DISABLE/ENABLEトリガーの監査SQL

Question

データベース内のトリガーを有効または無効にしようとすると、監査する方法が必要です。 DDLトリガーの代替は偉大なだけユーザーが

ALTER TABLE <tableName> ENABLE TRIGGER <triggerName> 

OR

ALTER TABLE <tableName> DISABLE TRIGGER <triggerName> 

ステートメントを使用する場合の条件の下で動作します。私が判断したものから、ユーザーは、ALTERコマンドをバイパスし、次のステートメントを実行した場合、DDLの方法は役に立たないレンダリング：

DISABLE TRIGGER <triggerName> ON <tableName> 
ENABLE TRIGGER <triggerName> ON <tableName> 

私はそれらのどれも動作しないこれらのイベントをキャプチャするにはいくつかの考えを持っていました。そのうちの1つは、sys.triggersビューの基礎となるテーブルにアクセスできる場合、そのテーブルに挿入/更新トリガを配置し、トリガ名をフィルタリングして監査を取得することでした。私の疑念は、それが可能であっても、無限の再帰につながる可能性が高いということです。

この問題の代替解決策については、ここにいる人はいませんか？私はなぜMSが監査の範囲を逃れるステートメントの拡張版を許可するのか理解していない。つまり、最も簡単な方法からの監査です。 SQLプロファイラを使用すると、このために不必要なオーバーヘッドになるようです。

Answer 1

私は最初にこれをアクセス許可で解決します。少数のdbasを​​除く誰もprodに対してalter tableパーミッションを持たないので、トリガーを有効または無効にすることはできません。アプリケーションがそれを使用している場合は、それを停止する必要があります。どのユーザーも表を変更する必要はありません。あなたがそれをしたいならば、あなたはおそらくデザイン上の欠陥があります。トリガーを実際に無効にしている人がいる場合は、間違いなく設計上の欠陥があります。無効にするトリガーを持つコードは、コードレビュー中に大きな赤い旗になるはずです。アプリケーションコードでトリガーを無効にすることは容認できません。これは、いつ実行するのかを知っている経験を持つdbasだけが行うべきことです。アプリケーションコードを記述していて、コードを正しく動作させるためにトリガーを無効にする必要があると思われる場合は、コードが正しくないか、トリガーを書き直す必要があります。