Configurer l’audit pour Azure SQL Database et Azure Synapse Analytics

S’applique à : Azure SQL Database Azure Synapse Analytics

Dans cet article, nous nous intéressons à la configuration de l’audit pour votre serveur logique ou votre base de données dans Azure SQL Database et Azure Synapse Analytics.

Configurer l’audit pour votre serveur

La stratégie d’audit par défaut englobe l’ensemble de groupes d’actions ci-dessous, qui audite toutes les requêtes et procédures stockées exécutées sur la base de données, ainsi que les connexions ayant abouti et échoué :

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Pour configurer l’audit pour différents types d’actions et de groupes d’actions à l’aide de PowerShell, consultez Gérer l’audit d’Azure SQL Database à l’aide des API.

L’audit d’Azure SQL Database et Azure Synapse Analytics peut stocker 4 000 caractères de données pour les champs de caractères contenus dans un enregistrement d’audit. Quand l’instruction ou les valeurs de data_sensitivity_information retournées par une action pouvant être auditée contiennent plus de 4 000 caractères, les données au-delà des 4 000 premiers caractères sont tronquées et non auditées.

La section suivante décrit la configuration de l’audit depuis le portail Azure.

Remarque

Vous ne pouvez pas activer l’audit sur un pool SQL dédié en pause. Pour activer l’audit, reprenez le pool SQL dédié.

Quand l’audit est configuré sur un espace de travail Log Analytics ou une destination Event Hubs au niveau du portail Azure ou d’une applet de commande PowerShell, un paramètre de diagnostic est créé avec la catégorie SQLSecurityAuditEvents activée.

  1. Accédez au portail Azure.

  2. Accédez à Audit sous l’en-tête Sécurité de votre volet SQL Database ou SQL Server.

  3. Si vous préférez définir une stratégie d’audit de serveur, vous pouvez sélectionner le lien Afficher les paramètres du serveur dans la page d’audit de la base de données. Vous pouvez alors afficher ou modifier les paramètres d’audit du serveur. Les stratégies d’audit de serveur s’appliquent aux bases de données existantes et à celles qui sont nouvellement créées sur le serveur.

    Capture d’écran montrant le lien Afficher les paramètres du serveur mis en évidence sur la page d’audit de la base de données.

  4. Si vous préférez activer l’audit au niveau base de données, définissez Audit sur ACTIVÉ. Si l’audit de serveur est activé, l’audit configuré par la base de données coexiste avec celui-ci.

  5. Vous disposez de plusieurs options pour configurer l’emplacement de stockage des journaux d’audit. Vous pouvez écrire des journaux d’activité dans un compte de stockage Azure ou dans un espace de travail Log Analytics pour qu’ils soient consommés par des journaux Azure Monitor, ou dans un hub d’événements pour qu’ils soient consommés par ce hub. Vous pouvez associer ces options comme vous le souhaitez ; les journaux d’audit sont écrits dans chacun des emplacements choisis.

    Capture d’écran montrant les options de stockage pour l’audit.

Écriture des journaux d’audit dans un compte de stockage

Pour configurer l’écriture des journaux d’audit dans un compte de stockage, sélectionnez Stockage lorsque vous accédez à la section Audit. Sélectionnez le compte de stockage Azure dans lequel vous souhaitez enregistrer vos journaux. Vous pouvez utiliser les deux types d’authentification de stockage suivants : Identité managée et Clés d’accès de stockage. En ce qui concerne l’identité managée, l’identité managée affectée par le système et l’identité managée affectée par l’utilisateur sont prises en charge. Par défaut, l’identité d’utilisateur principal attribuée au serveur est sélectionnée. S’il n’existe aucune identité d’utilisateur, une identité managée affectée par le système est créée et utilisée à des fins d’authentification. Une fois que vous avez choisi un type d’authentification, sélectionnez une période de rétention en ouvrant Propriétés avancées et en sélectionnant Enregistrer. Une fois la période de conservation écoulée, les journaux sont supprimés.

Capture d’écran montrant les types de d’authentification de compte de stockage pour l’audit.

Notes

Si vous opérez un déploiement à partir du portail Azure, vérifiez que le compte de stockage se trouve dans la même région que votre base de données et votre serveur. Si vous opérez un déploiement via d’autres méthodes, le compte de stockage peut se trouver dans n’importe quelle région.

  • La valeur par défaut de la période de conservation est 0 (conservation illimitée). Vous pouvez changer cette valeur en déplaçant le curseur Rétention (jours) dans Propriétés avancées lors de la configuration du compte de stockage à des fins d’audit.
    • Si vous faites passer la période de rétention de 0 (rétention illimitée) à toute autre valeur, la rétention s’applique uniquement aux journaux écrits après le changement de la valeur de rétention. Les journaux écrits pendant la période où les jours de rétention correspondaient à une rétention illimitée sont conservés, même après l’activation de la rétention.

Écriture des journaux d’audit dans Log Analytics

Pour configurer l’écriture des journaux d’audit dans un espace de travail Log Analytics, sélectionnez Log Analytics, puis ouvrez Détails de Log Analytics. Sélectionnez l’espace de travail Log Analytics dans lequel vous souhaitez que les journaux soient stockés, puis sélectionnez OK. Si vous n’avez pas créé d’espace de travail Log Analytics, consultez Créer un espace de travail Log Analytics sur le portail Azure.

Capture d’écran montrant l’espace de travail Log Analytics sélectionné.

Audit à destination d’Event Hubs

Pour configurer l’écriture des journaux d’audit dans un Event Hub, sélectionnez Event Hub. Sélectionnez le hub d’événements dans lequel les journaux doivent être stockés, puis sélectionnez Enregistrer. Veillez à ce que le hub d’événements se trouve dans la même région que votre base de données et votre serveur.

Capture d’écran montrant le hub d’événements.

Remarque

Si vous utilisez plusieurs cibles telles que le compte de stockage, l’analytique des journaux d’activité ou l’Event Hub, assurez-vous que vous disposez des autorisations pour toutes les cibles, autrement l’enregistrement de la configuration d’audit échouera, car il tentera d’enregistrer les paramètres pour toutes les cibles.

Étapes suivantes