Samouczek: konfigurowanie dzienników inspekcji przy użyciu usługi Azure Database for MySQL — serwer elastyczny

  • Artykuł

DOTYCZY: Azure Database for MySQL — serwer elastyczny

Do konfigurowania dzienników inspekcji można użyć elastycznego serwera usługi Azure Database for MySQL. Dzienniki inspekcji mogą służyć do śledzenia aktywności na poziomie bazy danych, w tym połączeń, administracji, języka definicji danych (DDL) i zdarzeń języka manipulowania danymi (DML). Te typy dzienników są często używane na potrzeby zapewniania zgodności. Zazwyczaj inspekcja bazy danych jest używana do:

  • Konto dla wszystkich akcji, które mają miejsce w określonym schemacie, tabeli lub wierszu, lub które mają wpływ na określoną zawartość.
  • Uniemożliwiaj użytkownikom (lub innym) niewłaściwe działania na podstawie ich odpowiedzialności.
  • Zbadaj podejrzane działania.
  • Monitorowanie i zbieranie danych dotyczących określonych działań bazy danych.

W tym artykule omówiono sposób używania dzienników inspekcji MySQL, narzędzi usługi Log Analytics lub szablonu skoroszytu w celu wizualizacji informacji inspekcji dla serwera elastycznego usługi Azure Database for MySQL.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie inspekcji przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure
  • Konfigurowanie diagnostyki
  • Wyświetlanie dzienników inspekcji przy użyciu usługi Log Analytics
  • Wyświetlanie dzienników inspekcji przy użyciu skoroszytów

Wymagania wstępne

Konfigurowanie inspekcji przy użyciu witryny Azure Portal

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz wystąpienie serwera elastycznego.

  3. W okienku po lewej stronie w obszarze Ustawienia wybierz pozycję Parametry serwera.

    Zrzut ekranu przedstawiający listę

  4. Dla parametru audit_log_enabled wybierz pozycję .

    Zrzut ekranu przedstawiający parametr

  5. Dla parametru audit_log_events na liście rozwijanej wybierz typy zdarzeń do zarejestrowania.

    Zrzut ekranu przedstawiający opcje zdarzenia na liście rozwijanej

  6. W przypadku parametrów audit_log_exclude_users i audit_log_include_users określ użytkowników programu MySQL, które mają zostać dołączone lub wykluczone z rejestrowania, podając nazwy użytkowników mySQL.

    Zrzut ekranu przedstawiający nazwy użytkowników programu MySQL, które mają być dołączone lub wykluczone z rejestrowania.

  7. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający przycisk Zapisz w celu zapisania zmian w wartościach parametrów.

Konfigurowanie inspekcji przy użyciu interfejsu wiersza polecenia platformy Azure

Alternatywnie możesz włączyć i skonfigurować inspekcję serwera elastycznego z poziomu interfejsu wiersza polecenia platformy Azure, uruchamiając następujące polecenie:

# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON

Konfigurowanie diagnostyki

Dzienniki inspekcji są zintegrowane z ustawieniami diagnostyki usługi Azure Monitor, aby umożliwić potok dzienniki do dowolnego z trzech ujścia danych:

  • Obszar roboczy usługi Log Analytics
  • Centrum zdarzeń
  • Konto magazynu

Uwaga

Przed skonfigurowaniem ustawień diagnostycznych należy utworzyć ujścia danych. Możesz uzyskać dostęp do dzienników inspekcji w skonfigurowanych ujściach danych. Wyświetlenie dzienników może potrwać do 10 minut.

  1. W okienku po lewej stronie w obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

  2. W okienku Ustawienia diagnostyki wybierz pozycję Dodaj ustawienie diagnostyczne.

    Zrzut ekranu przedstawiający link

  3. W polu Nazwa wprowadź nazwę ustawienia diagnostyki.

    Zrzut ekranu przedstawiający okienko

  4. Określ miejsca docelowe (obszar roboczy usługi Log Analytics, centrum zdarzeń lub konto magazynu), do których mają być wysyłane dzienniki inspekcji, zaznaczając odpowiednie pola wyboru.

