SQL Serverの制約

印刷する

記事の要約

この要約は役に立ちましたか?

ご意見ありがとうございます

SQL Serverには、以下の制約があります。

※ID管理が〇になっている項目は、ID管理の機能の制約になります。ログが〇になっている項目は、アクセスログ管理のログ自動収集機能、または、ログ自動収集機能で収集したアクセスログ（ログインログ・ログアウトログ・suログ・ログイン失敗ログ）で出力するレポートの制約になります。

No	条件	対象機能
No	条件	ID	ログ
1	管理可能なアカウントはSQL Server認証のアカウントのみです。 ※Windows認証で利用するアカウントの管理を実施する場合、OSを管理対象とし、事前に認証先のOS上にログインアカウントを登録する必要があります。	〇	-
2	iDoperationから可能な操作は、パスワード変更のみです。その他の操作は、SQL Serverの管理ツールで実施してください。	〇	-
3	SQL Serverの監査ログは、実際のアクセス日時より、遅れた時間で出力される事があります。アクセス日時が遅れた時間で出力された結果、特権IDの利用点検レポート、および、アクセス履歴レポートで、申請と実際の利用時間とのズレが、アラートとして出力される可能性があります。詳細は『監査アクションの遅延設定により、レポートのログイン・ログアウト・ログイン失敗がずれる』を参照してください。	-	〇
4	iDoperation自身のSQL Serverをターゲット登録した場合、iDoperationシステムからSQL Serverへのアクセスも特権IDの利用点検レポート、および、アクセス履歴レポートに表示されます。必要に応じて「iddbuser」アカウントとID管理用アカウントのアクセスをレポートに表示されないように、除外設定をする必要があります。	-	〇
5	SQL Server へのアクセスに、SQL Server Management Studioを使用すると、SQL Serverおよび SQL Server Management Studioの仕様により、大量のアクセスが行われます。そのままレポートを作成すると、大量のアクセス情報が特権IDの利用点検レポート、および、アクセス履歴レポートに出力される事になるため、レポートへの出力量を抑止するためにログインからログアウトするまでの時間が短いアクセス（5秒以内のアクセス）をレポートへ出力しません。そのため、オートログインと突合したアクセスを除き、5秒以内のアクセスはユーザによる操作であってもレポートへ出力されません。	-	〇
6	1度のアクセスで複数のアクセスログが出力される(No.5の制約)ため、複数のアクセスログのうちオートログイン実行後の最初のアクセスログのみオートログインと突合します。それ以外のアクセスログについては、パスワード参照と同様に申請とアクセスログのみを突合し、レポートに出力します。	-	〇
7	SQL Serverの内部動作で「NT AUTHORITY\SYSTEM」ユーザが大量にログインを行います。そのままレポートを出力すると大量のアクセス情報がレポートに反映されるため、「NT AUTHORITY\SYSTEM」ユーザはレポートの対象外としログを収集しません。	-	〇
8	ログ収集対象は、管理する単位で変わります。そのため、レポート出力は、インスタンス単位かデータベース単位いずれかになります。〇ログインユーザーを管理する場合インスタンス単位で行います。そのため、レポートに出力されるアクセスもインスタンス単位になり、データベース単位でのレポート出力が出来ません。〇包含ユーザーを管理する場合データベース単位で行います。	-	〇
9	アーカイブされたイベントログを収集する設定にした場合、マネージャサーバのSYSTEMユーザからSQL Serverが動作しているOSの共有フォルダにログ収集用アカウントで接続してログを収集します。その際に、SYSTEMユーザから共有フォルダに別のアカウントで接続されている場合は、その接続を強制的に切断します。	-	〇
10	SQL Server AlwaysOn可用性グループを管理対象とする場合、管理可能なログイン情報はアクティブノードのみです。他ノードへのログイン情報複製は行われません。また、フェイルオーバーしている場合は、パスワード変更がエラーとなる可能性があります。	〇	-
11	〇包含ユーザーを管理する場合ログイン失敗履歴レポートには、管理する包含ユーザーのインスタンスに存在する全てのデータベースのログイン失敗情報が出力されます。	-	〇
12	SQL Serverの仕様の影響により、シャットダウンログはすべて「既定のインスタンス」のシャットダウンとして扱われます。その影響により、アカウントのログオフ時刻が誤った状態でレポート出力される場合があります。 ■ターゲットが既定のインスタンスの場合ログオン中のアカウントがある状態で、名前付きインスタンスがシャットダウンされると、アカウントのログオフ時刻がシャットダウンした時刻でレポート出力されます。 ■ターゲットが名前付きインスタンスの場合ログオン中のアカウントがある状態でシャットダウンしても、ログオフ時刻がレポートに反映されません。	-	〇

監査アクションの遅延設定により、レポートのログイン・ログアウト・ログイン失敗がずれる

SQL Serverの監査ログは、実際のログイン・ログアウト・ログイン失敗時間より、遅れた時間で出力される事があります。
この遅れは、SQL Serverの「処理の遅延」というパラメータで制御されています。
処理の遅延で設定されている時間（ミリ秒）遅れて出力された結果、申請と実際の利用時間とのズレが、アラートとして出力される可能性があります。
SQL Serverのデフォルトの設定値は、「1000ミリ秒（＝1秒）」です。
※適正な運用を行っているにも関わらず特権IDの利用点検レポートで不正なアクセスとなる場合があります。
処理の遅延が1000ミリ秒で設定してあった場合、利用期間が13：00-15：00を指定して申請し、15：00：00ちょうどにログ　アウトした場合、実際の時刻より1秒遅れた15：00：01にログが出力されるため、監査レポートに利用期間超過チェックでアラートが出力されます。

SQL Server Management Studioを例に、イベントログの処理の遅延設定について、確認手順を以下に示します。

１．SQL Server Management Studioにて設定を行います。SQL Server Management Studioを起動し、インスタンスに接続します。

２．「SQL Server Management Studio」画面左側のオブジェクトエクスプローラから、「セキュリティ」-「監査」-「監査名」を右クリックして、「プロパティ」を選択します。