose en Windows 2000, Windows 2003 Server Edition o Windows 2008. Nuestra amplia gama

de soluciones de monitorización incluye control y gestión de:

• Disponibilidad de la base de datos

• Rendimiento de la base de datos

• Seguridad, Auditoría y Cumplimiento de regulaciones de la base de datos

• Servicios de Negocio que utilizan SQL Server como un componente de la aplicación

Los SQL Server Security ThinAgents vienen preconfigurados para que pueda iniciar fácil y rápidamente

la monitorización desde el primer momento

VISUAL Message Center puede alertarle en tiempo real o próximo a tiempo real de eventos

procedentes de una amplia lista de fuentes, incluyendo entre otros:

• Proveedores de rendimiento WMI de SQL Server

• Indicadores de rendimiento interno de SQL Server

• Logs de SQL Server

• Windows Event Log

• Estado de procesos y servicios de SQL Server

• Transacciones sintéticas (vea los detalles a continuación)

• Logs de transacciones

• Eventos de auditoría

• Transacciones SQL

• Variables SNMP proporcionadas por SQL Server

• Objetos SQL Server incluidos en el Monitor del Sistema

• Otros productos de monitorización de Microsoft y terceros como MOM

© 2012 Tango/04 Computing Group Página 1

Introducción

• Indicadores críticos de rendimiento, seguridad y disponibilidad del sistema operativo y de

hardware de los servidores donde reside SQL Server

• Dispositivos de red y servicios de infraestructura relacionados que puede afectar a SQL Server

• Servicios de negocio afectados por el estado de la base de datos

Normalmente no es necesario utilizar todos los monitores a la vez (de hecho, algunos de ellos

recuperan los mismos datos), pero debe saber que VISUAL Message Center es lo suficientemente

flexible para utilizar las mejores estrategias de monitorización para cada cliente o escenario.

Los eventos no relevantes pueden filtrarse a nivel de origen o de SmartConsole para ahorrar recursos

de CPU, ancho de banda y la necesidad de supervisión de los operadores. Sólo se señalan los eventos

relevantes y requieren la atención del operador, para evitar la dificultad de buscar información crítica

entre grandes cantidades de datos técnicos no relevantes.

Nota Este manual está pensado para usuarios con conocimientos de SQL. El manual explica

cómo VISUAL Message Center ThinkServer utiliza variables SQL para monitorizar

rendimiento y seguridad de SQL. Este manual no le enseñará cómo utilizar SQL.


Método de Auditoria

Capítulo 2 2 Método de Auditoria

Este capítulo explica cómo funciona el proceso de auditoría de SQL Server y como lo hace VISUAL

Message Center ThinkServer en referencia a la recuperación de la información de auditoría. Le

recomendamos que actualice a la última versión de Service3 Pack de SQL Server antes de empezar.

El primer paso es crear un origen de datos para la auditoria SQL. Cuando crea el origen de datos, se

crea un proceso de auditoría (traza) en el servidor.

Una vez ha creado un origen de datos, puede reducir el proceso de auditoría aplicando filtros al origen

de datos. Además puede configurar filtros a nivel de monitor y asignar condiciones para asignar la salud

y las acciones a realizar.

Tenga en cuenta que:

• El proceso de auditoría se ejecutará en el servidor, independientemente si se está ejecutando

el servicio ThinkServer o no.

• Los eventos de auditoría recuperados se almacenan en archivos temporales en el servidor..

− En servidores SQL Server 7, los datos se almacenan en tablas

− En servidores SQL Server 2000 y posteriores, los datos se almacenan en archivos binarios

en una carpeta del sistema.

• Cuando se reinicia el servidor o el servicio SQL Server, también se reinicia el proceso de

auditoría. El SQL Audit ThinAgent crea un procedimiento almacenado llamado

tango_restart_traces cuando se crea el primer origen de datos de auditoría. Este

procedimiento almacenado es llamado cuando se reinicia SQL Server. Lee la tabla

tango_traces y reinicia cada proceso de auditoría en ejecución en el servidor antes de que

arranque SQL Server.

• El proceso creado en un servidor recibe eventos de todo el servidor, no sólo de una base de

datos específica. Si sólo necesita auditor una base de datos específica, cree filtros de origen

de datos en las variables DatabaseName o DatabaseID.

• La auditoria de SQL Server puede tener efectos importantes en un servidor. Las operaciones

de entrada/salida pueden incrementarse hasta niveles peligrosos si no se establecen los filtros

apropiados. Tenga en cuenta que una sencilla consulta puede generar 30 evento que se

escriben en un archivo o base de datos. Por ello es muy importante decidir qué usuarios,

bases de datos y tipos de consulta necesita auditor. No es posible para un SQL Server con

elevadas cargas de trabajo recopilar y guardar todos los eventos posibles.


Método de Auditoria

• Tenga en cuenta que recuperar una gran cantidad de eventos puede llevar a problemas de

almacenamiento en el servidor. Si ThinkServer no se está ejecutando o si la velocidad a la que

se generan nuevos eventos es mayor que la velocidad a la que ThinkServer lee los eventos es

fácil que se produzcan problemas de almacenamiento.

Los eventos de auditoría de archivos temporales se recuperan a través del proceso de recolección del

origen de datos utilizando consultas SQL.

Nota El proceso de auditoría en el servidor se ejecutará hasta que se elimine el origen de datos,

independientemente de si se está ejecutando o no el servicio ThinkServer.


Administración de Origen de Datos

Capítulo 3 3 Administración de Origen de Datos

3.1 Creación de un Origen de DatosCuando crea un monitor se le pedirá que cree un origen de datos si no existe ninguno todavía para el

ThinAgent que ha seleccionado. Aparecerá la pantalla de configuración de origen de datos. Aquí puede

introducir la información necesaria para recuperar los datos.

Los orígenes de datos vienen parcialmente preconfigurados. Ajuste los valores por defecto para que se

adapten a las necesidades de su empresa e introduzca los siguientes campos, como sea necesario:

• DSN (Nombre de la conexión ODBC adjunta al, adjunta al Servidor SQL)

• Usuario

• Contraseña

• Versión de SQL Server – seleccione si está usando SQL 7 o SQL 2000

El ThinAgent utiliza las siguientes plantillas para dar nombre automáticamente al proceso de auditoría

de SQL Server y a los archivos intermedios:

• En SQL Server 7, los datos temporales se almacenan en una base de datos con un nombre

similar a:

DefaultDatabase..ClientHostName_TangoTraceNNNNN,

• Donde DefaultDatabase es la base de datos por defecto del DSN ODBC utilizado para

conectar a SQL Server (por defecto se utiliza master), ClientHostname es el nombre del

sistema donde se está ejecutando ThinkServer, y NNNNN es un número secuencial.

• Se asignará el número máximo más 1 al siguiente origen de datos. Por ejemplo:

master..MICH_TangoTrace00001

• En SQL Server 2000 y posteriores, los archivos temporales se almacenan, por defecto en la

carpeta WinNT\system32, con un nombre similar a:

ClientHostName_TangoTraceNNNNN.trc

• Donde ClientHostName es el nombre del sistema donde se está ejecutando ThinkServer. Por

ejemplo:

c:\winnt\system32\tangotraces\MICH_TangoTrace00002.trc


Administración de Origen de Datos

3.2 Eliminar un Origen de DatosLa única manera de detener un proceso de auditoría en el Servidor SQL es eliminar el origen de datos.

Cuando elimina el origen de datos, también se elimina el archivo/tabla de traza.

Nota En SQL server 2005 debe especificarse el path de los archivos temporales.

Importante Asegúrese que elimina el origen de datos cuan do elimina los monitores adjuntos al mismo.

Esto es muy importante para evitar problemas de rendimiento.

Si no elimina el origen de datos continuará generando eventos en el servidor SQL utilizando

potencialmente cantidades significantes de disco.


Consideraciones Especiales

Capítulo 4 4 Consideraciones Especiales

Este capítulo cubre información importante que debe leer antes de empezar a utilizar los SQL Security

ThinAgents. La información presentada aplica a todos los SQL Security ThinAgents y proporciona al

usuario los conocimientos necesarios para utilizar correctamente estos monitores además de algunas

útiles herramientas de resolución de problemas.

4.1 Configuración por Defecto de los ThinAgentsUna configuración precisa de los filtros es un aspecto muy importante de la configuración de los SQL

Server ThinAgents. Insistiremos en ello a lo largo de todo el documento.

Los SQL Security ThinAgents pueden ser extremadamente útiles para detector situaciones de

seguridad sospechosas, errores y avisos producidos en SQL Server, consultas ejecutadas en el

Servidor SQL, cambios sobre objetos e incluso información de rendimiento de la ejecución de una

consulta. Pero también puede ser perjudicial para el rendimiento de su Servidor SQL. L diferencia

reside en la configuración de los filtros de cada monitor.

Aunque la configuración apropiada de los filtros es incluso más importante en SQL Server 7, todos los

sistemas de base de datos necesitan una configuración precisa. No es posible para un sistema con una

carga de trabajo promedio, auditor cada cursor, cada bloqueo, cada RPC, involucrado en una consulta.

Por ejemplo si la configuración de sus monitores causa 60 eventos que se deben almacenar para cada

consulta sencilla, necesitará 60 servidores con la misma capacidad para soportar la misma carga de

trabajo.

Hemos creado configuraciones por defecto para cada ThinAgent que filtran aquellos eventos que

indican que puede haber un problema en un servidor y aquellos eventos que indican cambios

importantes en los permisos como inicios de sesión o usuarios añadidos.

4.2 Filtros de AuditoríaLa configuración de los filtros para SQL Server 7 difiere de la configuración de filtros para SQL Server

2000 y posteriores. En SQL Server 7 simplemente introduce los calores a incluir o excluir para cada

campo de evento. La configuración de filtros en SQL Server 2000 es más flexible y permite una

definición más específica de los filtros.

4.2.1 SQL Server 7La configuración de filtros en SQL Server 7 consiste en la definición de todos los valores que desea

incluir o excluir de un campo de evento determinado en una entrada sencilla.



Figura 1 – Configuración de filtros de inclusión y exclusión para SQL Server 7

En la pestaña Advanced Settings pulse el botón Add a filter para abrir la ventana de detalles de filtro.

Aquí puede buscar las variables disponibles utilizando el botón de insertar.

Figura 2 – Detalles de Filtro

Seleccione las variables que desea incluir o excluir para el campo de evento. Las variables aparecen

como una lista en el campo correspondiente.

4.2.2 SQL Server 2000 y PosterioresLa configuración de filtros para SQL Server 2000 y posteriores, requiere una entrada para cada

comparación de un campo de evento.

Para añadir filtros seleccione la pestaña Advanced y pulse el botón Add a filter.



Figura 3 – Configuración de filtros para SQL Server 2000 y posterior.

Aparece la ventana de detalles de filtro, donde puede

• Seleccionar el campo de evento al que aplica el filtro,

• Seleccionar el operador deseado, y

• Introducir el valor requerido.

Para activar el filtro recuerde seleccionar Active. Desactivar un filtro le permite detener temporalmente

un filtro sin perder su definición. Para reactivar los filtros simplemente seleccione Active.

Figura 4 – Detalles de filtro

Nota Es importante agrupar todas las comparaciones para un campo en particular.



4.3 Perfil Mínimo de Usuario • En SQL Server 7, el usuario debe ser capaz de crear una nueva traza y acceder a la tabla que

crea la traza para realizar operaciones de lectura y escritura.

• Por defecto, se otorgan a los miembros del rol fijo de servidor sysadmin permisos de ejecución

para:

xp_trace_addnewqueue

xp_trace_setqueuedestination

xp_trace_restartqueue

xp_trace_pausequeue

xp_trace_destroyqueue

xp_trace_enumqueuehandles

xp_trace_getqueuedestination.

• Estos permisos también pueden otorgarse a otros usuarios si surge la necesidad.

• Para realizar consultas select y delete en la tabla donde se almacena la información de

eventos, necesita un usuario que pertenezca al rol del servidor sysadmin, o el usuario que creó

la traza llamando al procedimiento almacenado xp_trace_setqueuedestination (por

ejemplo, el propietario de la traza).

• Para crear un procedimiento almacenado de arranque, debe haber iniciado sesión como

miembro del rol fijo de servidor sysadmin y crear el procedimiento almacenado en la base de

datos master.