    Uwaga

    Na potrzeby tego samouczka wyślesz dzienniki inspekcji do obszaru roboczego usługi Log Analytics.

  5. W obszarze Dziennik jako typ dziennika zaznacz pole wyboru MySqlAuditLogs .

  6. Po skonfigurowaniu ujścia danych do potoku dzienników inspekcji wybierz pozycję Zapisz.

Wyświetlanie dzienników inspekcji przy użyciu usługi Log Analytics

  1. W usłudze Log Analytics w okienku po lewej stronie w obszarze Monitorowanie wybierz pozycję Dzienniki.

  2. Zamknij okno Zapytania.

    Zrzut ekranu przedstawiający okienko

  3. W oknie zapytania można napisać zapytanie do wykonania. Aby na przykład znaleźć podsumowanie zdarzeń inspekcji na określonym serwerze, użyliśmy następującego zapytania:

    AzureDiagnostics
    |where Category =='MySqlAuditLogs' 
    |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s 
    |summarize count() by event_class_s,event_subclass_s 
    |order by event_class_s

    Zrzut ekranu przedstawiający przykładowe zapytanie usługi Log Analytics, które szuka podsumowania zdarzeń inspekcji na określonym serwerze.

Wyświetlanie dzienników inspekcji przy użyciu skoroszytów

Szablon skoroszytu używany do inspekcji wymaga utworzenia ustawień diagnostycznych w celu wysyłania dzienników platformy.

  1. W usłudze Azure Monitor w okienku po lewej stronie wybierz pozycję Dziennik aktywności, a następnie wybierz pozycję Ustawienia diagnostyki.

    Zrzut ekranu przedstawiający kartę

  2. W okienku Ustawienia diagnostyczne możesz dodać nowe ustawienie lub edytować istniejące. Każde ustawienie nie może mieć więcej niż jednego typu miejsca docelowego.

    Zrzut ekranu przedstawiający okienko

    Uwaga

    Możesz uzyskać dostęp do dzienników wolnych zapytań w ujściach danych (obszar roboczy usługi Log Analytics, konto magazynu lub centrum zdarzeń), które zostały już skonfigurowane. Wyświetlenie dzienników może potrwać do 10 minut.

  3. W witrynie Azure Portal w okienku po lewej stronie w obszarze Monitorowanie wystąpienia serwera elastycznego usługi Azure Database for MySQL wybierz pozycję Skoroszyty.

  4. Wybierz skoroszyt inspekcji.

    Zrzut ekranu przedstawiający wszystkie skoroszyty w galerii skoroszytów.

W skoroszycie można wyświetlić następujące wizualizacje:

  • Akcje administracyjne w usłudze
  • Podsumowanie inspekcji
  • Podsumowanie zdarzeń połączenia inspekcji
  • Inspekcja zdarzeń połączenia
  • Podsumowanie dostępu do tabel
  • Zidentyfikowane błędy

Zrzut ekranu przedstawiający szablon skoroszytu

Zrzut ekranu przedstawiający szablon skoroszytu

Uwaga

Akcje administracyjne w widoku usługi zawierają szczegółowe informacje na temat działania wykonywanego w usłudze. Pomaga określić , co, kto i kiedy dla wszystkich operacji zapisu (PUT, POST, DELETE), które są wykonywane na zasobach w ramach subskrypcji.

Możesz użyć innych wizualizacji, aby lepiej zrozumieć szczegóły działania bazy danych. Zabezpieczenia bazy danych mają cztery części:

  • Zabezpieczenia serwera: Odpowiada za zapobieganie nieautoryzowanemu personelowi dostępu do bazy danych.
  • Połączenie z bazą danych: administrator powinien sprawdzić, czy jakiekolwiek aktualizacje bazy danych zostały wykonane przez autoryzowany personel.
  • Kontrola dostępu do tabel: pokazuje klucze dostępu autoryzowanych użytkowników oraz tabele w bazie danych, które są autoryzowane do obsługi.
  • Ograniczenie dostępu do bazy danych: szczególnie ważne dla tych, którzy przekazali bazę danych do Internetu, i pomaga zapobiec uzyskiwaniu dostępu do bazy danych zewnętrznych źródeł.

Następne kroki