Ověření tabulky registru pro detekci manipulace

Platí pro: SQL Server 2022 (16.x) a novější verze Azure SQL DatabaseAzure SQL Managed Instance

V tomto článku ověříte integritu dat v tabulkách registru. Pokud jste ve své databázi nakonfigurovali automatické úložiště digest, postupujte podle oddílu T-SQL s použitím automatického úložiště digest. V opačném případě postupujte podle části T-SQL pomocí ručně generovaného souhrnu.

Požadavky

• Pokud používáte Azure SQL Database nebo Azure SQL Managed Instance, máte aktivní předplatné Azure. Pokud žádné nemáte, vytvořte si bezplatný účet.
• Vytvářejte a používejte aktualizovatelné tabulky registru nebo vytvářejte a používejte tabulky registru pouze pro připojení.
• SQL Server Management Studio.
• Možnost databáze ALLOW_SNAPSHOT_ISOLATION musí být v databázi povolená, než budete moct spustit uložené procedury ověření.

Proveďte ověření účetní knihy pro databázi

T-SQL s využitím automatického úložiště digest

1. Připojte se k databázi pomocí aplikace SQL Server Management Studio.

2. Vytvořte nový dotaz s následujícím příkazem T-SQL:

   DECLARE @digest_locations NVARCHAR(MAX) = (SELECT * FROM sys.database_ledger_digest_locations FOR JSON AUTO, INCLUDE_NULL_VALUES);SELECT @digest_locations as digest_locations;
   BEGIN TRY
       EXEC sys.sp_verify_database_ledger_from_digest_storage @digest_locations;
       SELECT 'Ledger verification succeeded.' AS Result;
   END TRY
   BEGIN CATCH
       THROW;
   END CATCH
   

   Poznámka:

   Ověřovací skript najdete také na webu Azure Portal. Otevřete Azure Portal a vyhledejte databázi, kterou chcete ověřit. V části Zabezpečení vyberte možnost Ledger. V podokně Registru vyberte </> Ověřit databázi.

3. Spusťte dotaz. Uvidíte, že digest_locations vrátí aktuální umístění, kde jsou uloženy hodnoty hash databáze a všechna předchozí umístění. Výsledek vrátí úspěch nebo selhání ověření registru.

   

4. Otevřete sadu výsledků digest_locations a zobrazte umístění svých digestů. Následující příklad ukazuje dvě umístění úložiště digest pro tuto databázi:

   • cesta označuje umístění hodnot hash.

   • last_digest_block_id označuje ID bloku posledního digestu uloženého v umístění cesty .

   • is_current označuje, jestli je umístění na cestě současné (pravda) nebo předchozí (nepravdivé).

     [
      {
          "path": "https:\/\/digest1.blob.core.windows.net\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 10016,
          "is_current": true
      },
      {
          "path": "https:\/\/jandersneweracl.confidential-ledger.azure.com\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 1704,
          "is_current": false
      }
     ]
     

   Důležité

   Při spuštění ověření registru zkontrolujte umístění digest_locations a ujistěte se, že se hodnoty hash použité při ověření načítají z očekávaných umístění. Chcete zajistit, aby privilegovaný uživatel nezměnil umístění úložiště digest na nechráněné umístění úložiště, jako je Azure Storage, bez nakonfigurovaných a uzamčených zásad neměnnosti.

5. V okně Výsledky vrátí ověření následující zprávu.

   • Pokud v databázi nedošlo k manipulaci, zpráva je následující:

     Ledger verification successful
     

   • Pokud v databázi došlo k manipulaci, zobrazí se v okně Zprávy následující chyba:

     Failed to execute query. Error: The hash of block xxxx in the database ledger doesn't match the hash provided in the digest for this block.
     

T-SQL s využitím ručně generovaného přehledu

1. Připojte se k databázi pomocí aplikace SQL Server Management Studio.

2. Vytvořte nový dotaz s následujícím příkazem T-SQL:

   EXECUTE sp_generate_database_ledger_digest;
   

3. Spusťte dotaz. Výsledky obsahují nejnovější souhrn databáze a představují hodnotu hash databáze v daném okamžiku. Zkopírujte obsah výsledků, které se mají použít v dalším kroku.

   

4. Vytvořte nový dotaz s následujícím příkazem T-SQL. Nahraďte <YOUR DATABASE DIGEST> hodnotou hash, kterou jste zkopírovali v předchozím kroku.

   EXECUTE sp_verify_database_ledger N'
   <YOUR DATABASE DIGEST>
   ';
   

5. Spusťte dotaz. Okno Zprávy obsahuje následující zprávu o úspěchu.

   

   Návod

   Spuštění ověření registru s nejnovějším digestem ověří databázi pouze od doby, kdy byl digest vygenerován, až do doby spuštění ověření. Pokud chcete ověřit, že historická data v databázi nebyla manipulována, spusťte ověření pomocí více souborů hash databáze. Začněte bodem v čase, pro který chcete databázi ověřit. Příklad ověření, který předává více hodnot hash, by vypadal podobně jako následující dotaz.

   EXECUTE sp_verify_database_ledger N'
   [
       {
           "database_name":  "ledgerdb",
           "block_id":  0,
           "hash":  "0xDC160697D823C51377F97020796486A59047EBDBF77C3E8F94EEE0FFF7B38A6A",
           "last_transaction_commit_time":  "2020-11-12T18:01:56.6200000",
           "digest_time":  "2020-11-12T18:39:27.7385724"
       },
       {
           "database_name":  "ledgerdb",
           "block_id":  1,
           "hash":  "0xE5BE97FDFFA4A16ADF7301C8B2BEBC4BAE5895CD76785D699B815ED2653D9EF8",
           "last_transaction_commit_time":  "2020-11-12T18:39:35.6633333",
           "digest_time":  "2020-11-12T18:43:30.4701575"
       }
   ]';
   

Poznámka:

V tomto příkladu zavoláme sp_generate_database_ledger_digest uloženou proceduru, která vygeneruje digest a použije ji okamžitě k ověření. Pokud ale zákazník používá vlastní důvěryhodné úložiště, může uložit digest do tohoto úložiště pro pozdější ověření.

Související obsah

• Přehled registru
• sys.database_ledger_digest_locations
• sp_verify_database_ledger_from_digest_storage
• sp_verify_database_ledger
• sp_generate_database_ledger_digest