• Para crear la tabla tango_traces, deben otorgarse al usuario permisos CREATE TABLE. Por

defecto, este permiso se otorga a los miembros de los roles fijos del servidor db_owner y

db_ddladmin. Los miembros del rol fijo de base de datos db_owner y los miembros del rol fijo

de servidor sysadmin pueden otorgar a otros usuarios permisos CREATE TABLE. Para llevar a cabo consultas delete a la tabla tango_traces deben otorgarse permisos

DELETE. Estos permisos se otorgan por defecto a los miembros del rol fijo de servidor

sysadmin, los roles fijos de base de datos db_owner y db_datawriter, y al propietario de la

tabla. Además del propietario de la tabla, los miembros de los roles sysadmin, db_owner, y

db_securityadmin, pueden transferir permisos a otros usuarios.

• En SQL Server 2005 y 2008, el servidor debe permitir el uso del procedimiento almacenado

xp_cmdshell. Este procedimiento almacenado está deshabilitado por defecto y debe

habilitarse utilizando la configuración de área de superficie de SQL Server, diríjase a la sección 4.3.2 - Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2005 en la página 13

para más detalles.

• A diferencia de SQL Server 2000, SQL Server 2005 y 2008 no tienen una cuenta sysadminrequerida estrictamente que permite la restricción de los permiso otorgados al usuario de DSN.

También es posible restringir la ejecución directa del procedimiento almacenado

xp_cmdshell. Esto produce dos opciones de configuración que se muestran a continuación.

Configure estas opciones en la pestaña Security, seleccionado el parámetro Avoid using

xp_cmdshell directly.



Figura 5 – Configuración de Origen de datos

− Opción 1: No usar directamente xp_cmdshell

Para habilitar esta opción, se necesitan un usuario del sistema (DOMINIO\USUARIO) y

una cuenta DB sysadmin hasta la primera recolección de datos. Tras la primera

recolección, estas cuentas no son necesarias y pueden eliminarse de la configuración

del origen de datos.

El usuario del sistema debe tener derechos de log on as a batch job y permiso de

control total en el directorio donde se almacenan las trazas. Para instrucciones, diríjase

a la sección 4.3.1 - Dar Derechos de Iniciar Sesión como Proceso por Lotes en la página 13. Este se utiliza para configurar ##xp_cmdshell_proxy_account## que es

la credencial utilizada para comprobar los permisos para accede al filesystem. Para

reconfigurar, debe entrarse sysadmin y, como antes, puede eliminarse tras la primera

recolección.

La cuenta sysadmin es necesaria para crear sp_tango_shell (que encapsula

xp_cmdshell y se ejecutará con los permisos de su propietario), actualizar o crear

##xp_cmdshell_proxy_account## y otorgar los permisos necesarios para el DSN.

− Opción 2: Usar direectamente xp_cmdshell

Para utilizar esta opción, asigne privilegios a usuarios o nombres de login

manualmente. Estos privilegios se otorgan por defecto a miembros del rol fijo de

servidor sysadmin y pueden otorgarse a otros usuarios con los siguientes mandatos



Donde xp_cmdshell es llamado por un usuario que no es miembro del rol fijo de

servidor sysadmin, conecta con el sistema operativo utilizando el nombre de usuario y

contraseña almacenados en la credencial denominada

##xp_cmdshell_proxy_account##. Si no existen estas credenciales de proxy,

xp_cmdshell fallará. Cree la credencial de cuenta de proxy ejecutando el siguiente

mandato:

Este usuario debe tener derechos log on as a batch job y permisos de control total en el

directorio donde se almacenan las trazas (diríjase a la sección 4.3.1 - Dar Derechos de Iniciar Sesión como Proceso por Lotes en la página 13).

Los SQL Audit ThinAgents también llevan a cabo operaciones para comprobar si existe un archivo en el

sistema y eliminar archivos temporales antiguos donde se almacenaron eventos. Esto se realiza

ejecutando el procedimiento almacenado avanzado xp_cmdshell, el permiso para el cual se otorga

por defecto a los miembros del rol fijo del servidor sysadmin pero puede otorgarse a otros usuarios.

Es importante tener en cuenta que cuanto se utiliza una cuenta Windows NT que no es miembro del

grupo de administradores locales del servicio MSSQLServer, los usuarios que no son miembros del rol

fijo del servidor sysadmin no pueden ejecutar xp_cmdshell.

USE [master]

GRANT ALTER ON SCHEMA :: [dbo] TO [tango_user]

GRANT SELECT ON SCHEMA :: [dbo] TO [tango_user]

GRANT INSERT ON SCHEMA :: [dbo] TO [tango_user]

GRANT UPDATE ON SCHEMA :: [dbo] TO [tango_user]

GRANT DELETE ON SCHEMA :: [dbo] TO [tango_user]

GRANT EXECUTE ON [master].[sys].[xp_cmdshell] TO [tango_user]

GRANT EXECUTE ON [master].[dbo].[sp_trace_setfilter] TO [tango_user]

GRANT EXECUTE ON [master].[dbo].[sp_trace_create] TO [tango_user]

GRANT EXECUTE ON [master].[dbo].[sp_trace_setevent] TO [tango_user]

GRANT EXECUTE ON [master].[dbo].[sp_trace_setstatus] TO [tango_user]

GRANT EXECUTE ON [master].[dbo].[xp_fileexist] TO [tango_user]

GRANT CREATE PROCEDURE TO [tango_user]

GRANT CREATE TABLE TO [tango_user]

GRANT ALTER TRACE TO [tango_login]

CREATE CREDENTIAL [##xp_cmdshell_proxy_account##] WITH IDENTITY = N'DOMAIN\USER', SECRET = N'PASSWORD'



4.3.1 Dar Derechos de Iniciar Sesión como Proceso por LotesEs necesario añadir algunos permisos al nuevo usuario asignado a las credenciales de proxy para que

pueda iniciar la sesión como un proceso por lotes. Esto se realiza en la directiva local de la maquina

que va a monitorizar.

Para otorgar los privilegios “Iniciar sesión como proceso por lotes” a un usuario:

Paso 1. Abra el servidor SQL deseado.

Paso 2. Haga clic sobre Configuración de seguridad y seleccione Directivas locales.

Después haga clic sobre Asignación de derechos de usuario.

Paso 3. Abra Iniciar sesión como proceso por lotes, y añada el usuario que ha asignado a

las credenciales de proxy ##xp_cmdshell_proxy_account##. Haga clic sobre

Aplicar, y pulse Aceptar.

4.3.2 Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2005SQL Server 2005 ha sufrido varias mejoras de seguridad, una de las cuales es prohibir a cualquier

usuario la ejecución del procedimiento almacenado xp_cmdshell. Los SQL Server Security Agents

utilizan este procedimiento almacenado, y por lo tanto debe habilitarse.

Para habilitar el procedimiento almacenado xp_cmdshell:

Paso 1. En la barra de tareas pulse el menú Inicio, seleccione Todos los programas >

Microsoft SQL Server 2005 > Herramientas de Configuración, y a continuación

pulse Configuración de Área de Superficie de SQL Server para lanzar la

herramienta de configuración de área de superficie.

Existen instrucciones detalladas en:

http://msdn2.microsoft.com/en-us/library/ms173748.aspx

Paso 2. Pulse la opción Configuración de Área de Superficie para Características

Más información disponible en:


Nota Esto es sólo aplicable a SQL Server 2005 y versiones posteriores (no a SQL Server 2000).





Figura 6 – Utilidad de Configuración de Área de Superficie – Opción Configuración de Área de Superficie para Características

Paso 1. Seleccione xp_cmdshell y marque la casilla Habilitar xp_cmdshell.

Figura 7 – Configuración de Área de Superficie en SQL Server 2005– procedimiento para habilitar xp_cmdshell

4.3.3 Habilitar el Procedimiento Almacenado xp_cmdshell - SQL Server 2008Para habilitar el procedimiento xp_cmdshell en SQL Server 2008, debe ejecutar las siguientes

sentencias:



4.4 Cambiar la Configuración de un Origen de DatosMientras un origen de datos está ocupado recuperando datos de una traza existente, el usuario puede

realizar cambios en la configuración del origen de datos, pero estos cambios no se aplicarán hasta que

el origen de datos haya completado la recuperación de todos los datos.

De todas maneras, el usuario puede forzar que los cambios en la configuración tengan efecto

inmediato, deteniendo y reiniciando el monitor adjunto al Origen de Datos. Sólo una vez que los ambos

se hayan aplicado, se mostrarán los nuevos valores al editar la configuración del origen de datos.

El forzar los cambios puede ser útil en situaciones específicas, por ejemplo si la recolección de eventos

es continua y se genera una gran cantidad de eventos. En esta situación es imposible aplicar cambios

en la configuración del origen de datos e incluir cualquier Nuevo filtro para mejorar la situación

siguiendo las reglas normales de actualización de la configuración de un origen de datos. En este caso

es mejor forzar los cambios para corregir la situación.

4.5 Eliminar TrazasExisten muchas situaciones en las cuales una traza continua ejecutándose y en la que no es posible

eliminarla de ThinkServer. Por ejemplo, cuando ThinkServer es desinstalado en el cliente o se produce

un error al eliminar el origen de datos; la traza puede continuar ejecutándose mientras el usuario se

queda sin opciones normales para eliminarla.

Para asegurar que las trazas no continúan ejecutándose en el sistema de forma no intencionada, se

han añadido dos ThinAgents para comprobar qué trazas se están ejecutando en el servidor (Traces on

SQL Server 2000 y Traces on SQL Server 7).

Deberá saber cómo eliminar trazas no deseadas y evitar que estas trazas se reinicien en el próximo

arranque de SQL Server.

-- Para permitir que se cambien las opciones avanzadas.

EXEC sp_configure 'show advanced options', 1

GO

-- Para actualizar el valor configurado actual para opciones avanzadas.

RECONFIGURE

GO

-- Para habilitar la funcionalidad.

EXEC sp_configure 'xp_cmdshell', 1

GO

-- Para actualizar el valor configurado actualmente para esta funcionalidad.

RECONFIGURE

GO

Nota Deben ejecutarse las siguientes consultas sólo en situaciones de emergencia. Es

importante mantener la consistencia entre los orígenes de datos en ThinkServer y las trazas

ejecutándose en el servidor.



4.5.1 Eliminar Trazas en SQL Server 2000, 2005 y 2008Para eliminar trazas en SQL Server 2000, 2005 o 2008:

Paso 1. Recupere la lista de trazas en ejecución en SQL Server ejecutando la consulta:

SELECT * FROM ::fn_trace_getinfo(default) where property = 2

Con esta consulta recupera los nombres e identificadores de las trazas en ejecución en

el SQL Server

Paso 2. Ejecute las siguientes consultas en cada identificador de traza para detener las trazas

en ejecución en el servidor

EXEC master..sp_trace_setstatus TraceIdentifier, 0

EXEC master..sp_trace_setstatus TraceIdentifier, 2

Paso 3. Esta consulta muestra la información de las trazas que se arrancarán al reiniciar SQL

Server.

SELECT tracename, traceid FROM tango_traces

Paso 4. Elimine la información de las trazas que no deberían reiniciarse de la tabla

tango_traces

DELETE from tango_traces where traceid = TraceIdentifier

4.5.2 Eliminar Trazas en SQL Server 7

Para eliminar trazas en SQL Server 7:

Paso 1. Para recuperar la lista de trazas en ejecución en SQL Server ejecute la consulta:

EXEC master..xp_trace_enumqueuehandles

Esta consulta devuelve la lista de identificadores de traza que se están ejecutando en

el servidor

EXEC master..xp_trace_getqueuedestination TraceIdentifier, 4

Esta consulta devuelve la tabla donde la traza guarda datos temporales.

Paso 2. Para destruir las traza que se ejecutan en el servidor, ejecute la consulta:

EXEC master..xp_trace_destroyqueue TraceIdentifier

Paso 3. Para listar las definiciones de trazas en el servidor que se reiniciarán la próxima vez

que se arranque el SQL Server ejecute la consulta:

EXEC master..xp_trace_enumqueuedefname 1

Esta consulta devuelve la lista de identificadores de traza que se están ejecutando en

el servidor

Paso 4. Para eliminar las definiciones de las colas de manera que la próxima vez que arranque

SQL Server estas trazas no se vuelvan a crear, ejecute la consulta:

EXEC master..xp_trace_deletequeuedefinition 'TraceName', 1

4.6 Eventos en Tiempo RealLos SQL Audit ThinAgents reciben eventos a los que están suscritos en el orden en que se generan. Si

hay muchos eventos pendientes de procesarse en el servidor, puede pasar mucho tiempo hasta que un



evento llegue a ThinkServer y que pueda activar una alarma. Esto subraya la importancia de configurar

los filtros apropiados en el origen de datos así como en el monitor.

Si la capacidad de leer eventos de ThinkServer es inferior a la capacidad de SQL Server de generar

eventos, se producirá un desfase creciente en el procesamiento de eventos, que puede acabar en un

colapso de la capacidad de almacenamiento del servidor.

