根据等级保护项目SQLServer审计需求，将SQLServerDefaultTrace文件保存半年以上。

解决方案

对于用户来讲，DefaultTrace只能关闭或开启该跟踪，无法修改任何参数。因此，我们只有将跟踪文件同步出来保存。

计划在备域控服务器上，通过Windows自带的robocopy来同步集中交易数据库的*.trc文件到本地，长期保存。

robocopy"\\10.198.1.111\e$\MSSQL12.XXX\MSSQL\Log""D:\Robocopy\10.198.1.111"*.trc/MON:1/mot:15/mon:2

-- ====Robocopy 介绍===============================================

Robocopy能实时监视要备份的文件夹，只要文件夹修改到一定时间和程序，Robocopy就会立即开始备份。它会一直监视文件夹，除非用户自己终止。
　　[简单命令]
　　robocopyd:\worke:\back/e/copyall/mot:1/mon:2
　　[参数讲解]
　　上述命令表示复制文件夹所有信息到目标文件夹并进行监视。执行此命令后，命令提示符窗口如下图所示。一旦时间过了一分钟，并且源文件夹至少有或2处以上的修改，Robocopy就会自动启动另一个进程
，执行上述备份操作。Robocopy能监视源文件夹结构、文件和文件夹名称、大小、最后修改时间，在这里，甚至连属性和权限等信息被修改时，Robocopy也会记为修改次数。

-- ====DefaultTrace介绍===============================================

SQLServerDefaultTrace在SQLServer实例安装后，默认开启。是SQLServer中默认开启的最轻量级跟踪，由5个跟踪文件（.trc）组成，每个文件的最大值为20MB，存储在SQLServerlog目录。如下图，当SQL Server重启后，或者当当前使用的文件达到最大值时，最旧的文件被删除。

它记录的有用的审计有 Object事件 和 Security Audit事件。

Objects事件包括：
ObjectAltered
ObjectCreated
ObjectDeleted

SecurityAudit事件包括：
AuditAddDBuserevent
AuditAddlogintoserverroleevent
AuditAddMembertoDBroleevent
AuditAddRoleevent
AuditAddloginevent
AuditBackup/Restoreevent
AuditChangeDatabaseowner
AuditDBCCevent
AuditDatabaseScopeGDRevent(Grant,Deny,Revoke)
AuditLoginChangePropertyevent
AuditLoginFailed
AuditLoginGDRevent
AuditSchemaObjectGDRevent
AuditSchemaObjectTakeOwnership
AuditServerStartsandStops