Usar a Auditoria para analisar logs e relatórios de auditoria
Aplica-se a: 
Banco de Dados SQL do Azure Azure Synapse Analytics
Este artigo fornece uma visão geral da análise de logs de auditoria usando Auditoria para banco de dados SQL do Azure e Azure Synapse Analytics. Você pode usar a Auditoria para analisar os logs de auditoria armazenados em:
- Log Analytics
- Hubs de Eventos
- Armazenamento do Azure
Analisar os logs usando o Log Analytics
Se você optar por gravar logs de auditoria no Log Analytics:
Use o portal do Azure.
Vá para o recurso de banco de dados relevante.
Na parte superior da página Auditoria do banco de dados, selecione Exibir logs de auditoria.
Você tem duas maneiras de exibir os logs:
Selecionando Log Analytics na parte superior da página Registros de auditoria abre a exibição no workspace do Log Analytics, onde você pode personalizar o intervalo de tempo e a consulta de pesquisa.
Selecionando Exibir painel na parte superior da página Registros de auditoria abre um painel que mostra as informações dos logs de auditoria, onde você poderá analisar detalhadamente os Insights de Segurança ou aceso a dados confidenciais. Esse painel foi projetado para ajudar a obter informações de segurança dos seus dados. Você também pode personalizar o intervalo de tempo e a consulta de pesquisa.
Como alternativa, você também pode acessar os logs de auditoria do menu Log Analytics. Abra seu espaço de trabalho do Log Analytics e, na seção Geral, e selecione Logs. Você pode começar com uma consulta simples, como: pesquisar "SQLSecurityAuditEvents" para exibir logs de auditoria. A partir desse ponto, você também pode usar os logs do Azure Monitor para executar pesquisas avançadas em seus dados de log de auditoria. Os logs do Azure Monitor fornecem insights operacionais em tempo real usando pesquisa integrada e painéis personalizados para analisar prontamente milhões de registros em todas as suas cargas de trabalho e servidores. Para ver mais informações úteis sobre o idioma e os comandos da pesquisa de logs do Azure Monitor, confira Referência de pesquisa dos logs do Azure Monitor.
Analisar logs usando Hubs de Eventos
Se você tiver escolhido gravar logs de auditoria no Hubs de Eventos:
- Para consumir dados de logs de auditoria dos Hubs de Eventos, você precisa configurar um fluxo para consumir eventos e gravá-las em um destino. Para obter mais informações, veja a Documentação de Hubs de Eventos do Azure.
- Os logs de auditoria no Hubs de Eventos são capturados no corpo dos eventos do Apache Avro e armazenados usando a formatação JSON com codificação UTF-8. Para ler os logs de auditoria, você pode usar as Ferramentas Avro, fluxos de eventos do Microsoft Fabric ou ferramentas similares que processam esse formato.
Analisar logs usando logs em uma conta de armazenamento do Azure
Se você optar por gravar logs de auditoria em uma conta de Armazenamento do Azure, poderá usar vários métodos para exibir os logs:
Os logs de auditoria são agregados na conta escolhida durante a instalação. Explore os logs de auditoria usando uma ferramenta como o Gerenciador de Armazenamento do Azure. No Armazenamento do Azure, os logs de auditoria de blob são salvos como uma coleção de arquivos de blob em um contêiner chamado sqldbauditlogs. Para obter mais informações sobre a hierarquia das pastas de armazenamento, as convenções de nomenclatura e o formato do log, confira Formato do log de auditoria do Banco de Dados SQL.
Use o portal do Azure.
Abra o recurso de banco de dados relevante.
Na parte superior da página Auditoria do banco de dados, selecione Exibir logs de auditoria.
A página Registros de auditoria é aberta e você pode exibir os logs.
Exiba datas específicas selecionando Filtro na parte superior da página Registros de auditoria.
Você pode alternar entre os registros de auditoria que foram criados pela política de auditoria de servidor e o política de auditoria de banco de dados ativando/desativando origem auditoria.
Use a função do sistema caractere
sys.fn_get_audit_file(T-SQL) para retornar os dados do log de auditoria em um formato tabular. Para obter mais informações sobre como usar essa função, veja sys.fn_get_audit_file.Use a opção Mesclar Arquivos de Auditoria no SQL Server Management Studio (a partir do SSMS 17):
No menu do SSMS, selecione Arquivo>Abrir>Mesclar Arquivos de Auditoria.
A caixa de diálogo Adicionar Arquivos de Auditoria será aberta. Selecione uma das opções Adicionar, escolha se deseja mesclar arquivos de auditoria de um disco local ou importá-los do Armazenamento do Azure. Você deve fornecer os detalhes do Armazenamento do Azure e a chave de conta.
Depois que todos os arquivos a serem mesclados forem adicionados, selecione OK para concluir a operação de mesclagem.
O arquivo mesclado é aberto no SSMS, no qual você pode exibi-lo e analisá-lo, bem como exportá-lo para um arquivo XEL ou CSV ou para uma tabela.
Use o Power BI. Você pode exibir e analisar dados do log de auditoria no Power BI. Para obter mais informações e para acessar um modelo para download, confira Analisar dados de log de auditoria no Power BI.
Baixe os arquivos de log do contêiner de Azure Storage Blob por meio do portal ou usando uma ferramenta como o Gerenciador de Armazenamento do Azure.
- Depois de baixar um arquivo de log localmente, clique duas vezes no arquivo para abrir, exibir e analisar os logs no SSMS.
- Baixe também vários arquivos simultaneamente por meio do Gerenciador de Armazenamento do Azure. Para isso, clique com o botão direito do mouse em uma subpasta específica e selecione Salvar como para salvar em uma pasta local.
Mais métodos:
- Depois de baixar vários arquivos ou uma subpasta que contém arquivos de log, você pode mesclá-los localmente, conforme descrito nas instruções de Arquivos de Auditoria de Mesclagem do SSMS indicadas anteriormente.
- Exibir logs de auditoria de blob programaticamente: consultar arquivos de eventos estendidos usando o PowerShell.