En SQL Server 2000, en el que los eventos se almacenan en un buffer de memoria de SQL Server

antes de almacenarse en los archivos utilizados por ThinkServer para procesarlos, pueden producirse

problemas si sólo se generan unos pocos eventos. En este caso puede ser necesario mucho tiempo

para que se llene el buffer, liberando los eventos a los archivos de ThinkServer para su procesamiento.

Cuando ThinkServer detecta que no se ha recuperado ningún dato en 10 iteraciones consecutivas,

fuerza al buffer de SQL Server a escribir en el archivo, de manera que ThinkServer pueda procesar los

eventos. Tenga en cuenta que por defecto, este delay es de sólo 10 minutos (10 iteraciones con un

refresco de 60 segundos). Este delay cambia de acuerdo con si configuración del tiempo de refresco en

un origen de datos.


ThinAgents

Capítulo 5 5 ThinAgents

Todos los ThinAgents están basados en el SQL Auditing (Generic) ThinAgent, pero cada ThinAgent

tiene una configuración específica para ayudarle a que pueda comenzar a monitorizar de inmediato.

Desde luego, puede cambiar las configuraciones por defecto de los ThinAgents o usar el SQL Auditing

(Generic) ThinAgent para configurar monitores que se adapten a sus necesidades de negocio

específicas.

Los SQL Server ThinAgents disponibles actualmente son:

• SQL Server Database Files Auditing

• SQL Server Errors and Warnings

• SQL Server Locks Auditing

• SQL Server Object Changes

• SQL Server Scans Auditing

• SQL Server Security Auditing

• SQL Auditing Monitor (Generic)

• SQL Estado del servidorments Auditing

• SQL Server Stored Procedures Auditing

• SQL Server Transaction Auditing

• SQL Server User Auditing

Los siguientes des ThinAgents, basados en el Data Adapter ThinAgent, son peticiones de base de

datos para saber qué trazas se están ejecutando en el servidor.

• Traces on SQL Server 2000

• Traces on SQL Server 7

5.1 Eventos y CamposLos ThinAgents recuperan su información del origen de dato. Puede ver los campos y eventos por

defecto disponibles para un monitor en la pestaña Advanced Data Source Configuration de la

configuración de origen de datos. Aquí puede seleccionar qué eventos y campos desea que recupere el

origen de datos, o añadir más eventos y campos para adaptarlo a las necesidades de su organización.


ThinAgents

Los eventos y campos que puede recuperar un origen de datos varían según el ThinAgent. Cada

ThinAgent y los eventos y campos que recupera se describen individualmente en los capítulos 10 a 15

de este documento.

Además de los campos específicos de cada ThinAgent, existe un número de campos comunes que se

recuperan por defecto para cada ThinAgent. Estos campos se listan en la siguiente tabla.

Campo Descripción

Application Name

Nombre de la aplicación cliente que ha creado la conexión a una ins-tancia de SQL Server. Esta columna se llena con los valores que pasa la aplicación, en lugar de con el nombre que se muestra del programa.

ClientProcessID

ID asignado por el host al proceso donde se está ejecutando la apli-cación cliente. Este dato se completa si el cliente proporciona el ID de proceso.

DatabaseID

ID de la base de datos especificada por la sentencia USE database o la base de datos por defecto si no se ha ejecutado una sentencia USE database para una instancia dada. SQL Profiler muestra el nombre de la base de datos si la columna de datos Server Name es capturada en la traza y el servidor está disponible. Determine el valor para una base de datos utilizando la función DB_ID.

DBUserName Nombre de usuario de SQL Server del cliente.

EventClass Tipo de clase de evento capturado.

EventSubClass

Tipo de subclase de evento, que proporciona más información sobre cada clase de evento. Por ejemplo, los valores de subclase de evento para la clase de evento Execution Warning son:

1 = Query wait. La consulta debe esperar por recursos (por ejemplo memoria) antes de que pueda ejecutarse.

2 = Query time-out. La consulta sobrepasó el time out mientras esperaba los recursos necesarios para ejecutarse.

Esta columna de datos no se completa para todas la clases de even-tos.

HostName

Nombre del PC en el cual se está ejecutando el cliente. Esta columna de datos se completa si el cliente proporciona el nombre de host. Para determinar el nombre de host, use la función HOST_NAME.

LoginSid

Número de identificación de seguridad (SID) del usuario conectado. Puede encontrar esta información en la tabla sysxlogins de la base de datos master. Cada SID es único para cada inicio de sesión en el servidor.

NTDomainName

Dominio Microsoft Windows NT® 4.0 o Windows 2000 al cual perte-nece el usuario.

NTUserName Nombre de usuario en Windows NT 4.0 o Windows 2000.

ServerName Nombre de la instancia de SQL Server que está siendo trazada.

SPIDID de proceso de Servidor asignado por SQL Server al proceso aso-ciado con el cliente.

StartTime Hora en la que se inició el evento, cuando esté disponible.

TextData Texto de la sentencia en el procedimiento almacenado.


ThinAgents

Además de los campos proporcionados por las trazas de SQL Server, hemos añadido un conjunto de

variables descriptivas que ayudan a los usuarios a comprender el significado de cada evento y detallar

la información principal relacionada con él.

Muchos de los nombres de las variables no son intuitivos para el usuario. Y en algunos casos una

variable con el mismo nombre puede significar algo completamente diferente dependiendo del evento

del que se recupera.

Es muy importante comprender el significado de cada variable para crear filtros más inteligentes para

sus orígenes de datos y monitores.

Campo Descripción

EventDescription

Breve descripción del evento SQL Server

EventInfo Información sobre la clase del Evento SQL Server

EventOriginInformación sobre el usuario responsable (cuando está disponible) para este evento de SQL Server

EventPerfInformación sobre los recursos (cuando está disponible) utilizados por SQL Server relacionados con este evento

EventTextInformación de texto relacionada con este evento de SQL Server. Es normalmente el texto de una consulta TSQL

EventTime Time stamp de la acción descrita por este Evento de SQL Server


SQL Server Database Files Auditing ThinAgent (v2000 y Posteriores)

Capítulo 6 6 SQL Server Database Files Auditing ThinAgent

(v2000 y Posteriores)

Con el monitor SQL Server Database Files Auditing puede registrar toda la actividad relacionada con el

crecimiento automático o la reducción de archivos de datos y log.

6.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos:

Encontrará estos eventos en la pestaña Advanced Data Source Configuration de la configuración del

origen de datos. Aquí puede seleccionar qué eventos desea que recupere el origen de datos.

6.2 CamposEn la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los

campos a recuperar cuando se actualiza el monitor. Ahí puede seleccionar qué campos desea que

recupere el origen de datos. Tenga en cuenta que los campos disponibles son diferentes para cada

Evento. Diríjase a la sección 6.3 - Campos por Evento en la página 22 para más detalles.

• EventClass

• StartTime

• EndTime

Evento Descripción

DataFileAutoGrow

Indica que el archivo de datos ha crecido automáticamente. Este evento no se desencadena si se aumentó explícitamente el archivo de datos mediante la instrucción ALTER DATABASE.

DataFileAutoShrink

Indica que el archivo de datos se ha reducido.

LogFileAutoGrowIndica que el archivo de registro creció automáticamente. Este evento no se desencadena si el archivo de registro se aumentó explícitamente mediante ALTER DATABASE.

LogFileAutoShrink

Indica que el archivo de registro se ha reducido automáticamente.


SQL Server Database Files Auditing ThinAgent (v2000 y Posteriores)

• Duration

• FileName

6.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Database

Files Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la

configuración de ThinkServer.

Evento Data File Auto Grow

EventClass Tipo de evento registrado = 92.

EndTime La hora en la que finalizó el auto-crecimiento del archivo de datos.

DurationLa cantidad de tiempo (en milisegundos) necesaria para extender el archivo.

FileName El nombre lógico del archivo extendido.

IntegerDataEl número de páginas de 8-kilobytes (KB) en las que se incrementó el archivo.

Evento Data File Auto Shrink


EndTime Hora de finalización de la reducción automática.

Duration Tiempo (en milisegundos) necesario para reducir el archivo.

FileName Nombre lógico del archivo que se va a reducir.

IntegerData Número de páginas de 8 KB en las que se redujo el archivo.

Evento Log File Auto Grow


EndTimeHora de finalización del crecimiento automático del archivo de registro.

Duration Tiempo (en milisegundos) necesario para ampliar el archivo.

FileName Nombre lógico del archivo que se va a ampliar.

IntegerData Número de páginas de 8 KB en las que se incrementa el archivo.

Evento Log File Auto Shrink


EndTime Hora de finalización de la reducción automática.


SQL Server Errors and Warnings ThinAgent

Capítulo 7 7 SQL Server Errors and Warnings ThinAgent

Con este ThinAgent puede monitorizar todos los eventos relacionados con mensajes de error y aviso

generados por el servidor. Tenga en cuenta que algunos de estos eventos indican que hay un problema

en el sistema SQL Server, mientras que otros son únicamente informativos.


Evento Descripción

AttentionIndica que ha ocurrido un evento de atención, como conexio-nes de cliente interrumpidas, solicitudes de interrupción de cliente o cancelaciones.

ServiceControlSe produce cuando se modifica el estado del servicio SQL Server.

EventLogIndica que se han registrado eventos en el log de3 Aplicacio-nes de Microsoft Windows NT.

ErrorLogIndica que se han registrado eventos de error en el log de errores de SQL Server.

Exception Indica que se produjo una excepción en SQL Server.

Hash Warning

Indica que una operación de hashing (por ejemplo, hash join, hash aggregate, hash union, y hash distinct) que no se está procesando en una partición del buffer ha vuelto a un plan alternativo. Esto puede producirse por recursion depth, data skew, trace flags, o bit counting.

Auto Update StatsIndica que se ha producido una actualización automática de estadísticas de índice.

OLE DB Errors Indica que se ha producido un error OLE DB.

Execution WarningsIndica las advertencias de concesión de memoria que han tenido lugar durante la ejecución de una instrucción o proce-dimiento almacenado de SQL Server.

Sort Warnings

Indica que las operaciones de orden no caben en la memo-ria. Esto no incluye aquellas operaciones de orden que impli-can la creación de índices, sólo las operaciones de orden dentro de una consulta (como las de una cláusula ORDER BY en una instrucción SELECT).








Evento. Diríjase a la sección 7.3 - Campos por Evento en la página 24.

• EventClass

• EventSubClass

• ClientHostName

• SQLSecurityLoginName

• TextData

• NTUserName

• NTDomainName

• StartTime

• EndTime

• ServerName

• DatabaseID

• ClientProcessID

• ApplicationName

7.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server User

Activity Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la


Missing Column Statistics

Indica que las estadísticas de la columna que podrían haber resultado útiles para el optimizador no están disponibles.

Missing Join Predicate

Indica que se está ejecutando una consulta que no tiene nin-gún predicado de combinación. Esto podría dar como resul-tado una consulta de ejecución prolongada.

Server Memory Change

La utilización de memoria de MicrosoftSQL Server ha aumentado o ha disminuido 1 megabyte (MB) o el 5 por ciento de la memoria máxima del servidor, el valor que sea más alto.

Evento Descripción

Evento Attention

EventClass Tipo de evento registrado = 16



Evento Service Control


Evento ErrorLog


Error Número de error.

Severity Severidad del error generado.

TextData Texto del mensaje de error.

Evento EventLog


BinaryDataValor binario dependiente de la clase de evento capturado en la traza.


Severity Severidad del error.

TextData Texto del mensaje de error, si está disponible.

Evento Exception



State Estado del servidor.

Severity Severidad del error.

Evento Hash Warning


EventSubClass

Tipo de operación hash. Puede tener los siguientes valo-res:

0 = Repetición.

1 = Cese de hash.

IntegerData Nivel de recursividad (sólo recursividad hash).

ObjectIDId. del nodo de la raíz del equipo de hash implicado en la nueva creación de particiones.

Evento Auto Update Stats




Evento OLE DB Errors


TextData Mensaje de error de OLE DB.

Evento Execution Warnings


EventSubClass

Tipo de execution warning. Puede tener los siguientes valores:

1 = Espera de consulta. La consulta debe espera por recursos (por ejemplo, memoria) antes de poder ejecu-tarse.

2 = Tiempo de espera de consulta. La consulta consumió el tiempo de espera para los recursos necesarios para eje-cutarse.


Evento Sort Warnings


EventSubClass

Tipo de sort warning. Puede tener los siguientes valores:

1 = Paso único. Cuando la tabla de orden se escribió en disco, sólo fue necesario pasar una vez por los datos para obtener la salida ordenada.

