Nastavení auditování pro Azure SQL Database a Azure Synapse Analytics
Platí pro: Azure SQL Database Azure Synapse Analytics
V tomto článku si projdeme nastavení auditování pro logický server nebo databázi ve službě Azure SQL Database a Azure Synapse Analytics.
Konfigurace auditování pro váš server
Výchozí zásady auditování zahrnují následující sadu skupin akcí, které auditují všechny dotazy a uložené procedury spuštěné v databázi, stejně jako úspěšná a neúspěšná přihlášení:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Pokud chcete nakonfigurovat auditování pro různé typy akcí a skupin akcí pomocí PowerShellu, přečtěte si téma Správa auditování služby Azure SQL Database pomocí rozhraní API.
Azure SQL Database a Audit služby Azure Synapse Analytics můžou ukládat 4 000 znaků dat pro pole znaků v záznamu auditu. Pokud příkaz nebo data_sensitivity_information hodnoty vrácené z auditovatelné akce obsahují více než 4 000 znaků, všechna data nad rámec prvních 4 000 znaků se zkrátí a nebudou auditována.
Následující část popisuje konfiguraci auditování pomocí webu Azure Portal.
Poznámka:
U pozastaveného vyhrazeného fondu SQL nemůžete povolit auditování. Pokud chcete povolit auditování, obnovte vyhrazený fond SQL.
Pokud je auditování nakonfigurované pro pracovní prostor služby Log Analytics nebo pro cíl služby Event Hubs na webu Azure Portal nebo v rutině PowerShellu, vytvoří se nastavení diagnostiky s SQLSecurityAuditEvents
povolenou kategorií.
Přejděte na Azure Portal.
V podokně DATABÁZE SQL nebo SQL Serveru přejděte na Auditování pod nadpisem Zabezpečení.
Pokud chcete nastavit zásady auditování serveru, můžete na stránce auditování databáze vybrat odkaz Zobrazit nastavení serveru. Potom můžete zobrazit nebo upravit nastavení auditování serveru. Zásady auditování serveru platí pro všechny existující a nově vytvořené databáze na tomto serveru.
Pokud chcete povolit auditování na úrovni databáze, přepněte auditování na ZAPNUTO. Pokud je povolené auditování serveru, existuje audit nakonfigurovaný databází souběžně s auditem serveru.
Pro konfiguraci, kde se ukládají protokoly auditu, máte několik možností. Protokoly můžete zapisovat do účtu úložiště Azure, do pracovního prostoru služby Log Analytics pro využití protokoly služby Azure Monitor nebo do centra událostí pro spotřebu pomocí centra událostí. Můžete nakonfigurovat libovolnou kombinaci těchto možností a protokoly auditu se zapisují do každé z nich.
Auditování do cíle úložiště
Pokud chcete nakonfigurovat zápis protokolů auditu do účtu úložiště, vyberte Storage , až se dostanete do části Auditování . Vyberte účet úložiště Azure, do kterého chcete protokoly uložit. Můžete použít následující dva typy ověřování úložiště: spravovaná identita a přístupové klíče úložiště. U spravované identity se podporuje spravovaná identita přiřazená systémem a spravovaná identita přiřazená uživatelem. Ve výchozím nastavení je vybraná primární identita uživatele přiřazená k serveru. Pokud neexistuje žádná identita uživatele, vytvoří se spravovaná identita přiřazená systémem a použije se pro účely ověřování. Po výběru typu ověřování vyberte dobu uchování tak, že otevřete Rozšířené vlastnosti a vyberete Uložit. Protokoly starší než doba uchovávání se odstraní.
Poznámka:
Pokud nasazujete z webu Azure Portal, ujistěte se, že je účet úložiště ve stejné oblasti jako vaše databáze a server. Pokud nasazujete jinými metodami, může být účet úložiště v libovolné oblasti.
- Výchozí hodnota doby uchovávání je 0 (neomezené uchovávání). Tuto hodnotu můžete změnit tak, že při konfiguraci účtu úložiště pro auditování přesunete posuvník Uchování (dny) v rozšířených vlastnostech .
- Pokud změníte dobu uchovávání od 0 (neomezeného uchovávání) na jinou hodnotu, bude uchovávání platit pouze pro protokoly zapsané po změně hodnoty uchovávání. Protokoly zapsané během období, kdy byly dny uchovávání nastaveny na neomezenou dobu uchovávání, se zachovají i po povolení uchovávání.
Auditování do cíle Log Analytics
Pokud chcete nakonfigurovat zápis protokolů auditu do pracovního prostoru služby Log Analytics, vyberte Log Analytics a otevřete podrobnosti o Log Analytics. Vyberte pracovní prostor služby Log Analytics, ve kterém chcete protokoly ukládat, a pak vyberte OK. Pokud jste nevytvořili pracovní prostor služby Log Analytics, přečtěte si téma Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal.
Auditování do cíle služby Event Hubs
Pokud chcete nakonfigurovat zápis protokolů auditu do centra událostí, vyberte Centrum událostí. Vyberte centrum událostí, do kterého chcete protokoly uložit, a pak vyberte Uložit. Ujistěte se, že je centrum událostí ve stejné oblasti jako databáze a server.
Poznámka:
Pokud používáte více cílů, jako je účet úložiště, log analytics nebo centrum událostí, ujistěte se, že máte oprávnění pro všechny cíle, jinak by se konfigurace auditu neuloží, protože se pokusí uložit nastavení pro všechny cíle.