在连接到服务器后自动启动跟踪：
在“工具”菜单上，单击“选项”。 选择“进行连接后立即启动跟踪”复选框。
在跟踪时查找值或数据列 :
1.在运行跟踪时，单击跟踪结果中的任何行。 2.在“编辑”菜单中，单击“查找”。 3.在“查找”对话框中的“查找内容”文本框中，输入搜索值， 并选择指定数据列。 4.若要查找下一个匹配值，请单击“查找下一个”。 5.若要查找上一个匹配值，请单击“查找上一个”。
数据库审计
基本概念：
数据库审计（简称DBAudit）能够实时记录网络上的 数据库活动，对数据库操作进行细粒度审计的合规性管 理，对数据库遭受到的风险行为进行告警，对攻击行为 进行阻断。它通过对用户访问数据库行为的记录、分析 和汇报，用来帮助用户事后生成合规报告、事故追根溯 源，同时加强内外部数据库网络行为记录，提高数据资 产安全。 当发生数据被非法存取时，DBA可以利用审计跟踪的 信息，确定非法存取数据的人、时间和内容等。没有绝 对安全的系统和保护措施，审计功能在保护和维护数据 安全方面很有效。由于审计功能耗时费空间，所以，DBA 应当根据实际业务需求和对安全性的要求选用 2.将显示“另存为”对话框。 3.在“另存为”对话框中指定路径和文件名。单击“保存”。 4.在“跟踪属性”对话框的“设置最大文件大小 (MB)”文本框 中，输入最大文件大小。默认值为 5 MB。 还可以指定下列选项： (1)选中“启用文件滚动更新”复选框，在达到最大文件大小 后，使 SQL Server Profiler立即创建新文件来存储跟踪数 据。默认情况下选择此选项。 (2)选中“服务器处理跟踪数据”复选框以确保服务器记录每 个跟踪事件。 注意：如果记录事件会显著降低性能，可以清除“服务器处理跟 踪数据”，这样服务器不会再记录事件。 注：使用类似方法也可以将跟踪结果保存到表
查询SqlServer的当前连接：
常用的方法有两种： 1.sp_who：比如要查询有多少连接使用sa登录的，可以如下调用： sp_who ’sa’ 2.查询系统表： SELECT * FROM [Master].[dbo].[SYSPROCESSES] WHERE [DBID] IN ( SELECT [DBID] FROM [Master].[dbo].[SYSDATABASES] WHERE NAME='yourDBName' )
打开跟踪表：
1.在“文件”菜单上，指向“打开”，再单击“跟踪表”。 2.连接到包含跟踪表的服务器实例。 3.在“源表”对话框中，从“数据库”列表中选择包含保存跟踪 表的数据库。 4.从“表”列表中选择表名。单击“确定”。 注：使用类似方法也可打开跟踪文件
创建跟踪模板：
1.在“文件”菜单上，指向“模板”，然后单击“新建模板”。 2.在“跟踪模板属性”对话框中，从“选择服务器类型”列表中选择服 务器类型。 3.在“新模板名称”框中，输入模板的名称。 4.或者，单击“使新模板基于现有模板”，然后从列表中选择模板。所 有事件、数据列和筛选器的初始设置都由选定模板指定。 5.或者，单击“用作所选服务器类型的默认模板”。 6.在“事件选择”选项卡上，添加、删除或修改事件、数据列或筛选器。 注：在“文件”菜单上，指向“模板”，然后单击“编辑模板”可修改 模板
利用SQL Server自身的功能实现数据库审计：
① 启用SQL服务； ② 打开SQL事件探查器（工具—SQL Server Profiler）并Ctrl+N新建一 个跟踪； ③ 在弹出的对话框中点击“事件选择”，选择Audit Login和Audit Logout，点击“显示所有列”可以选择要显示的数据列，点击“运 行”。 ④ 登录查询分析器，分别用Windows身份验证和SQL Server身份验证登 录，记录登录的事件：用户、时间、操作事项，并查看分析结果。
在跟踪中筛选事件：
单击“列筛选器”。 将显示“编辑筛选器”对话框。“编辑筛选器”对话框包含一个比较运 算符列表，可以使用这些运算符在跟踪中筛选事件。 若要应用筛选器，请单击比较运算符，再键入要用于该筛选器的值。 单击“确定”。 注意事项： 如果要对“事件选择”选项卡上的 StartTime 和 EndTime 数据列设置 筛选条件，那么请确保： 输入的日期符合此格式：YYYY/MM/DD HH:mm:sec -或在“常规选项”对话框中选中了“使用区域设置来显示日期和时间 值”。若要查看“常规选项”对话框，请在 SQL Server Profiler 的“工具”菜单上单击“选项”。
数据库安全审计系统主要功能：
实时监测并智能地分析、还原各种数据库操作过程； 根据规则设定及时阻断违规操作，保护重要的数据库表和视图； 实现对数据库系统漏洞、登录帐号、登录工具和数据操作过程 的跟踪，发现对数据库系统的异常使用； 支持对登录用户、数据库表名、字段名及关键字等内容进行多 种条件组合的规则设定，形成灵活的审计策略； 提供包括记录、报警、中断和向网管系统报警等多种响应措施； 具备强大的查询统计功能，可生成专业化的报表。
数据列名称及对应含义：
Eventclass：事件类类型 DURATION:事件花费的时间总计（以毫秒为单位） CPU:事件所使用的CPU时间总计（以毫秒为单位） Reads ： 服务器代表事件执行的逻辑磁盘读取数，（以字节为单位） Writes ：服务器代表事件执行的物理磁盘写入数,(以字节为单位) loginName：SQL 登陆用户 SPID：会话编号 starttime：开始执行时间 endtime：执行结束时间 TEXTDATA：执行的语句
数据库安全审计系统主要特点：
采用旁路技术，不影响被保护数据库的性能； 使用简单，不需要对被保护数据库进行任何设置； 支持SQL-92标准，适用面广，可以支持Oracle、MS SQL Server、 Sybase、Informix等多类数据库； 审计精细度高，可审计并还原SQL操作语句； 采用分布式监控与集中式管理的结构，易于扩展； 完备的“三权分立”管理体系，适应对敏感内容审计的管理要求。