2 = Varios pasos. Cuando la tabla de orden se escribió en disco, fue necesario pasar varias veces por los datos para obtener la salida ordenada.

Evento Missing Column Statistics


TextData Lista de las columnas de las que faltan estadísticas.

Evento Missing Join Predicate


Evento Server Memory Change



SQL Server Locks Auditing ThinAgent

Capítulo 8 8 SQL Server Locks Auditing ThinAgent

Use este ThinAgent para monitorizar bloqueos causados por usuarios y aplicaciones que utilizan la

misma base de datos. Para mejores resultados, personalice este ThinAgent para auditar una base de

datos específica.


Es posible suscribir los siguientes eventos, aunque no recomendamos hacerlo debido a la gran

cantidad de flujo de datos generada. Tenga también en cuenta que es normal que estos eventos se

produzcan para casi todas las consultas ejecutadas en el sistema.

Evento Descripción

Lock:DeadlockDos transacciones concurrentes se han bloqueado la una a la otra al intentar obtener bloqueos no compatibles en recursos que posee la otra transacción.

Lock:CancelIndica que se ha cancelado la adquisición de un bloqueo de un recurso (por ejemplo, debido a la cancelación de una consulta).

Lock:Timeout

Indica que una solicitud de bloqueo de un recurso, como una página, ha agotado el tiempo de espera debido a que existía otra transacción que mantenía un bloqueo de cierre en el recurso necesario. El tiempo de espera está determinado por la función del sistema @@LOCK_TIMEOUT y se puede establecer con la ins-trucción SET LOCK_TIMEOUT.

Lock:Deadlock Chain

Este evento se produce para cada participante en un interblo-queo.

Lock:EscalationIndica que un bloqueo específico se ha convertido en un bloqueo general (por ejemplo, un bloqueo de fila se ha convertido en un bloqueo de página).

Evento Descripción

Lock:ReleasedIndica que se ha liberado un bloqueo en un recurso, por ejemplo una página.

Lock:AcquiredIndica que se ha logrado la adquisición de un bloqueo en un recurso, por ejemplo una página de datos.





8.2 Campos En la pestaña Advanced de la Configuración del Origen de Datos encontrará una sección con los




• EventClass

• ObjectID

• Mode

• Duration

• StartTime

• EndTime

• IntegerData

• BinaryData

8.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Locks

Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la


Evento Lock:Released


BinaryData Tipo de recurso.

EndTime Hora de finalización del evento.

DurationTiempo de espera entre que se produjo la petición de bloqueo y se liberó el bloqueo

ObjectID Id. asignado por el sistema del objeto que se ha liberado.

IndexID ID del índice, si el objeto bloqueado estaba en un índice.

Evento Lock:Acquired


ModeModo resultante, como intención exclusiva, tras adquirir el blo-queo.



DurationTiempo (en microsegundos) entre el envío de la solicitud de blo-queo y la adquisición del mismo.



ObjectID Id. del objeto en el que se ha adquirido el bloqueo.


Evento Lock:Deadlock


Mode Modo de bloqueo del bloqueo que disparó el deadlock.


EndTime Hora a la que finalizó el interbloqueo.

IntegerDataNúmero de interbloqueo. Los números se asignan empezando desde 0 cuando se inicia el servidor y se incrementan para cada interbloqueo.

DurationTiempo (en microsegundos) transcurrido entre la hora de emisión de la solicitud de bloqueo y la hora en la que se ha producido el interbloqueo.

ObjectID Id. del objeto en conflicto.


Evento Lock:Cancel


Mode Modo de bloqueo del bloqueo cancelado.



DurationTiempo (en microsegundos) entre el envío de la solicitud de blo-queo y la cancelación del mismo.

ObjectID Id. del objeto en el que se ha cancelado el bloqueo.


Evento Lock:Timeout


ModeModo de bloqueo del bloqueo solicitado que consumió el tiempo de espera.



DurationTiempo (en microsegundos) entre el envío de la solicitud de blo-queo y la superación del tiempo de espera del mismo.

ObjectID Id. del objeto que ha superado el tiempo de espera.

Evento Lock:Acquired




Evento Lock: Deadlock Chain


Mode Modo de bloqueo de cada bloqueo en la deadlock chain.


IntegerDataNúmero de interbloqueo. Los números se asignan a partir de 0 cuando se inicia el servidor y se incrementan para cada interblo-queo.

ObjectID Id. del objeto bloqueado.


Evento Lock: Escalation


ObjectID Id. Del objeto para el que se inició la ampliación del bloqueo.


Mode Modo de bloqueo del bloqueo después del escalamiento.

Evento Lock:Timeout


SQL Server Object Changes ThinAgent

Capítulo 9 9 SQL Server Object Changes ThinAgent

Con este ThinAgent puede monitorizar todos los cambios en objetos de base de datos, por ejemplo:

• Monitorizar la creación o destrucción de objetos de base de datos, como índices, tablas o

bases de datos

• Monitorizar la ejecución de transacciones SELECT, INSERT, y UPDATE, entre otras.




Evento Descripción

DOP EventSe produce antes de que se ejecute una sentencia SELECT, INSERT, o UPDATE.

Object:CreatedIndica que se ha creado un objeto; por ejemplo, por parte de la instrucción CREATE INDEX, la instrucción CREATE TABLE o la instrucción CREATE DATABASE.

Object:DeletedIndica que se ha eliminado un objeto; por ejemplo, mediante instrucciones DROP INDEX y DROP TABLE.

Audit Statement Permission

Se produce cuando se utiliza un permiso de instrucción (como CREATE TABLE).

Audit Object PermissionSe produce cuando se utiliza un permiso de objeto (como SELECT), ya sea satisfactoriamente o no.

Audit Backup/ RestoreSe produce cuando se emite un comando BACKUP o RESTORE.

Audit DBCC se produce cuando se emite un comando DBCC

Audit Object Derived Permission

Registra cuándo se envía un comando CREATE, ALTER o DROP para un objeto.






Evento. Diríjase a la sección 9.3 - Campos por Evento en la página 32para más detalles.

• EventClass

• EventSubClass

• ClientHostName


• TextData

• NTUserName

• NTDomainName

• StartTime

• EndTime

• ServerName

• DatabaseID

• ClientProcessID

• ApplicationName


Activity Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se

presentan en la configuración de ThinkServer.

Evento DOP


EventSubClass

Si está trazando un servidor Microsoft® SQL Server™ 2000, Event Sub Class puede tener los siguientes valores, que reflejan el tipo de sentencia:

1 = Select

2 = Insert

3 = Update

4 = Delete

BinaryDataDato binario proporcionado, que es el número de CPU utilizadas para completar el proceso.

IntegerData Páginas utilizadas en memoria para el plan de consulta

Evento Object:Created




ObjectType Tipo del objeto creado.

ObjectName Nombre del objeto creado

ObjectID ID del objeto creado.

IndexID ID del índice, si se creó un índice.

Evento Object:Deleted


ObjectType Tipo del objeto borrado

ObjectName Nombre del objeto borrado.

ObjectID ID del objeto borrado

IndexID ID del índice, si se borró un índice.

Evento Audit Statement Permission


Success

Éxito o fallo del indicador de auditoría. Los valores son:

0 = error

1 = correcto

EventSubClassClase de evento dentro del evento. El valor es:

Siempre = 1

DatabaseName Nombre de la base de datos en la cual se ha ejecutado el mandato.

DBUserNameEl nombre de usuario que produce la incidencia en la base de datos.

Permissions

Tipo de sentencia con incidencia. Los valores son:

1 = CREATE DATABASE (sólo base de datos maestra)

2 = CREATE TABLE

4 = CREATE PROCEDURE

8 = CREATE VIEW

16 = CREATE RULE

32 = CREATE DEFAULT

64 = BACKUP DATABASE

128 = BACKUP LOG

512 = CREATE FUNCTION

TextData Valor de texto dependiente de la clase de evento capturado.

Evento Audit Object Permission


Evento Object:Created



Success


0 = error

1 = correcto


Siempre = 1



OwnerNameNombre de usuario de la base de datos del propietario del objeto que se va a crear, modificar o quitar.

Evento Audit Backup/Restore


Success


0 = error

1 = correcto

EventSubClass

Clase de evento dentro del evento. Los valores son:

1 = Backup

2 = Restore



TextDataTexto SQL de la instrucción para realizar una copia de seguridad o una restauración.

Evento Audit DBCC


Success


0 = error

1 = correcto


Siempre = 1



TextData Texto SQL del mandato DBCC.

Evento Audit Object Derived Permission

Event Class Tipo de evento registrado = 118.




Success


0 = error

1 = correcto

EventSubClass


1 = crear objeto

2 = modificar objeto

3 = quitar objeto

DatabaseNameNombre de la base de datos en que se ejecuta la instrucción del usuario.


ObjectType

Tipo de objeto creado, modificado o quitado. Los valores son:

1 = Índice

2 = Base de datos

3 = Objeto de usuario

4 = Restricción CHECK

5 = Restricción DEFAULT o valor predeterminado

6 = Restricción FOREIGN KEY

7 = Restricción PRIMARY KEY

8 = Procedimiento almacenado

9 = Función definida por el usuario (UDF)

10 = Regla

11 = Procedimiento de filtro de replicación

12 = Tabla de sistema

13 = Desencadenador

14 = Función inline

15 = Tabla definida por el usuario

16 = Restricción UNIQUE

17 = Tabla de usuario

18 = View

19 = Procedimiento almacenado extendido

20 = Consultas ad hoc

21 = Consultas preparadas

22 = Estadísticas

ObjectName Nombre del objeto que se va a crear, modificar o quitar.


TextData El texto SQL de la sentencia.



SQL Server Scans Auditing ThinAgent

Capítulo 10 10 SQL Server Scans Auditing ThinAgent

El SQL Server Scans Auditing Monitor le permite auditor todos los recorridos de índice (scans)

producidos en una tabla o índice particular. Puede personalizar este ThinAgent para una tabla

específica, o una consulta específica.

Tenga en cuenta que los scans son operaciones comunes realizadas en la base de datos por la

mayoría de consultas. Una sentencia count, una sentencia select *, o un select condicionado por un

campo no indexado producen que se inicie un scan.

Debería intentar reducir el número de scans tanto como sea posible, pero en muchas consultas son

inevitables.








• EventClass

• StartTime

• Duration

• Mode

• EndTime

Evento Descripción

Scan:Started Tiene lugar cuando se inicia un recorrido de índice o de tabla.

Scan:Stopped Tiene lugar cuando se detiene el recorrido de una tabla o índice.



• Reads

• TransactionID

• Success

• ObjectID

• IndexID

10.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Scans

Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la


Evento Scan:Started


Mode

Modo de scan. Son posibles los siguientes valores:

1 = Normal

2 = First

4 = Back

8 = Unordered

16 = No data

32 = Reserved

64 = Exlatch

128 = Index supplied

256 = Marker

ObjectID Id. del objeto que se está recorriendo.

IndexID Índice que se está recorriendo (si es un índice).

TransactionID Id. de la transacción asignado por el sistema.

Evento Scan:Stopped


Mode

Modo que se utilizó para realizar el scan. Son posibles los siguientes valores:

1 = Normal

2 = First

4 = Back

8 = Unordered

16 = No data

32 = Reserved

64 = Exlatch

128 = Index supplied

256 = Marker


Duration Duración del scan.



Reads Número de páginas leídas (lógicamente).

IndexID Índice que se está recorriendo, si se está escaneando un índice.

ObjectID Identificador del objeto que se está recorriendo.

Evento Scan:Stopped


SQL Server Security Auditing ThinAgent (v7)

Capítulo 1111 SQL Server Security Auditing ThinAgent (v7)

Con este ThinAgent puede monitorizar todos los eventos de auditoría de seguridad relacionados con la

administración de inicios de sesión, contraseñas, roles, permisos, y permisos de uso de objetos.


Es posible suscribir también los siguientes eventos, pero añaden muy poca información y en un

servidor con una carga de trabajo media pueden afectar negativamente al rendimiento de la base de

datos, así como su capacidad de almacenamiento. Le recomendamos que no los utilice si no son

necesarios.

Evento Descripción

SQL:StmtCompleted

Se ha completado una instrucción Transact-SQL.

SQL:StmtStarting

Se ha iniciado una instrucción Transact-SQL.

SQL:BatchStarting

Se está iniciando un lote Transact-SQL.

SQL:BatchCompleted

Se ha completado el lote Transact-SQL.

SP:StmtCompleted

Se ha completado una instrucción Transact-SQL en un procedi-miento almacenado.

SP:StmtStartingSe ha iniciado una instrucción Transact-SQL dentro de un proce-dimiento almacenado.

