Auditoría para Azure SQL Database y Azure Synapse Analytics

Se aplica a: Azure SQL Database Azure Synapse Analytics

La auditoría para ¿Qué es Azure SQL Database? y Azure Synapse Analytics realiza el seguimiento de eventos de base de datos y los escribe en un registro de auditoría en la cuenta de Azure Storage, el área de trabajo de Log Analytics o Event Hubs.

La auditoría también puede hacer lo siguiente:

  • Ayudar a mantener el cumplimiento de normativas, comprender la actividad de las bases de datos y conocer las discrepancias y anomalías que pueden indicar problemas en el negocio o infracciones de seguridad sospechosas.

  • Posibilitar y facilitar la observancia de estándares reguladores aunque no garantiza el cumplimiento. Para obtener más información, vea el Centro de confianza de Microsoft Azure, donde encontrará la lista más reciente de certificaciones de cumplimiento de SQL Database.

Nota:

Para más información sobre la auditoría de Azure SQL Managed Instance, consulte Introducción a la auditoría de Azure SQL Managed Instance.

Información general

Puede usar la auditoría de SQL Database para:

  • Conservar una traza de auditoría de eventos seleccionados. Puede definir categorías de acciones de base de datos para auditar.
  • Informar sobre la actividad de la base de datos. Puede usar informes preconfigurados y un panel para empezar rápidamente con el informe de actividades y eventos.
  • Analizar informes. Puede buscar eventos sospechosos, actividades inusuales y tendencias.

Importante

La auditoría de Azure SQL Database, grupos de SQL de Azure Synapse Analytics y Azure SQL Managed Instance está optimizada para la disponibilidad y el rendimiento de las bases de datos o instancias que se están auditando. Durante períodos de actividad muy alta o carga de red alta, la característica de auditoría puede permitir que las transacciones continúen sin registrar todos los eventos marcados para la auditoría.

Limitaciones de auditoría

  • No es posible habilitar la auditoría en un grupo de SQL de Azure Synapse en pausa. Para habilitarla, reanude el grupo de SQL de Synapse.
  • No se admite la habilitación de la auditoría mediante una identidad administrada asignada por el usuario (UAMI) en Azure Synapse.
  • Actualmente, Azure Synapse no admite identidades administradas, a menos que la cuenta de almacenamiento esté detrás de una red virtual o un firewall.
  • La auditoría de grupos de Azure Synapse SQLsolo admite grupos de acciones de auditoría predeterminados.
  • Al configurar la auditoría de un servidor lógico en Azure o Azure SQL Database con el destino de registro como una cuenta de almacenamiento, el modo de autenticación debe coincidir con la configuración de esa cuenta de almacenamiento. Si usa claves de acceso de almacenamiento como tipo de autenticación, la cuenta de almacenamiento de destino debe estar habilitada con acceso a las claves de la cuenta de almacenamiento. Si la cuenta de almacenamiento está configurada para usar solo la autenticación con Microsoft Entra ID (anteriormente Azure Active Directory), la auditoría se puede configurar para usar identidades administradas para la autenticación.

Comentarios

  • Se admite el almacenamiento Premium con BlockBlobStorage. Se admite el almacenamiento estándar. Sin embargo, para que la auditoría escriba en una cuenta de almacenamiento detrás de una red virtual o firewall, debe tener una cuenta de almacenamiento de uso general v2. Si tiene una cuenta de almacenamiento de uso general v1 o una cuenta de Blob Storage, actualice a una cuenta de almacenamiento de uso general v2. Para obtener instrucciones específicas, consulte cómo escribir auditorías en una cuenta de almacenamiento detrás de una red virtual y un firewall. Para obtener más información, consulte la sección Tipos de cuentas de almacenamiento.
  • Se admite el espacio de nombres jerárquico para todos los tipos de cuenta de almacenamiento Estándar y Premium con BlockBlobStorage.
  • Los registros de auditoría se escriben en blobs en anexos en Azure Blob Storage en su suscripción a Azure.
  • Los registros de auditoría tienen el formato .xel y se pueden abrir con SQL Server Management Studio (SSMS).
  • Para configurar un almacén de registros inmutable para los eventos de auditoría de nivel de servidor o base de datos, siga las instrucciones proporcionadas por Azure Storage. Asegúrese de que ha seleccionado Permitir anexiones adicionales al configurar el almacenamiento de blobs inmutable.
  • Puede escribir registros de auditoría en una cuenta de Azure Storage detrás de un firewall o una red virtual.
  • Para obtener más información sobre el formato del registro, la jerarquía de la carpeta de almacenamiento y las convenciones de nomenclatura, consulte el artículo sobre el formato del registro de auditoría de SQL Database.
  • La auditoría en Utilizar réplicas de solo lectura para descargar cargas de trabajo de consulta de solo lectura se activa automáticamente. Para más información sobre la jerarquía de las carpetas de almacenamiento, las convenciones de nomenclatura y el formato del registro, consulte el artículo sobre el formato del registro de auditoría de SQL Database.
  • Cuando se usa la autenticación de Microsoft Entra, los registros de inicios de sesión con error no aparecen en el registro de auditoría SQL. Para ver los registros de auditoría de inicios de sesión fallidos, deberá consultar el centro de administración de Microsoft Entra, que registra los detalles de tales eventos.
  • La puerta de enlace enruta los inicios de sesión a la instancia específica en la que se encuentra la base de datos. Con los inicios de sesión de Microsoft Entra, se comprueban las credenciales antes de intentar usar ese usuario para iniciar sesión en la base de datos solicitada. En caso de error, nunca se accede a la base de datos solicitada, por lo que no se produce ninguna auditoría. Con los inicios de sesión de SQL, las credenciales se comprueban en los datos solicitados, por lo que en este caso se pueden auditar. Los inicios de sesión correctos, que obviamente llegan a la base de datos, se auditan en ambos casos.
  • Después de configurar los valores de auditoría, puede activar la nueva característica de detección de amenazas y configurar los mensajes de correo para recibir alertas de seguridad. Cuando se usa la detección de amenazas, se reciben alertas proactivas sobre actividades anómalas de la base de datos que pueden indicar posibles amenazas de seguridad. Para obtener más información, consulte SQL Advanced Threat Protection.
  • Una vez que una base de datos con la auditoría habilitada se copia en otro servidor lógico, es posible que reciba un correo electrónico que le notificará que se ha producido un error en la auditoría. Se trata de un problema conocido y la auditoría debe funcionar según lo previsto en la base de datos recién copiada.