Azure SQL Veritabanı ve Azure Synapse Analytics için denetim
Şunlar için geçerlidir: Azure Synapse Analytics Azure SQL Veritabanı
Azure SQL Veritabanı nedir? denetimi ve Azure Synapse Analytics veritabanı olaylarını izler ve bunları Azure depolama hesabınızda, Log Analytics çalışma alanınızda veya Event Hubs'larınızda bir denetim günlüğüne yazar.
Denetim şunları da sağlar:
Mevzuatla uyumluluk, veritabanı etkinliğini anlama ve işletme sorunlarını veya şüpheli güvenlik ihlallerini işaret edebilecek farklılıklar ve anormal durumlar hakkında içgörü sahip olmanıza yardımcı olur.
Uyumluluğu garanti etmese bile uyumluluk standartlarına uymayı sağlar ve kolaylaştırır. Daha fazla bilgi için SQL Veritabanı uyumluluk sertifikalarının en güncel listesini bulabileceğiniz Microsoft Azure Güven Merkezi'ne bakın.
Not
Azure SQL Yönetilen Örneği denetimi hakkında bilgi için bkz. Azure SQL Yönetilen Örneği denetimi kullanmaya başlama.
Genel bakış
SQL Veritabanı denetimini kullanarak şunları yapabilirsiniz:
- Seçili olayların denetim kaydını tutun . Denetlenecek veritabanı eylemi kategorilerini tanımlayabilirsiniz.
- Veritabanı etkinliğiyle ilgili rapor . Etkinlik ve olay raporlamaya hızlı bir başlangıç yapmak için önceden yapılandırılmış raporları ve bir panoyu kullanabilirsiniz.
- Raporları analiz etme . Şüpheli olayları, alışılmışın dışındaki etkinlikleri ve eğilimleri bulabilirsiniz.
Önemli
Azure SQL Veritabanı, Azure Synapse Analytics SQL havuzları ve Azure SQL Yönetilen Örneği için denetim, denetlenen veritabanının veya örneğin kullanılabilirliği ve performansı için iyileştirilmiştir. Çok yüksek etkinlik veya yüksek ağ yükü dönemlerinde denetim özelliği, denetim için işaretlenen tüm olayları kaydetmeden işlemlerin devam etmelerine olanak tanıyabilir.
Denetim sınırlamaları
- Duraklatılmış bir Azure Synapse SQL havuzunda denetimi etkinleştirme desteklenmez. Denetimi etkinleştirmek için Synapse SQL havuzunu sürdürebilirsiniz.
- Azure Synapse'te Kullanıcı Tarafından Atanan Yönetilen Kimlik (UAMI) kullanılarak denetimin etkinleştirilmesi desteklenmez.
- Depolama hesabı bir sanal ağın veya güvenlik duvarının arkasında olmadığı sürece, yönetilen kimlikler şu anda Azure Synapse için desteklenmez.
- Azure Synapse SQL havuzları için denetim yalnızca varsayılan denetim eylem gruplarını destekler.
- Azure'da bir mantıksal sunucu için denetimi yapılandırdığınızda veya günlük hedefini depolama hesabı olarak Azure SQL Veritabanı, kimlik doğrulama modunun bu depolama hesabının yapılandırmasıyla eşleşmesi gerekir. Kimlik doğrulama türü olarak depolama erişim anahtarları kullanılıyorsa, hedef depolama hesabının depolama hesabı anahtarlarına erişimle etkinleştirilmesi gerekir. Depolama hesabı yalnızca Microsoft Entra Id (eski adıYla Azure Active Directory) ile kimlik doğrulamasını kullanacak şekilde yapılandırılmışsa, denetim, kimlik doğrulaması için yönetilen kimlikleri kullanacak şekilde yapılandırılabilir.
Açıklamalar
- BlockBlobStorage ile premium depolama desteklenir. Standart depolama desteklenir. Ancak, denetimin sanal ağ veya güvenlik duvarının arkasındaki bir depolama hesabına yazabilmesi için genel amaçlı bir v2 depolama hesabınız olmalıdır. Genel amaçlı v1 veya Blob Depolama hesabınız varsa, genel amaçlı v2 depolama hesabına yükseltin. Belirli yönergeler için bkz . Sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabına denetim yazma. Daha fazla bilgi için bkz . Depolama hesabı türleri.
- BlockBlobStorage ile her tür standart depolama hesabı ve premium depolama hesabı için hiyerarşik ad alanı desteklenir.
- Denetim günlükleri, Azure aboneliğinizdeki bir Azure Blob Depolama Blob Ekleme'ye yazılır
- Denetim günlükleri .xel biçimindedir ve SQL Server Management Studio (SSMS) ile açılabilir.
- Sunucu veya veritabanı düzeyinde denetim olayları için sabit bir günlük deposu yapılandırmak için Azure Depolama tarafından sağlanan yönergeleri izleyin. Sabit blob depolamayı yapılandırırken Ek eklemelere izin ver'i seçtiğinizden emin olun.
- Denetim günlüklerini sanal ağ veya güvenlik duvarının arkasındaki bir Azure Depolama hesabına yazabilirsiniz.
- Günlük biçimi, depolama klasörünün hiyerarşisi ve adlandırma kuralları hakkında ayrıntılı bilgi için denetim günlüğü biçimini SQL Veritabanı makalesine bakın.
- Salt okunur sorgu iş yüklerini boşaltmak için salt okunur çoğaltmaları kullanma denetimi otomatik olarak etkinleştirilir. Depolama klasörlerinin hiyerarşisi, adlandırma kuralları ve günlük biçimi hakkında daha fazla bilgi için denetim günlüğü biçimini SQL Veritabanı makalesine bakın.
- Microsoft Entra kimlik doğrulaması kullanılırken başarısız oturum açma kayıtları SQL denetim günlüğünde görünmez . Başarısız oturum açma denetim kayıtlarını görüntülemek için, bu olayların ayrıntılarını günlüğe kaydeden Microsoft Entra yönetim merkezini ziyaret etmeniz gerekir.
- Oturum açma işlemleri ağ geçidi tarafından veritabanının bulunduğu belirli örneğe yönlendirilir. Microsoft Entra oturum açma bilgileriyle, istenen veritabanında oturum açmak için bu kullanıcıyı kullanmaya çalışmadan önce kimlik bilgileri doğrulanır. Başarısız olması durumunda istenen veritabanına hiçbir şekilde erişilemez ve dolayısıyla hiçbir denetim gerçekleştirilmez. SQL oturum açma bilgileriyle, kimlik bilgileri istenen veriler üzerinde doğrulanır, bu nedenle bu durumda denetlenebilirler. Her iki durumda da, veritabanına ulaştığı açıkça görülen başarılı oturum açma işlemleri denetlenir.
- Denetim ayarlarınızı yapılandırdıktan sonra yeni tehdit algılama özelliğini açabilir ve güvenlik uyarılarını almak için e-postaları yapılandırabilirsiniz. Tehdit algılamayı kullandığınızda, olası güvenlik tehditlerine işaret ediyor olabilecek anormal veritabanı etkinliklerinde proaktif uyarılar alırsınız. Daha fazla bilgi için bkz . SQL Gelişmiş Tehdit Koruması.
- Denetimin etkinleştirildiği bir veritabanı başka bir mantıksal sunucuya kopyalandıktan sonra, denetimin başarısız olduğunu bildiren bir e-posta alabilirsiniz. Bu bilinen bir sorundur ve denetim yeni kopyalanan veritabanında beklendiği gibi çalışmalıdır.