SP:Starting Un procedimiento almacenado va a comenzar a ejecutarse

SP:Completed El procedimiento almacenado ha terminado de ejecutarse

Evento Descripción

RPC:Starting Se ha iniciado una llamada a procedimiento remoto.









• EventClass

• ObjectID

• HostName

• EventSubClass

• TextData

• Duration

• StartTime

• EndTime

11.3 Campos por EventoEsta sección detalla los campos recuperados para cada evento del monitor SQL Server Security



RPC:Completed Se ha completado una llamada a procedimiento remoto.

Evento Descripción

Evento RPC:Starting


TextData Texto del RPC.

Evento RPC:Completed


EndTime Hora a la que finalizó la llamada a procedimiento remoto.

Duration Tiempo (en microsegundos) que tardó el RPC.

CPUCantidad de tiempo de CPU (en milisegundos) que utilizó el RPC

ReadsNúmero de lecturas de páginas emitidas por la llamada a procedimiento remoto.

WritesNúmero de escrituras de páginas emitidas por la llamada a procedimiento remoto.



TextData Texto de la llamada a procedimiento remoto.

Evento SQL:StmtCompleted


Duration Duración del evento.


ReadsNúmero de lecturas de páginas emitidas por la instrucción SQL.

WritesNúmero de escrituras en páginas emitidas por la instruc-ción SQL.

CPU La CPU utilizada por la instrucción SQL.

IntegerData Número de filas devueltas por la instrucción SQL.

ObjectIDID de objeto del procedimiento almacenado paterno, si la instrucción se ha ejecutado en un procedimiento almace-nado.

NestLevelNivel de anidamiento del procedimiento almacenado si la instrucción se ha ejecutado en un procedimiento almace-nado.

TextData Texto de la instrucción que se ha ejecutado.

Evento SQL:StmtStarting


ObjectIDID de objeto del procedimiento almacenado paterno, si la instrucción se ha ejecutado en un procedimiento almace-nado.

NestLevelNivel de anidamiento del procedimiento almacenado si la instrucción se ha ejecutado en un procedimiento almace-nado.

TextData Texto de la instrucción que se ha ejecutado.

Evento SQL:BatchStarting


TextData Texto del proceso por lotes.

Evento SQL:BatchCompleted







11.4 Filtros Útiles

ReadsNúmero de operaciones de E/S de lectura de páginas cau-sadas por el proceso por lotes.

WritesNúmero de operaciones de E/S de escritura de páginas causadas por el proceso por lotes.

CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el proceso por lotes.


Evento SP:StmtCompleted


NestLevel Nivel de anidamiento del procedimiento almacenado.

IntegerData Líneas devueltas por la instrucción.

ObjectID Id. del objeto asignado por el sistema.


Evento SP:StmtStarting





Evento SP:Starting



ObjectID Id. asignado por el sistema al procedimiento almacenado.

ObjectName Nombre del procedimiento almacenado que se inicia.

ObjectType Tipo de procedimiento almacenado que se inicia.

TextData Texto de la llamada del procedimiento almacenado.

Evento SP:Completed







DurationCantidad de tiempo que se ejecutó el procedimiento alma-cenado .

ObjectID ID de objeto del procedimiento almacenado.

ObjectName El nombre del procedimiento almacenado.

ObjectType Tipo de procedimiento almacenado al que se ha llamado.


Logical And

Field TextData

Operator Not like (excluir)

Value

'"-- network protocol: TCP/IP%";

"exec sp_MSadd_logreader%";

"exec sp_MSget_last_transaction%";

"exec sp_MSupdate_%";

"exec sp_replcmds %";

"exec sp_sproc_columns%";

"exec Iss_%"'

Evento SP:Completed


SQL Server Security Auditing ThinAgent (v2000 y posteriores)

Capítulo 1212 SQL Server Security Auditing ThinAgent

(v2000 y posteriores)

El SQL Server Security Auditing ThinAgent le permite monitorizar todos los eventos de auditoría de

seguridad relacionados con la gestión de inicios de sesión, contraseñas, roles, permisos, permisos de

uso de objetos, y más.


Evento Descripción

SP:StartingIndica que un procedimiento almacenado va a comenzar a ejecutarse

SP:CompletedIndica que el procedimiento almacenado ha ter-minado de ejecutarse

Audit Statement GDRRegistra eventos de permisos de sentencias GRANT, DENY, REVOKE.

Audit Object GDRRegistra eventos de permisos de objetos GRANT, DENY, REVOKE.

Audit Add/Drop LoginRegistra acciones ADD y DROP en inicios de sesión de SQL Server para sp_addlogin y sp_droplogin.

Audit Login GDR

Registra acciones GRANT, DENY, REVOKE en dere-chos de inicio de sesión para sp_grantlogin, sp_revokelogin, y sp_denylogin en Windows NT 4.0 o Windows 2000

Audit Login Change PropertyRegistra modificaciones en propiedades de inicio de sesión, excepto contraseñas para sp_defaultdb y sp_defaultlanguage.



Si estos ajustes generan demasiados eventos, puede reducirlos rápidamente aplicando un nuevo que

recupere sólo aquellos eventos con el valor de la variable Succes igual a Falso (0).







• EventClass

Audit Login Change Password

Registra cambios en cambios de contraseñas de SQL Server. Las contraseñas no se guardan. Si es miembro de los roles fijos de servidor sysad-min o securityadmin y resetea su contraseña uti-lizando sp_password con los tres argumentos especificados ('old_password', 'new_password', 'login'), el registro de auditoría reflejará que está cambiando la contraseña de otra persona.

Audit Add Login to Server RoleRegistra la adición o eliminación de inicios de sesión para o de un rol fijo del servidor para sp_addsrvrolemember y sp_dropsrvrolemember.

Audit Add DB User

Registra la adición o eliminación de usuarios de base de datos (Microsoft Windows NT® 4.0, Microsoft Windows® 2000, o Microsoft SQL Ser-ver™).

Audit Add Member to DB Role

Registra la adición o eliminación de miembros para o de un rol de base de datos (fijo o definido por el usuario) para sp_addrolemember, sp_droprolemember, and sp_changegroup.

Audit Add/Drop RoleRegistra acciones de añadido o eliminación en roles de base de datos para sp_addrole y sp_droprole.

App Role Pass Change (Audit App Role Change Password)

Registra cambios en la contraseña de una apli-cación.

Audit Statement PermissionRegistra cuando se utiliza un permiso de instruc-ción.

Audit Object PermissionRegistra el uso con éxito o no de permisos de objetos.

Audit Backup/Restore Registra eventos de BACKUP y RESTORE.

Audit DBCC Registra mandatos DBCC que se han producido.

Audit Change AuditRegistra modificación de un seguimiento de auditoría.

Audit Object Derived PermissionRegistra cuándo se envía un comando CREATE, ALTER o DROP para un objeto especificado.

Evento Descripción



• Permissions

• Target

• RoleName CPU

• Database Username

• Duration

• EventSubClass

• ColumnPermissionsSet

• TargetUserName

• ObjectName

• TargetLoginName

• StartTime

• Success

• TextData

• Reads

• ObjectType

• TargetLoginSID

• EndTime

• Database name

• HostName

• Writes




Evento SP:Starting









Evento SP:Completed




Duration Cantidad de tiempo que se ejecutó el procedimiento almacenado.

ObjectID Id. del procedimiento almacenado.

ObjectName Nombre del procedimiento almacenado.

ObjectType Tipo de procedimiento almacenado al que se ha llamado.


Evento Audit Statement GDR


Success


0 = error,

1 = correcto

EventSubClass


1 = GRANT,

2 = REVOKE,

3 = DENY

DatabaseName

Nombre de la base de datos a la que se aplica la sentencia de per-miso GRANT/DENY/REVOKE.

DBUserName El nombre de usuario que produce la incidencia en la base de datos.

Permissions


1 = CREATE DATABASE (sólo base de datos master),

2 = CREATE TABLE,

4 = CREATE PROCEDURE,

8 = CREATE VIEW,

16 = CREATE RULE,

32 = CREATE DEFAULT,

64 = BACKUP DATABASE,

128 = BACKUP LOG,


TextData Texto SQL de la sentencia GRANT/DENY/REVOKE.

Evento Audit Object GDR


Success


0 = error

1 = correcto



EventSubClass


1 = Grant,

2 = Revoke,

3 = Deny

DatabaseName Nombre de la base de datos a la que se ejecuta la sentencia de permiso GRANT/DENY/REVOKE.


OwnerNameNombre de usuario de la base de datos del propietario del objeto que es el destino de los permisos conceder, revocar o denegar.

ObjectName Nombre del objeto que es el destino de los permisos conceder, revocar o denegar.

Permissions


1 = SELECT ALL,

2 = UPDATE ALL,

4 = REFERENCES ALL,

8 = INSERT,

16 = DELETE,

32 = EXECUTE (sólo procedimientos)

ColumnPermissions

Indicador de configuración de un permiso de columna. Los valo-res son:

0 = No,

1 = Si

TextData Texto SQL de la sentencia GRANT/REVOKE/DENY.

Evento Audit Add/Drop Login


Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop

TargetLoginSID

Número de identificación de seguridad (SID) asignado al inicio de sesión añadido.

TargetLoginName

Nombre del inicio de sesión añadido.

Evento Audit Login GDR


Success


0 = error

1 = correcto




EventSubClass


1 = Grant

2 = Revoke

3 = Deny

TargetLoginSID

Número de identificación de seguridad (SID) del inicio de sesión Windows objetivo.

TargetLoginName

Nombre del inicio de sesión Windows de destino.

Evento Audit Login Change Property


Success


0 = error

1 = correcto

EventSubClass


1 = Base de datos predeterminada

2 = Idioma predeterminado

TargetLoginSIDNúmero de identificación de seguridad (SID) del inicio de sesión de destino.

TargetLoginName

Nombre del inicio de sesión de destino.

Evento Audit Login Change Password


Success


0 = error

1 = correcto

EventSubClass


1 = El usuario cambió su propia contraseña

2 = El usuario cambió la contraseña de otro usuario

TargetLoginSID Número de identificación de seguridad (SID) del inicio de sesión de destino.

TargetLoginName


Evento Audit Add Login to Server Role


Success


0 = error

1 = correcto




EventSubClass


1 = Add

2 = Drop


TargetLoginName


RoleName Nombre del rol al cual se ha añadido el inicio de sesión.

Evento Audit Add DB User


Success


0 = error

1 = correcto

EventSubClass


1 = sp_adduser

2 = sp_dropuser

3 = grantdbaccess

4 = revokedbaccess

DatabaseNameNombre de la base de datos en la que se va a agregar o quitar el nombre de usuario.


TargetLoginSID

SID del inicio de sesión Microsoft® Windows® objetivo.

TargetLoginName

Nombre del inicio de sesión Windows objetivo.

TargetUserName

Nombre del usuario de la base de datos que se va a agregar a la base de datos.

RoleNameNombre de un rol al cual se va añadir el Nuevo usuario de base de datos.

Evento Audit Add Member to DB


Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop






TargetLoginSID

SID del inicio de sesión objetivo.

TargetLoginName

Nombre del inicio de sesión al que se le está modificando la mem-bresía de rol.

TargetUserName

Nombre del usuario al que se le está modificando la membresía de rol.

Evento Audit Add/Drop Role


Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop

DatabaseName

Nombre de la base de datos en la cual se ha ejecutado el mandato.


RoleName Nombre del rol que se está creando en la base de datos.

Evento App Role Pass Change – Audit App Role Change Password


Success


0 = error

1 = correcto


Siempre = 1



RoleNameNombre de rol de la aplicación de base de datos cuyo contraseña se está cambiando.



Success


0 = error

1 = correcto

EventSubClass

Clase de evento dentro del evento. El valor es:

Siempre = 1




DatabaseName

Nombre de la base de datos en la cual se ha ejecutado el mandato.


Permissions


1 = CREATE DATABASE (sólo base de datos master)

2 = CREATE TABLE


8 = CREATE VIEW

16 = CREATE RULE

32 = CREATE DEFAULT


128 = BACKUP LOG





Success


0 = error

1 = correcto


Siempre = 1



OwnerNameNombre de propietario del objeto cuyos permisos se están compro-bando.

ObjectName Nombre del objeto cuyos permisos están siendo comprobados.

Permissions


1 = SELECT ALL

2 = UPDATE ALL

4 = REFERENCES ALL

8 = INSERT

16 = DELETE


ColumnPermissions

Indica si se han utilizado permisos de una columna. Parsee el texto de la sentencia para determinar qué permisos se aplicaron a cada columna







Success


0 = error

1 = correcto

EventSubClass


1 = Backup

2 = Restore



TextDataTexto SQL de la instrucción para realizar una copia de seguridad o una restauración.

