Esercitazione: Configurare i log di controllo usando Database di Azure per MySQL - Server flessibile

  • Articolo

SI APPLICA A: Database di Azure per MySQL - Server flessibile

È possibile usare Database di Azure per MySQL server flessibile per configurare i log di controllo. I log di controllo possono essere usati per tenere traccia delle attività a livello di database, inclusi gli eventi DML (Connection, Administration, Data Definition Language) e Data Manipulation Language (DML). Questi tipi di log vengono comunemente usati per finalità di conformità. In genere si usa il controllo del database per:

  • Tenere conto di tutte le azioni eseguite all'interno di uno schema, una tabella o una riga specifici o che influiscono su contenuto specifico.
  • Impedire agli utenti (o ad altri) di eseguire azioni inappropriate in base alla responsabilità.
  • Analizzare le attività sospette.
  • Monitorare e raccogliere dati sulle attività specifiche del database.

Questo articolo illustra come usare i log di controllo mySQL, gli strumenti di Analitica di log o un modello di cartella di lavoro per visualizzare le informazioni di controllo per Database di Azure per MySQL server flessibile.

Questa esercitazione illustra come:

  • Configurare il controllo usando il portale di Azure o l'interfaccia della riga di comando di Azure
  • Configurare la diagnostica
  • Visualizzare i log di controllo usando Log Analitica
  • Visualizzare i log di controllo usando cartelle di lavoro

Prerequisiti

Configurare il controllo usando il portale di Azure

  1. Accedere al portale di Azure.

  2. Selezionare l'istanza del server flessibile.

  3. Nel riquadro sinistro, in Impostazioni selezionare Parametri del server.

    Screenshot che mostra l'elenco

  4. Per il parametro audit_log_enabled selezionare ON.

    Screenshot che mostra il parametro 'audit_log_enabled' passato a 'ON'.

  5. Per il parametro audit_log_events , nell'elenco a discesa selezionare i tipi di evento da registrare.

    Screenshot delle opzioni dell'evento nell'elenco a discesa

  6. Per i parametri audit_log_exclude_users e audit_log_include_users , specificare gli utenti mySQL da includere o escludere dalla registrazione specificando i propri nomi utente MySQL.

    Screenshot che mostra i nomi utente MySQL da includere o escludere dalla registrazione.

  7. Seleziona Salva.

    Screenshot del pulsante

Configurare il controllo usando l'interfaccia della riga di comando di Azure

In alternativa, è possibile abilitare e configurare il controllo per il server flessibile dall'interfaccia della riga di comando di Azure eseguendo il comando seguente:

# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON

Configurare la diagnostica

I log di controllo sono integrati con le impostazioni di diagnostica di Monitoraggio di Azure per consentire di inviare i log a uno dei tre sink di dati seguenti:

  • Un'area di lavoro Log Analytics
  • Un hub eventi
  • Un account di archiviazione

Nota

È necessario creare i sink di dati prima di configurare le impostazioni di diagnostica. È possibile accedere ai log di controllo nei sink di dati configurati. La visualizzazione dei log può richiedere fino a 10 minuti.

  1. Selezionare Impostazioni di diagnostica in Monitoraggio nel riquadro sinistro.

  2. Nel riquadro Impostazioni di diagnostica selezionare Aggiungi impostazione di diagnostica.

    Screenshot del collegamento

  3. Nella casella Nome immettere un nome per l'impostazione di diagnostica.

    Screenshot del riquadro

  4. Specificare le destinazioni (log Analitica'area di lavoro, un hub eventi o un account di archiviazione) a cui inviare i log di controllo selezionando le caselle di controllo corrispondenti.

    Nota

    Per questa esercitazione si invieranno i log di controllo a un'area di lavoro Log Analitica.

  5. In Log selezionare la casella di controllo MySqlAuditLogs per il tipo di log.

  6. Dopo aver configurato i sink di dati per inviare tramite pipe i log di controllo a, selezionare Salva.

Visualizzare i log di controllo usando Log Analitica

  1. In Log Analitica, nel riquadro sinistro, in Monitoraggio selezionare Log.

  2. Chiudere la finestra Query .

    Screenshot del riquadro Log Analitica 'Query'.

  3. Nella finestra della query è possibile scrivere la query da eseguire. Ad esempio, per trovare un riepilogo degli eventi controllati in un determinato server, è stata usata la query seguente:

    AzureDiagnostics
    |where Category =='MySqlAuditLogs' 
    |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s 
    |summarize count() by event_class_s,event_subclass_s 
    |order by event_class_s

    Screenshot di un esempio di query log Analitica che cerca di trovare un riepilogo degli eventi controllati in un determinato server.

Visualizzare i log di controllo usando cartelle di lavoro

Il modello di cartella di lavoro usato per il controllo richiede la creazione di impostazioni di diagnostica per l'invio dei log della piattaforma.

  1. Nel riquadro sinistro di Monitoraggio di Azure selezionare Log attività e quindi impostazioni di diagnostica.

    Screenshot che mostra la scheda

  2. Nel riquadro Impostazioni di diagnostica è possibile aggiungere una nuova impostazione o modificarne una esistente. Ogni impostazione non può avere più di un tipo di destinazione.

    Screenshot del riquadro

    Nota

    È possibile accedere ai log di query lente nei sink di dati (area di lavoro log Analitica, account di archiviazione o hub eventi) già configurati. La visualizzazione dei log può richiedere fino a 10 minuti.

  3. Nel portale di Azure, nel riquadro sinistro, in Monitoraggio per l'istanza del server flessibile Database di Azure per MySQL selezionare Cartelle di lavoro.

  4. Selezionare la cartella di lavoro Controllo .

    Screenshot che mostra tutte le cartelle di lavoro nella raccolta cartelle di lavoro.

Nella cartella di lavoro è possibile visualizzare le visualizzazioni seguenti:

  • Azioni amministrative sul servizio
  • Riepilogo controllo
  • Riepilogo degli eventi di connessione di controllo
  • Controlla eventi di connessione
  • Riepilogo dell'accesso alle tabelle
  • Errori identificati

Screenshot del modello di cartella di lavoro 'Azioni amministrative nel servizio'.

Screenshot del modello di cartella di lavoro 'Controlla eventi di connessione'.

Nota

  • È anche possibile modificare questi modelli e personalizzarli in base alle esigenze. Per altre informazioni, vedere la sezione "Modalità di modifica" di Cartelle di lavoro di Azure.
  • Per una visualizzazione rapida, è anche possibile aggiungere le cartelle di lavoro o log Analitica query al dashboard. Per altre informazioni, vedere Creare un dashboard nel portale di Azure.

Le azioni amministrative nella visualizzazione del servizio offrono informazioni dettagliate sulle attività eseguite sul servizio. Consente di determinare cosa , chi e quando per qualsiasi operazione di scrittura (PUT, POST, DELETE) eseguita sulle risorse nella sottoscrizione.

È possibile usare altre visualizzazioni per comprendere i dettagli dell'attività del database. La sicurezza del database ha quattro parti:

  • Sicurezza del server: responsabile della prevenzione dell'accesso al database da parte del personale non autorizzato.
  • Connessione al database: l'amministratore deve verificare se gli aggiornamenti del database sono stati eseguiti dal personale autorizzato.
  • Controllo di accesso alle tabelle: mostra le chiavi di accesso degli utenti autorizzati e le tabelle all'interno del database che ognuno è autorizzato a gestire.
  • Restrizione dell'accesso al database: particolarmente importante per coloro che hanno caricato un database in Internet e impedisce alle origini esterne di accedere al database.

Passaggi successivi