Ověření tabulky registru pro detekci manipulace

Platí pro: SQL Server 2022 (16.x) a novější verze Azure SQL DatabaseAzure SQL Managed Instance

V tomto článku ověříte integritu dat v tabulkách registru. Pokud v databázi nakonfigurujete automatické ukládání digest, postupujte podle pokynů v části T-SQL využívající automatické ukládání digest. V opačném případě postupujte podle části T-SQL pomocí ručně generovaného souhrnu.

Požadavky

• Aktivní předplatné Azure, pokud používáte Azure SQL Database nebo Azure SQL Managed Instance. Pokud žádné nemáte, vytvořte si bezplatný účet.
• Vytvářejte a používejte aktualizovatelné tabulky registru nebo vytvářejte a používejte tabulky registru pouze pro připojení.
• SQL Server Management Studio.
• Před spuštěním uložených procedur ověřování povolte v databázi možnost ALTER DATABASE SET (Transact-SQL).

Proveďte ověření účetní knihy pro databázi

T-SQL s využitím automatického úložiště digest

1. Připojte se k databázi pomocí aplikace SQL Server Management Studio.

2. Vytvořte nový dotaz s následujícím příkazem T-SQL:

   DECLARE @digest_locations AS NVARCHAR (MAX) = (SELECT *
                                                  FROM sys.database_ledger_digest_locations
                                                  FOR JSON AUTO, INCLUDE_NULL_VALUES);
   SELECT @digest_locations AS digest_locations;
   BEGIN TRY
       EXECUTE sys.sp_verify_database_ledger_from_digest_storage @digest_locations;
       SELECT 'Ledger verification succeeded.' AS Result;
   END TRY
   BEGIN CATCH
       THROW;
   END CATCH
   

   Poznámka:

   Ověřovací skript najdete také na webu Azure Portal. Otevřete Azure Portal a vyhledejte databázi, kterou chcete ověřit. V části Zabezpečení vyberte možnost Ledger. V podokně Ledger vyberte Ověřit databázi.

3. Spusťte dotaz. Uvidíte, že digest_locations vrátí aktuální umístění, kde jsou uloženy souhrny databáze, a všechna předchozí umístění. Výsledek vrátí úspěch nebo selhání ověření registru.

   

4. Otevřete sadu výsledků a zobrazte umístění svých digestů. Následující příklad ukazuje dvě umístění úložiště digest pro tuto databázi:

   • path označuje umístění hodnot hash.

   • last_digest_block_id označuje ID bloku posledního uloženého souhrnu v umístění path.

   • is_current určuje, zda je umístění path aktuální (true) nebo předchozí (false).

     [
     {
          "path": "https:\/\/digest1.blob.core.windows.net\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 10016,
          "is_current": true
     },
     {
          "path": "https:\/\/jandersneweracl.confidential-ledger.azure.com\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 1704,
          "is_current": false
     }
     ]
     

   Důležité

   Když spustíte ověření registru, zkontrolujte umístění digest_locations a ujistěte se, že se digesty použité při ověření načítají z očekávaných míst. Ujistěte se, že privilegovaný uživatel nezmění umístění úložiště digest na nechráněné umístění úložiště, jako je Azure Storage, bez nakonfigurované a uzamčené zásady neměnnosti.

5. V okně Výsledky vrátí ověření následující zprávu.

   • Pokud v databázi není žádná manipulace, zobrazí se zpráva:

     Ledger verification successful
     

   • Pokud v databázi dojde k manipulaci, zobrazí se v okně Zprávy následující chyba:

     Failed to execute query. Error: The hash of block xxxx in the database ledger doesn't match the hash provided in the digest for this block.
     

T-SQL s využitím ručně generovaného přehledu

1. Připojte se k databázi pomocí aplikace SQL Server Management Studio.

2. Vytvořte nový dotaz s následujícím příkazem T-SQL:

   EXECUTE sp_generate_database_ledger_digest ;
   

3. Spusťte dotaz. Výsledky obsahují nejnovější souhrn databáze a představují hodnotu hash databáze v daném okamžiku. Zkopírujte obsah výsledků, který chcete použít v dalším kroku.

   

4. Vytvořte nový dotaz s následujícím příkazem T-SQL. Nahraďte <YOUR DATABASE DIGEST> hodnotou hash, kterou jste zkopírovali v předchozím kroku.

   EXECUTE sp_verify_database_ledger N'
   <YOUR DATABASE DIGEST>
   ';
   

5. Spusťte dotaz. Okno Zprávy obsahuje následující zprávu o úspěchu.

   

   Návod

   Spuštění ověření registru s nejnovějším digestem ověřuje databázi pouze od okamžiku, kdy byl digest vygenerován, až do okamžiku, kdy se spustí ověření. Pokud chcete ověřit, že historická data v databázi nebyla manipulována, spusťte ověření pomocí více souborů hash databáze. Začněte bodem v čase, pro který chcete databázi ověřit. Příklad ověření, který předává více hodnot hash, by vypadal podobně jako následující dotaz.

   EXECUTE sp_verify_database_ledger N'
   [
       {
           "database_name":  "ledgerdb",
           "block_id":  0,
           "hash":  "0xDC160697D823C51377F97020796486A59047EBDBF77C3E8F94EEE0FFF7B38A6A",
           "last_transaction_commit_time":  "2020-11-12T18:01:56.6200000",
           "digest_time":  "2020-11-12T18:39:27.7385724"
       },
       {
           "database_name":  "ledgerdb",
           "block_id":  1,
           "hash":  "0xE5BE97FDFFA4A16ADF7301C8B2BEBC4BAE5895CD76785D699B815ED2653D9EF8",
           "last_transaction_commit_time":  "2020-11-12T18:39:35.6633333",
           "digest_time":  "2020-11-12T18:43:30.4701575"
       }
   ]';
   

Poznámka:

V tomto příkladu zavoláte sp_generate_database_ledger_digest uloženou proceduru, která vygeneruje digest a použije ji okamžitě k ověření. Pokud ale zákazník použije vlastní důvěryhodné úložiště, může uložit digest do důvěryhodného úložiště pro pozdější ověření.

Související obsah

• Přehled registru
• sys.database_ledger_digest_locations
• sp_verify_database_ledger_from_digest_storage
• sp_verify_database_ledger
• sp_generate_database_ledger_digest