Evento Audit DBCC


Success


0 = error

1 = correcto


Siempre = 1

DatabaseNameNombre de la base de datos en la cual se ha ejecutado el man-dato.


TextData Texto SQL del comando DBCC.

Evento Audit Change Audit


Success


0 = error

1 = correcto

EventSubClass


1 = auditoría iniciada

2 = auditoría detenida



Success


0 = error

1 = correcto




EventSubClass


1=Crear

2=Modificar

3=Quitar

DatabaseNameNombre de la base de datos en que se ejecuta la instrucción del usuario.


ObjectType

Tipo de objeto creado, modificado o quitado. Los valores son:

1 = Índice

2 = Base de datos

3 = Objeto de usuario

4 = Restricción CHECK

5 = Restricción DEFAULT o valor predeterminado

6 = Restricción FOREIGN KEY

7 = Restricción PRIMARY KEY

8 = Procedimiento almacenado

9 = Función definida por el usuario (UDF)

10 = Regla

11 = Procedimiento de filtro de replicación

12 = Tabla de sistema

13 = Desencadenador

14 = Función inline

15 = Tabla definida por el usuario

16 = Restricción UNIQUE

17 = Tabla de usuario

18 = Vista

19 = Procedimiento almacenado extendido

20 = Consultas ad hoc

21 = Consultas preparadas

22 = Estadísticas

ObjectName Nombre del objeto que se va a crear, modificar o quitar.


TextData El texto SQL de la sentencia.




12.4 Filtros Útiles

Logical And

Field TextData

Operator Not like (excluir)

Value

'"-- network protocol: TCP/IP%";

"exec sp_MSadd_logreader%";

"exec sp_MSget_last_transaction%";

"exec sp_MSupdate_%";

"exec sp_replcmds %";

"exec sp_sproc_columns%";

"exec Iss_%"'


SQL Server Audit (Generic) ThinAgent

Capítulo 13 13 SQL Server Audit (Generic) ThinAgent

VISUAL Message Center ThinkServer incorpora cierto número de SQL Server ThinAgents

preconfigurados, los cuales se basan en el Generic SQL Server Audit ThinAgent.

El Generic SQL Server ThinAgent es capaz de monitorizar todas las variables mencionadas en el resto

de ThinAgents y más. Puede utilizar este Generic ThinAgent para crear monitores para cualquier

necesidad especial de monitorización de SQL que pueda tener y que no esté cubierta por los SQL

ThinAgents preconfigurados.

13.1 Eventos RecuperadosLa configuración por defecto de este ThinAgent recupera los siguientes eventos en SQL Server 2000:

En SQL Server 7 recupera por defecto los siguientes eventos






Evento. Diríjase a la sección 13.3 - Campos por Evento en la página 57 para más detalles

• EventClass

• Permissions

• Target

Evento Descripción

Audit Change Audit Registra modificaciones de AUDITORIA.

Evento Descripción

TraceStart Registra un arranque de AUDITORIA

TraceStop Registra una parada de AUDITORIA


SQL Server Audit (Generic) ThinAgent

• RoleName CPU

• Database Username

• Duration

• EventSubClass

• ColumnPermissionsSet

• TargetUserName

• ObjectName

• TargetLoginName

• StartTime

• Success

• TextData

• Reads

• ObjectType

• TargetLoginSID

• EndTime

• Database name

• HostName

• Writes




Evento Audit Change Audit


Success


0 = correcto

1 = error

Event Sub Class


1=auditoría iniciada

2=auditoría detenida


SQL Server Statements Auditing ThinAgent

Capítulo 14 14 SQL Server Statements Auditing ThinAgent

Use este ThinAgent para monitorizar la ejecución y finalización de consultas, además de las consultas

Transact-SQL sometidas en modo por lotes (batch) o en una sentencia individual.







Evento. Diríjase a la sección 14.3 - Campos por Evento en la página 59 para más detalles

Evento Descripción

Exec Prepared SQL

Indica que SqlClient, ODBC, OLE DB o DB-Library ha ejecutado una o varias instrucciones Transact-SQL preparadas.

Prepare SQLIndica que SqlClient, ODBC, OLE DB o DB-Library tienen una instrucción o instrucciones Transact-SQL listas para ser utiliza-das.

SQL:BatchStarting

Indica que se está iniciando un lote Transact-SQL.

SQL:BatchCompleted

Indica que se ha completado el lote Transact-SQL.

SQL:StmtStarting Indica que se ha iniciado una instrucción Transact-SQL.

SQL:StmtCompleted

Indica que se ha completado una instrucción Transact-SQL.

Unprepare SQLIndica que SqlClient, ODBC, OLE DB o DB-Library ha cancelado (eliminado) la preparación de una o varias instrucciones Tran-sact-SQL preparadas.



• EventClass

• TextData

• Duration

• EndTime

• StartTime

• Reads

• Writes

• CPU

• Handle

• ObjectID

• NestLevel

14.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server TSQL

Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la


Evento Exec Prepared SQL


Handle Identificador de la instrucción SQL preparada.

Evento Prepare SQL


Handle Identificador de la instrucción SQL preparada.

Evento SQL:BatchStarting







ReadsNúmero de operaciones de E/S de lectura de páginas causadas por el proceso por lotes.

WritesNúmero de operaciones de E/S de escritura de páginas causadas por el proceso por lotes.



CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el pro-ceso por lotes.


Evento SQL:StmtStarting


ObjectIDID de objeto del procedimiento almacenado paterno, si la sentencia SQL se ejecutó en un procedimiento almacenado.

NestLevelNivel de anidamiento del procedimiento almacenado si la instruc-ción SQL se ha ejecutado en un procedimiento almacenado.

TextData Texto de la instrucción que se va a ejecutar.

Evento SQL:StmtCompleted




Reads Número de lecturas de páginas emitidas por la instrucción SQL.

Writes Número de escrituras en páginas emitidas por la instrucción SQL.

CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el evento.

IntegerData Número de filas devueltas por la instrucción.

ObjectIDID de objeto del procedimiento almacenado paterno, si la senten-cia SQL se ejecutó en un procedimiento almacenado.

NestLevelNivel de anidamiento del procedimiento almacenado si la instruc-ción SQL se ha ejecutado en un procedimiento almacenado.

TextData Texto de la instrucción ejecutada.

Evento Unprepare SQL


Handle Identificador de la instrucción Transact-SQL preparada.



SQL Server Stored Procedures Auditing ThinAgent

Capítulo 15 15 SQL Server Stored Procedures Auditing ThinAgent

El monitor SQL Server Stored Procedures Auditing le permite registrar todos los procedimientos

almacenados ejecutados en un SQL Server.


Es posible suscribir también los siguientes eventos, pero añaden muy poca información y en un

servidor con una carga de trabajo media pueden afectar negativamente al rendimiento de la base de

datos, así como su capacidad de almacenamiento. Le recomendamos que no los utilice si no son

necesarios.

Evento Descripción

SP:Starting Inicio de procedimiento almacenado.

SP:Completed Finalización de procedimiento almacenado.

SP:StmtStarting

Inicio de sentencia en un procedimiento almacenado.

SP:StmtCompleted

Finalización de sentencia en un procedimiento almacenado..

SP:CacheMiss Indica que el procedimiento no se encuentra en la caché.

SP:CacheInsertIndica que el procedimiento almacenado se ha insertado en la caché del procedimiento.

SP:CacheRemove

Indica que el procedimiento almacenado se ha quitado de la caché del plan.

SP:Recompile El procedimiento almacenado se ha vuelto a compilar.

SP:CacheHit El procedimiento almacenado se encuentra en la caché del plan.

SP:ExecContextHit

Una versión de ejecución de un procedimiento almacenado se ha encontrado en el caché.









• EventClass

• EventSubClass

• TextData

• StartTime

• EndTime

• Duration

• Reads

• Writes

• CPU

• ObjectID

• ObjectName

• ObjectType

15.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server Stored

Procedures Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se


Evento Descripción

RPC:Starting Indica que se ha iniciado una llamada a procedimiento remoto.

RPC:CompletedIndica que se ha completado una llamada a procedimiento remoto.

RPC Output Parameter

Muestra información de valores del parámetro de salida de las llamadas a procedimiento remoto (RPC) después de su ejecu-ción.

Evento SP:Starting









Evento SP:Completed




Duration Duración del procedimiento almacenado ejecutado.


ObjectName Nombre del procedimiento almacenado que se inicia

ObjectType Tipo del procedimiento almacenado solicitado.


Evento SP:StmtStarting


EventSubClass Nivel de anidamiento del procedimiento almacenado.


Evento SP:StmtCompleted


EventSubClass Nivel de anidamiento del procedimiento almacenado.

IntegerData Líneas devueltas por la instrucción.



Evento SP:CacheMiss


EventSub Class Nivel de anidamiento del procedimiento almacenado.


Evento SP:CacheInsert


Evento SP:Starting





TextData Texto de la sentencia SQL que se está almacenando en la caché.

Evento SP:CacheRemove




TextData Texto de la instrucción SQL que se va a quitar de la caché.

Evento SP:Recompile





TextDataTexto de la llamada del procedimiento almacenado que disparó la recompilación.

Evento SP:CacheHit

EventData Tipo de evento registrado = 38.



TextData Texto del código SQL que se ha encontrado en la caché.

Evento SP:ExecContextHit





Evento RPC:Starting



Evento SP:CacheInsert





EndTime Hora a la que finalizó la llamada a procedimiento remoto.

Duration Tiempo (en microsegundos) que tarda el evento.

CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el evento.

ReadsNúmero de lecturas de páginas emitidas por la llamada a procedi-miento remoto.

WritesNúmero de escrituras de páginas emitidas por la llamada a proce-dimiento remoto.


Evento RPC Output Parameter


ObjectNameNombre el parámetro de salida del evento RPC (por ejemplo, han-dle).

TextData Valores del parámetro de salida de RPC.


SQL Server Transactions Auditing ThinAgent

Capítulo 16 16 SQL Server Transactions Auditing ThinAgent

Use este ThinAgent para monitorizar el estado de transacciones (por ejemplo para monitorizar

Transacciones Distribuidas, Transacciones SQL, o la actividad en el Log de Transacciones)


Esta configuración por defecto puede causar una alta carga de trabajo en un servidor que

principalmente ejecuta transacciones. Además no distingue entre situaciones normales o sospechosas,

simplemente funciona como un log de transacciones ejecutadas en el servidor. Úselo ocasionalmente y

asegúrese de añadir filtros restrictivos a estos monitores.






Evento. Diríjase al sección 16.3 - Campos por Evento en la página 67 o para más detalles

• EventClass

• EndTime

• Binary Data

• EventSubClass

Evento Descripción

DTCTransaction

Rastrea transacciones coordinadas por Microsoft® Distributed Tran-saction Coordinator (MS DTC) entre dos o más bases de datos.

SQL Transaction

Registra sentencias Transact-SQL BEGIN, COMMIT, SAVE, and ROLL-BACK TRANSACTION.

Transaction Log

Registra cuando las transacciones se escriben en el log de transac-ciones



• Reads

• ObjectID

• TextData

• Writes

• IndexID

• HostName

• CPU

• Transaction ID

• Duration

• Integer Data

• Mode

• StartTime

16.3 Campos por EventoEsta sección detalla los campos que se recuperan para cada evento del monitor SQL Server

Transactions Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan

en la configuración de ThinkServer.

Evento DTCTransaction




EventSubClass

Estado de Microsoft® Distributed Transaction Coordinator (MS DTC). Para más información diríjase a la documentación de MS DTC. Los valores posibles incluyen:

0 = GET_DTC_ADDRESS_SUB_CLASS

1 = PROPAGATE_XACT_SUB_CLASS

2 = DOWORK_SUB_CLASS

3 = CLOSE_CONN_SUB_CLASS

4 = DTC_VIRGIN_SUB_CLASS

5 = DTC_IDLE_SUB_CLASS

6 = DTC_BEG_DIST_SUB_CLASS

7 = DTC_ENLISTING_SUB_CLASS

8 = DTC_INT_ACTIVE_SUB_CLASS

9 = DTC_INT_COMMIT_SUB_CLASS

10 = DTC_INT_ABORT_SUB_CLASS

11 = DTC_INT_ASYNC_ABORT_SUB_CLASS

12 = DTC_ACTIVE_SUB_CLASS

13 = DTC_INIT_PREPARE_SUB_CLASS

14 = DTC_PREPARING_SUB_CLASS

15 = DTC_PREPARED_SUB_CLASS

16 = DTC_ABORTING_SUB_CLASS

17 = DTC_COMMITTING_SUB_CLASS

18 = DTC_DO_ASYNC_ABORT_SUB_CLASS

19 = DTC_DISASTER_SUB_CLASS

20 = DTC_DRAIN_ABORT_SUB_CLASS

21 = DTC_ASYNC_ABORT_SUB_CLASS

22 = DTC_TM_RECOVERY_SUB_CLASS


Duration Duración de la transacción DTC.

