Configurare il controllo per il database SQL di Azure e Azure Synapse Analytics
Si applica a: Database SQL di Azure, Azure Synapse Analytics
In questo articolo, viene illustrata la configurazione del controllo per il server logico o il database in database SQL di Azure e Azure Synapse Analytics.
Configurare il controllo per il server
I criteri di controllo predefinito includono il set di gruppi di azioni seguente, che controlla tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Per configurare il controllo per diversi tipi di azioni e gruppi di azioni tramite PowerShell, vedere Gestire il controllo del database SQL di Azure usando le API.
Il controllo del database SQL di Azure e di Azure Synapse Analytics può archiviare 4000 caratteri di dati per i campi di tipo carattere in un record di controllo. Quando i valori statement o data_sensitivity_information restituiti da un'azione controllabile contengono più di 4000 caratteri, i dati oltre i primi 4000 caratteri vengono troncati e non controllati.
Nella sezione seguente è descritta la configurazione del controllo mediante il portale di Azure.
Nota
Non è possibile abilitare il controllo su un pool SQL dedicato sospeso. Per abilitare il controllo, riavviare il pool SQL dedicato.
Quando il controllo è configurato per un'area di lavoro Log Analytics o per una destinazione di Hub eventi nel portale di Azure o in cmdlet di PowerShell, viene creata un'impostazione di diagnostica con la categoria SQLSecurityAuditEvents
abilitata.
Vai al portale di Azure.
Passare a Controllo nell'intestazione Sicurezza nel riquadro database SQL o server SQL.
Se si preferisce configurare un criterio di controllo del server, è possibile selezionare il collegamento Visualizza impostazioni del server nella pagina relativa al controllo del database. Si possono quindi visualizzare o modificare le impostazioni di controllo del server. I criteri di controllo del server si applicano a tutti i database esistenti e ai nuovi database creati in questo server.
Se si preferisce abilitare il controllo a livello di database, impostare Controllo su ATTIVA. Se il controllo del server è abilitato, il controllo configurato del database coesiste con il controllo del server.
Sono ora disponibili più opzioni per configurare dove archiviare i log di controllo. È possibile scrivere i log in un account di archiviazione di Azure, in un'area di lavoro Log Analytics per l'utilizzo tramite log di Monitoraggio di Azure o in un hub eventi per l'utilizzo tramite Hub eventi. È possibile configurare qualsiasi combinazione di queste opzioni e vengono scritti i log di controllo per ognuno.
Controllo nella destinazione di archiviazione
Per configurare la scrittura dei log di controllo in un account di archiviazione, selezionare Archiviazione quando si arriva alla sezione Controllo. Selezionare l'account di archiviazione Azure dove salvare i log. È possibile usare i due tipi di autenticazione di archiviazione seguenti: Identità gestita e Chiavi di accesso alle risorse di archiviazione. Per l'identità gestita è supportata l'identità gestita assegnata dal sistema e assegnata dall'utente. Per impostazione predefinita è selezionata l'identità utente primaria assegnata al server. Se non è presente alcuna identità utente, viene creata e usata a scopo di autenticazione un'identità gestita assegnata dal sistema. Dopo aver scelto un tipo di autenticazione, selezionare un periodo di conservazione aprendo Proprietà avanzate e selezionando Salva. I log antecedenti al periodo di conservazione vengono eliminati.
Nota
Se si esegue l'implementazione dal portale di Azure, assicurarsi che l'account di archiviazione si trovi nella stessa area del database e del server. Se si esegue l'implementazione tramite altri metodi, l'account di archiviazione può trovarsi in qualsiasi area.
- Il valore predefinito per il periodo di conservazione è 0 (conservazione illimitata). È possibile cambiare questo valore spostando il dispositivo di scorrimento Conservazione (giorni) in Proprietà avanzate quando si configura l'account di archiviazione per il controllo.
- Se si modifica il periodo di conservazione da 0 (conservazione illimitata) a un altro valore, la conservazione verrà applicata solo ai log scritti dopo la modifica del valore di conservazione. I log scritti durante il periodo in cui i giorni di conservazione erano stati impostati su conservazione illimitata vengono mantenuti, anche dopo l'abilitazione della conservazione.
Controllo per la destinazione di Log Analytics
Per configurare la scrittura dei log di controllo in un'area di lavoro Log Analytics, selezionare Log Analytics e aprire Dettagli di Log Analytics. Selezionare l'area di lavoro Log Analytics in cui archiviare i log, quindi selezionare OK. Se non è stata creata un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.
Controllo per la destinazione dell'Hub eventi
Per configurare la scrittura dei log a un hub eventi, selezionare Hub eventi. Selezionare l'hub eventi in cui si vogliono archiviare i log, quindi selezionare Salva. Assicurarsi che l'hub eventi si trovi nella stessa area del database e server.
Nota
Se si usano più destinazioni come l'account di archiviazione, Log Analytics o l'hub eventi, assicurarsi di disporre delle autorizzazioni per tutte le destinazioni, altrimenti il salvataggio della configurazione di controllo avrà esito negativo perché tenterà di salvare le impostazioni per tutte le destinazioni.