ReadsNúmero de páginas leídas generadas localmente por la transacción DTC.

WritesNúmero de páginas escritas generadas localmente por la transacción DTC.

CPU La cantidad de CPU utilizada por la transacción DTC.

IntegerData

Nivel de aislamiento de la transacción. Los valores posibles son:

256 = Lectura no comprometida

4096 = Lectura comprometida

65536 = Lectura repetible

1048576 = Serializable

4294967295 = No especificado

BinaryDataRepresentación binaria del Id. de unidad de trabajo (UOW) que identi-fica de forma exclusiva a esta transacción en DTC.

Evento SQL Transaction


Evento DTCTransaction



EventSubClass

Tipo de evento de transacción SQL. Los valores posibles incluyen:

0=Principio

1=Confirmar

2=Revertir

3=Punto de almacenamiento

EndTimeHora de finalización del evento. Esta opción es sólo válida para COM-MIT o ROLLBACK.

DurationCuanto tiempo duró la ejecución de la transacción. Esta opción es sólo válida para COMMIT o ROLLBACK.

TransactionID

Número de ID de la transacción.

TextData Nombre de almacenamiento o rollback, si se proporciona.

ObjectName Nombre de la transacción, si se proporciona.

Evento TransactionLog


EventSubClass

Tipo de evento de transacción log, como BEGINXACT(null).

IntegerData Longitud del registro.

BinaryData

Replication log_pubid es el ID de publicación en la que se está traba-jando actualmente. If Si está usando replicación y mira la tabla de MSPublications existe una columna publication_id. Este es el valor representado en Binary Data. Puede usar este ID para encontrar la publicación y cualquier artículo asociado con ella.


ReadsNúmero de lecturas de E/S realizadas para llevar a cabo la entrada de registro.

WritesNúmero de escrituras de E/S realizadas para llevar a cabo la entrada de registro

CPU Cantidad de CPU utilizada para escribir la entrada de transacción.

TransactionID

Número de ID de la transacción.

ObjectID ID del objeto que ha registrado las modificaciones.

IndexID ID del índice que ha registrado las modificaciones.

Evento SQL Transaction


SQL Server User Auditing ThinAgent (v7)

Capítulo 17 17 SQL Server User Auditing ThinAgent (v7)

Con este ThinAgent puede monitorizar todos los eventos de auditoría relacionados con la

administración de inicios de sesión, contraseñas, roles, permisos, permisos de uso de objetos y más.

Este monitor funciona mejor cuando aplica el filtro mencionado en la sección 18.4 - Filtros Útiles en la página 82.


Es posible suscribir también los siguientes eventos, pero no diferencian entre situaciones normales y

sospechosas y, en un servidor con un alto número de inicios de sesión, incluso puede complicar la

detección de comportamientos sospechosos de un usuario o aplicación. Le recomendamos que no los

utilice si no son necesarios.







• EventClass

Evento Descripción

Login FailedIndica que un usuario ha intentado conectarse a MicrosoftSQL Ser-ver y se ha producido un error.

Evento Descripción

DisconnectRecupera todos los eventos desconectados, como cuando un cliente produce un mandato desconectado

ConnectRecupera todos los eventos de conexión como cuando un cliente solicita un conexión a un servidor que ejecuta Microsoft® SQL Ser-ver™.



• EventSubClass

• ClientHostName


• TextData

• NTUserName

• NTDomainName

• StartTime

• EndTime

• ServerName

• DatabaseID

• ClientProcessID

• ApplicationName


Activity Auditing. Los eventos en esta sección siguen el orden en el cual los eventos se presentan en la


17.4 Filtros ÚtilesPara obtener el máximo de este monitor aplique el siguiente filtro al origen de datos.

Evento Disconnect


EndTime Hora final de la conexión

Evento Connect


StartTime Hora de inicio de la conexión

Evento Audit Login Failed


SuccessÉxito o fallo del indicador de auditoría. El valor siempre será: 0 = error

Logical And

Field SQLSecurityLoginName

Operator Like (incluir)



Value '"nombre de usuario a monitorizar"

Logical And


SQL Server User Auditing ThinAgent (v2000 y posteriores)

Capítulo 18 18 SQL Server User Auditing ThinAgent (v2000 y posteriores)

Con este ThinAgent puede monitorizar todos los eventos de auditoría relacionados con la

administración de inicios de sesión, contraseñas, roles, permisos, y permisos de uso de objetos. Este

monitor funciona mejor cuando aplica el filtro mencionado en la sección 18.4 - Filtros Útiles en la página 82.


Evento Descripción

Audit Add/Drop LoginRegistra acciones ADD y DROP en inicios de sesión de SQL Server para sp_addlogin y sp_droplogin.

Audit Login GDRRegistra acciones GRANT, DENY, REVOKE en permisos de ini-cio de sesión para sp_grantlogin, sp_revokelogin y sp_denylogin en Windows NT 4.0 o Windows 2000

Audit Login Change Property

Registra modificaciones en propiedades de inicio de sesión, excepto contraseñas para sp_defaultdb y sp_defaultlanguage.

Audit Login Change Password

Registra cambios en cambios de contraseñas de SQL Ser-ver. Las contraseñas no se guardan. Si es miembro de los roles fijos de servidor sysadmin o securityadmin y resetea su contraseña utilizando sp_password con los tres argu-mentos especificados ('old_password', 'new_password', 'login'), el registro de auditoría reflejará que está cambiando la contraseña de otra persona.

Audit Add Login to Server Role

Registra la adición o eliminación de inicios de sesión para o de un rol fijo del servidor para sp_addsrvrolemember y sp_dropsrvrolemember.

Audit Add DB UserRegistra la adición o eliminación de usuarios de base de datos (Microsoft Windows NT® 4.0, Microsoft Windows® 2000, o Microsoft SQL Server™).

Audit Add Member to DB

Registra la adición o eliminación de miembros para o de un rol de base de datos (fijo o definido por el usuario) para sp_addrolemember, sp_droprolemember, and sp_changegroup.



Es posible suscribir también los siguientes eventos, pero no diferencian entre situaciones normales y

sospechosas y, en un servidor con un alto número de inicios de sesión, incluso puede complicar la

detección de comportamientos sospechosos de un usuario o aplicación. Le recomendamos que no los

utilice si no son necesarios.







Audit Add/Drop RoleRegistra acciones de añadido o eliminación en roles de base de datos para sp_addrole y sp_droprole.

App Role Pass Change (Audit App

Role Change Password)

Registra cambios en la contraseña de una aplicación.

Audit Statement Permission

Registra cuando se utiliza un permiso de instrucción.

Audit Object Permission

Registra el uso con éxito o no de permisos de objetos.

Audit Backup/Restore Registra eventos de BACKUP y RESTORE.

Audit DBCC Registra mandatos DBCC que se han producido.

Audit Change Audit Registra modificación de un seguimiento de auditoría.

Audit Object Derived Permission

Registra cuándo se envía un comando CREATE, ALTER o DROP para un objeto especificado.

Evento Descripción

Evento Descripción

Audit LoginRecolecta todos los eventos de nuevas conexiones desde que se inició la traza (por ejemplo, un cliente solicitando una conexión a un servidor que ejecuta una instancia de SQL Server).

Audit LogoutRecolecta todos los nuevos eventos de desconexión desde que se inició la traza, como cuando un cliente realiza un mandato de desconexión.

ExistingConnection

Detecta actividad para todos los usuarios conectados a Microsoft SQL Server antes de que se inicie la traza.

Audit Statement GDR

Registra eventos de permisos para sentencias GRANT, DENY, REVOKE.

Audit Object GDRRegistra acciones GRANT, DENY, REVOKE en permisos de inicio de sesión para sp_grantlogin, sp_revokelogin, y sp_denylogin en Windows NT 4.0 o Windows 2000.



• EventClass

• Permissions

• TargetRoleName

• CPU

• Database

• Username

• Duration

• EventSubClass

• Column

• PermissionsSet

• TargetUserName

• ObjectName

• TargetLoginName

• StartTime

• Success

• TextData

• Reads

• ObjectType

• TargetLoginSID

• EndTime

• Database name

• HostName

• Writes


Activity Auditing monitor. Los eventos en esta sección siguen el orden en el cual los eventos se




Success


0 = error,

1 = correcto



EventSubClass


1 = GRANT,

2 = REVOKE,

3 = DENY

DatabaseNameNombre de la base de datos a la que se aplica la sentencia de per-miso GRANT/DENY/REVOKE.


Permissions


1 = CREATE DATABASE (sólo base de datos master),

2 = CREATE TABLE,

4 = CREATE PROCEDURE,

8 = CREATE VIEW,

16 = CREATE RULE,

32 = CREATE DEFAULT,

64 = BACKUP DATABASE,

128 = BACKUP LOG,


TextData Texto SQL de la sentencia GRANT/DENY/REVOKE.



Success


0 = error

1 = correcto

EventSubClass


1 = Grant,

2 = Revoke,

3 = Deny

DatabaseName Nombre de la base de datos a la que se ejecuta la sentencia de permiso GRANT/DENY/REVOKE.


OwnerNameNombre de usuario de la base de datos del propietario del objeto que es el destino de los permisos conceder, revocar o denegar.

ObjectName Nombre del objeto que es el destino de los permisos conceder, revocar o denegar.

Permissions


1 = SELECT ALL,

2 = UPDATE ALL,

4 = REFERENCES ALL,

8 = INSERT,

16 = DELETE,





ColumnPermissions

Indicador de configuración de un permiso de columna. Los valo-res son:

0 = No,

1 = Si

TextData Texto SQL de la sentencia GRANT/REVOKE/DENY.

Evento Audit Add/Drop Login


Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop

TargetLoginSID Número de identificación de seguridad (SID) asignado al inicio de sesión añadido.

TargetLoginName Nombre del inicio de sesión añadido.



Success


0 = error

1 = correcto

EventSubClass


1 = Grant

2 = Revoke

3 = Deny

TargetLoginSID Número de identificación de seguridad (SID) del inicio de sesión Windows objetivo.

TargetLoginName

Nombre del inicio de sesión Windows de destino.



Success


0 = error

1 = correcto

EventSubClass


1 = Base de datos predeterminada

2 = Idioma predeterminado

TargetLoginSIDNúmero de identificación de seguridad (SID) del inicio de sesión de destino.




TargetLoginName


Audit Login Change Password Event


Success


0 = error

1 = correcto

EventSubClass


1 = El usuario cambió su propia contraseña

2 = El usuario cambió la contraseña de otro usuario

TargetLoginSID

Número de identificación de seguridad (SID) del inicio de sesión de destino.

TargetLoginName




Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop


TargetLoginName


RoleName Nombre del rol al cual se ha añadido el inicio de sesión.



Success


0 = error

1 = correcto

EventSubClass


1 = sp_adduser

2 = sp_dropuser

3 = grantdbaccess

4 = revokedbaccess




DatabaseName

Nombre de la base de datos en la que se va a agregar o quitar el nombre de usuario.


TargetLoginSID

SID del inicio de sesión Microsoft® Windows® objetivo.

TargetLoginName

Nombre del inicio de sesión Windows objetivo.

TargetUserName

Nombre del usuario de la base de datos que se va a agregar a la base de datos.

RoleNameNombre de un rol al cual se va añadir el Nuevo usuario de base de datos.



Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop



TargetLoginSID

SID del inicio de sesión objetivo.

TargetLoginName

Nombre del inicio de sesión al que se le está modificando la mem-bresía de rol.

TargetUserName

Nombre del usuario al que se le está modificando la membresía de rol.



Success


0 = error

1 = correcto

EventSubClass


1 = Add

2 = Drop






RoleName Nombre del rol que se está creando en la base de datos.

Evento App Role Pass Change – Audit App Role Change Password


Success


0 = error

1 = correcto


Siempre = 1



RoleNameNombre de rol de la aplicación de base de datos cuya contraseña se está cambiando.



Success


0 = error

1 = correcto


Siempre = 1

Database Name Nombre de la base de datos en la cual se ha ejecutado el mandato.


Permissions


1 = CREATE DATABASE (solo base de datos master)

2 = CREATE TABLE


8 = CREATE VIEW

16 = CREATE RULE

32 = CREATE DEFAULT


128 = BACKUP LOG








Success


0 = error

1 = correcto


Siempre = 1



OwnerNameNombre de propietario del objeto cuyos permisos se están com-probando.

ObjectName Nombre del objeto cuyos permisos están siendo comprobados.

Permissions


1 = SELECT ALL

2 = UPDATE ALL

4 = REFERENCES ALL

8 = INSERT

16 = DELETE


ColumnPermissions

Indica si se han utilizado permisos de una columna. Parsee el texto de la sentencia para determinar qué permisos se aplicaron a cada columna.


Evento Audit Login


Success


0 = error

1 = correcto

BinaryDataConfiguración de sesión, incluidos los valores nulos ANSI, el relleno ANSI, el cierre del cursor al confirmar, la concatenación de valores nulos y los identificadores entre comillas.

TextData Lista delimitada por signos de punto y coma de todas las opciones establecidas.

Evento Audit Logout


Success


0 = error

1 = correcto

EndTime Hora de cierre de la sesión.

DurationCantidad aproximada de tiempo desde el inicio de sesión del usua-rio.




18.4 Filtros ÚtilesPara obtener el máximo de este monitor aplique el siguiente filtro al origende datos.

ReadsCantidad de operaciones de E/S de lectura lógica emitidas por el usuario durante la conexión.

WritesCantidad de operaciones de E/S de escritura lógica emitidas por el usuario durante la conexión.

CPUCantidad de tiempo de CPU (en milisegundos) que utiliza el usuario durante la conexión.

Evento ExistingConnection


BinaryData

Volcado binario de los indicadores de opción, como la configuración de sesión, incluidos valores ANSI NULL, el relleno ANSI, el cierre del cursor al confirmar, la concatenación de valores NULL y los identificadores entre comillas.

Evento Audit Logout

Logical And

Field DataBaseUserName

Operator Like (incluir)

Value '"nombre de usuario a monitorizar"


Apéndice A : Mapeo de Campos ThinkServer – SmartConsole


Apéndice A Apéndice A: Mapeo de Campos ThinkServer – SmartConsole

Cuando los mensajes llegan a VISUAL Message Center SmartConsole los nombres de las variables no

son siempre los mismos que los nombres de variable originales de SQL. La siguiente tabla muestra los

nombres de las variables en las aplicaciones.

SmartConsole SQL v7 SQL v2000

SourceName VSMMonitorName VSMMonitorName

EventID EventClass EventClass

Category VSMMonitorClass VSMMonitorClass

ComputerName Host Host

User DBUserName DBUserName

HourGenerated MessageTime MessageTime

DayGenerated MessageDate MessageDate

Apéndice B : Información Adicional

Apéndice BApéndice B: Información Adicional

B.1 Uso de la documentación PDF de Tango/04La documentación de Tango/04 está disponible directamente desde el DVD de soluciones de Tango/04.

Para abrir la documentación de Tango/04 proporcionada en archivos PDF, use Adobe Acrobat Reader.

Acrobat Reader le permite leer, buscar e imprimir la documentación. Puede descargar Acrobat Reader

de forma gratuita desde la página web de Adobe Web (http://www.adobe.com).

Para acceder a los documentos PDF del DVD:

Paso 1. Navegue a una suite de productos (VISUAL Message Center por ejemplo) y pulse en el

enlace Do-cumentación del producto para abrir una lista de todas las Guías de Usuario

disponibles para di-cha suite de productos. La lista contiene enlaces directos a los

documentos en formato PDF.

Paso 2. De forma alternativa, puede navegar en el menú del DVD a un producto en particular y

pulsar en el enlace Documentación del Producto para abrir la Guía de Uso en formato

PDF para dicho producto.

B.2 Tango/04 UniversityEn su continuo esfuerzo para proporcionar a todos los usuarios de tecnologías de Tango/04 una

elevada calidad de formación, Tango/04Computing Group presenta su Nuevo programa de formación

para partners y usuarios de todo el mundo.

Tango/04 University tiene como objetivo proporcionar a los usuarios y partners de Tango/04 las más

efectivas herramientas y conocimientos para gestionar las tecnologías y productos de Tango/04 y

exprimir todo su potencial.

La asistencia al curso de formación y la superación de los exámenes relacionados es obligatorio para

cualificarse como Business Partner de Tango/04 para el área tecnológica cubierta por el curso, y le

ofrece importantes beneficios como:

Consejo Le recomendamos imprimir la documentación PDF para una referencia más sencilla. Por

favor asegúrese de familiarizarse con la guía de uso de un producto antes de usarlo.



• Certificaciones Oficiales de Tango/04 - Los partners de Tango/04 necesitan tener un número

determinado de consultores certificados, dependiendo de su Nivel en el programa de Business

Partner

• Explotar todo el potencial de las tecnologías de Tango/04 - Soluciones como VISUAL Message

Center y VISUAL Security Suite son soluciones muy amplias que presentan muchas

funcionalidades. Conocer todas estas funciones y saber como usarlas es la clave para

conseguir el máximo del producto

• Integración con otras soluciones - Tango/04 está creciendo constantemente: conocer los

nuevos productos y agents le puede permitir integrar otras partes de la infraestructura de TI en

las soluciones de Tango/04

• Los Business Partners de Tango/04 aprenderán como implementar de forma efectiva un

proyecto de monitorización para obtener la máxima efectividad y satisfacción del usuario.

Perfil de los participantes: Consultores, Administradores de Sistema, operadores y personal técnico

con conocimientos de sistemas Windows, iSeries, Linux y Unix que estarán involucrados en la gestión o

implementación de tecnología de Tango/04.

Pre-requisitos: Ser Business Partner o cliente de Tango/04.

© 2012 Tango/04Computing Group Página 85


B.3 Contactar con Tango/04

North America

Tango/04 North America

PO Box 3301

NH 03458 Peterborough USA

Phone: 1-800-304-6872 / 603-924-7391

Fax: 858-428-2864

[email protected]

www.tango04.com

EMEA

Tango/04 Computing Group S.L.

Avda. Meridiana 358, 5 A-B

08027 Barcelona Spain

Phone: +34 93 274 0051

Fax: +34 93 345 1329

[email protected]

www.tango04.com

Italy

Tango/04 Italy

Viale Garibaldi 51/53

13100 Vercelli Italy

Phone: +39 0161 56922

Fax: +39 0161 259277

[email protected]

www.tango04.it

Sales Office in France

Tango/04 France

La Grande Arche

Paroi Nord 15ème étage

92044 Paris La Défense France

Phone: +33 01 40 90 34 49

Fax: +33 01 40 90 31 01

[email protected]

www.tango04.fr

Sales Office in Switzerland

Tango/04 Switzerland

18, Avenue Louis Casaï

CH-1209 Genève

Switzerland

Phone: +41 (0)22 747 7866

Fax: +41 (0)22 747 7999

[email protected]

www.tango04.fr

Latin American Headquarters

Barcelona/04 Computing Group SRL (Argentina)

Avda. Federico Lacroze 2252, Piso 6

1426 Buenos Aires Capital Federal

Argentina

Phone: +54 11 4774-0112

Fax: +54 11 4773-9163

[email protected]

www.barcelona04.com

Sales Office in Peru

Barcelona/04 PERÚ

Centro Empresarial Real

Av. Víctor A. Belaúnde 147, Vía Principal 140 Edificio Real Seis, Piso 6

L 27 Lima

Perú

Phone: +51 1 211-2690

Fax: +51 1 211-2526

[email protected]

www.barcelona04.com

Sales Office in Chile

Barcelona/04 Chile

Nueva de Lyon 096 Oficina 702,

Providencia

Santiago

Chile

Phone: +56 2 234-0898

Fax: +56 2 2340865

[email protected]

www.barcelona04.com

© 2012 Tango/04Computing Group Página 86

Mailto:[email protected]

www.tango04.com


www.tango04.com


www.tango04.it


www.tango04.fr


www.tango04.fr


www.barcelona04.com


www.barcelona04.com


www.barcelona04.com

Acerca de Tango/04 Computing Group

Acerca de Tango/04 Computing Group

Tango/04 Computing Group es una de las principales empresas desarrolladoras de software de gestión

y automatización de sistemas informáticos. El software de Tango/04 ayuda a las empresas a mantener

la salud operativa de sus procesos de negocio, mejorar sus niveles de servicio, incrementar su

productividad y reducir costes mediante una gestión inteligente de su infraestructura informática.

Fundada en 1991 en Barcelona, Tango/04 es IBM Business Partner y miembro de la iniciativa

estratégica IBM Autonomic Computing. Además de recibir numerosos reconocimientos de la industria,

las soluciones Tango/04 han sido validadas por IBM y tienen la designación IBM ServerProven™.

Tango/04 tiene más de mil clientes y mantiene operaciones en todo el mundo a través de una red de 35

Business Partners

Alianzas

Premios

Partnerships IBM Business Partner

IBM Autonomic Computing Business Partner

IBM PartnerWorld for Developers Advanced Membership

IBM ISV Advantage Agreement

IBM Early code release

IBM Direct Technical Liaison

Microsoft Developer Network

Microsoft Early Code Release


Aviso Legal

Aviso Legal

Este documento y su contenido son propiedad de Tango/04 Computing Group o de sus respectivos propietarios cuando así se

indique. Cualquier utilización de este documento con una finalidad distinta de aquella con la cual ha sido creado está prohibida sin la

autorización expresa de su propietario. Asimismo queda prohibida la reproducción total o parcial de este documento por cualquier

medio físico, óptico, magnético, impreso, telemático, etc., sin la autorización expresa de su propietario.

La información técnica aquí contenida fue obtenida utilizando equipamiento e instalaciones específicas, y su aplicación se limita a

esas combinaciones especiales de productos y niveles de versiones de hardware y software. Cualquier referencia en este documento

a productos, software o servicios de Tango/04 Computing Group, no implica que Tango/04 Computing Group planee introducir esos

productos, software o servicios en cada uno de los países en los que opera o está representada. Cualquier referencia a productos de

software, hardware o servicios de Tango/04 Computing Group no está hecha con el propósito de expresar que solamente pueden

utilizarse productos o servicios de Tango/04 Computing Group. Cualquier producto o servicio funcionalmente equivalente que no

infrinja la propiedad intelectual o condiciones de licenciamiento específicas se podría utilizar en reemplazo de productos, software o

servicios de Tango/04 Computing Group.

Tango/04 Computing Group puede tener patentes o estar pendiente de obtención de patentes que cubren asuntos tratados en este

documento. La entrega de este documento no otorga ninguna licencia de esas patentes. La información contenida en este

documento no ha sido sometida a ningún test formal por Tango/04 Computing Group y se distribuye tal como está. El uso de esta

información o la implementación de cualquiera de las técnicas, productos, tecnologías, ideas o servicios explicitados o sugeridos por

el presente documento es responsabilidad exclusiva del cliente a quien está dirigido este documento, y es el cliente quien debe

evaluar y determinar la aplicabilidad y consecuencias de integrar esas técnicas, productos, tecnologías, ideas o servicios en su

entorno operativo.

Si bien cada ítem puede haber sido revisado por Tango/04 Computing Group en cuanto a su exactitud en una situación específica, no

existe ni se otorga ninguna garantía de que los mismos o similares resultados puedan ser obtenidos en otras situaciones o

instalaciones. Los clientes que intenten adaptar esas técnicas en sus propias instalaciones lo hacen bajo su propia cuenta,

responsabilidad y riesgo. Tango/04 Computing Group no será en ningún caso responsable directo o indirecto de cualquier daño o

perjuicio causado por el uso de las técnicas explicitadas o sugeridas en este documento, incluso si se han efectuado notificaciones

de la posibilidad de esos daños.

Este documento puede contener errores técnicos y/o errores tipográficos. Todas las referencias en esta publicación a entidades

externas o sitios web han sido provistas para su comodidad solamente, y en ningún caso implican una validación, garantía o respaldo

a esas entidades o sitios.

Las marcas siguientes son propiedad de International Business Machines Corporation en los Estados Unidos y/o otros países: AS/

400, AS/400e, System i, iSeries, e (logo)Server, i5, Operating System/400, OS/400, i5/OS.

Microsoft, SQL Server, Windows, Windows NT, Windows XP y el logotipo de Windows son marcas registradas de Microsoft

Corporation en los Estados Unidos y/o otros países. Java y todos los logotipos y marcas basadas en Java son propiedad de Sun

Microsystems, Inc. en los Estados Unidos y otros países. UNIX es una marca registrada en los Estados Unidos y otros países y se

licencia exclusivamente a través de The Open Group. Oracle es una marca registrada de Oracle Corporation. Otras marcas,

productos o servicios pueden ser marcas registradas de otras empresas.


sql server security agent - static.helpsystems.com · sql server scans auditing thinagent.....36...

Documents