Formát protokolu auditu služby SQL Database
Platí pro:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Auditování služby Azure SQL Database sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure nebo je odesílá do centra událostí nebo Log Analytics pro zpracování a analýzu podřízeného zpracování a analýzy.
Zásady vytváření názvů
Audit objektů blob
Protokoly auditu uložené ve službě Azure Blob Storage se ukládají do kontejneru pojmenovaného sqldbauditlogs v účtu úložiště Azure. Hierarchie adresářů v rámci kontejneru je ve formuláři <ServerName>/<DatabaseName>/<AuditName>/<Date>/. Formát názvu souboru objektu blob je <CreationTime>_<FileNumberInSession>.xel, kde CreationTime je ve formátu UTC hh_mm_ss_ms a FileNumberInSession je spuštěný index v případě, že protokoly relací pokrývají více souborů objektů blob.
Například pro databázi Database1 na Server1 následující cestě je možná platná cesta:
Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel
Protokoly auditu replik jen pro čtení se ukládají do stejného kontejneru. Hierarchie adresářů v rámci kontejneru je ve formuláři <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. Název souboru objektu blob sdílí stejný formát. Protokoly auditu replik jen pro čtení se ukládají do stejného kontejneru.
Centrum událostí
Události auditu se zapisují do oboru názvů a centra událostí definovaných během konfigurace auditování, zachytávají se v textu událostí Apache Avro a ukládají se ve formátu JSON s kódováním UTF-8. Ke čtení protokolů auditu můžete použít nástroje Avro nebo podobné nástroje, které dokáží tento formát zpracovat.
Log Analytics
Události auditu se zapisují do pracovního prostoru služby Log Analytics definovaného během konfigurace auditování do AzureDiagnostics tabulky s kategorií SQLSecurityAuditEventsa do tabulky s kategorií DevOpsOperationsAudit pro podpora Microsoftu Operations. Další užitečné informace o jazyku a příkazech pro vyhledávání v Log Analytics najdete v referenčních informacích o vyhledávání v Log Analytics.
Pole protokolu auditu
| Název (objekt blob) | Název (Event Hubs/Log Analytics) | Popis | Typ objektu blob | Event Hubs /Log Analytics – typ |
|---|---|---|---|---|
| action_id | action_id_s | ID akce | varchar(4) | řetězec |
| action_name | action_name_s | Název akce | – | řetězec |
| additional_information | additional_information_s | Všechny další informace o události uložené jako XML | nvarchar(4000) | řetězec |
| affected_rows | affected_rows_d | Počet řádků ovlivněných dotazem | bigint | int |
| application_name | application_name_s | Název klientské aplikace | nvarchar(128) | řetězec |
| audit_schema_version | audit_schema_version_d | Vždy 1 | int | int |
| class_type | class_type_s | Typ auditovatelné entity, u které probíhá audit | varchar(2) | řetězec |
| class_type_desc | class_type_description_s | Popis auditovatelné entity, u které probíhá audit | – | řetězec |
| client_ip | client_ip_s | Zdrojová IP adresa klientské aplikace | nvarchar(128) | řetězec |
| connection_id | – | ID připojení na serveru | Identifikátor GUID | – |
| data_sensitivity_information | data_sensitivity_information_s | Typy informací a popisky citlivosti vrácené auditovaným dotazem na základě klasifikovaných sloupců v databázi. Další informace o zjišťování a klasifikaci dat Azure SQL Database | nvarchar(4000) | řetězec |
| Název_databáze | database_name_s | Kontext databáze, ve kterém došlo k akci | Sysname | řetězec |
| database_principal_id | database_principal_id_d | ID kontextu uživatele databáze, ve které se akce provádí | int | int |
| database_principal_name | database_principal_name_s | Název kontextu uživatele databáze, ve kterém se akce provádí | Sysname | řetězec |
| duration_milliseconds | duration_milliseconds_d | Doba trvání provádění dotazů v milisekundách | bigint | int |
| event_time | event_time_t | Datum a čas, kdy se aktivuje auditovatelná akce | datetime2 | datetime |
| Název_hostitele | – | Název hostitele klienta | řetězec | – |
| is_column_permission | is_column_permission_s | Příznak označující, jestli se jedná o oprávnění na úrovni sloupce. 1 = pravda, 0 = nepravda | bitové | řetězec |
| – | is_server_level_audit_s | Příznak označující, jestli je tento audit na úrovni serveru | – | řetězec |
| ID object_ | object_id_d | ID entity, na které došlo k auditu. Patří sem objekty serveru, databáze, databázové objekty a objekty schématu. 0, pokud je entita samotným serverem nebo pokud se audit neprovádí na úrovni objektu | int | int |
| Object_name | object_name_s | Název entity, na které došlo k auditu. Patří sem objekty serveru, databáze, databázové objekty a objekty schématu. 0, pokud je entita samotným serverem nebo pokud se audit neprovádí na úrovni objektu | Sysname | řetězec |
| obo_middle_tier_app_id | obo_middle_tier_app_id_s | ID aplikace střední vrstvy, která se připojila ke službě SQL Database pomocí přístupu OBO. | varchar(120) | řetězec |
| permission_bitmask | permission_bitmask_s | Pokud je to možné, zobrazí se oprávnění udělená, zamítnutá nebo odvolaná. | varbinary(16) | řetězec |
| response_rows | response_rows_d | Počet řádků vrácených v sadě výsledků | bigint | int |
| Schema_name | schema_name_s | Kontext schématu, ve kterém došlo k akci. NULL pro audity, ke kterým dochází mimo schéma | Sysname | řetězec |
| – | securable_class_type_s | Zabezpečitelný objekt, který se mapuje na auditovaný class_type | – | řetězec |
| sequence_group_id | sequence_group_id_g | Jedinečný identifikátor | Varbinary | Identifikátor GUID |
| sequence_number | sequence_number_d | Sleduje posloupnost záznamů v rámci jednoho záznamu auditu, který byl příliš velký, aby se vešl do vyrovnávací paměti zápisu pro audity. Všimněte si, že Azure SQL Database a Azure Synapse Audit ukládají 4000 znaků dat pro pole znaků v záznamu auditu. Pokud je více než 4 000 znaků, zkrátí se všechna data nad rámec prvních 4 000 znaků. | int | int |
| server_instance_name | server_instance_name_s | Název instance serveru, ve které došlo k auditu | Sysname | řetězec |
| server_principal_id | server_principal_id_d | ID přihlašovacího kontextu, ve kterém se akce provádí | int | int |
| server_principal_name | server_principal_name_s | Aktuální přihlášení | Sysname | řetězec |
| server_principal_sid | server_principal_sid_s | SiD aktuálního přihlášení | Varbinary | řetězec |
| Session_id | session_id_d | ID relace, na které došlo k události | smallint | int |
| session_server_principal_name | session_server_principal_name_s | Instanční objekt serveru pro relaci | Sysname | řetězec |
| příkaz | statement_s | Příkaz T-SQL, který byl proveden (pokud existuje) | nvarchar(4000) | řetězec |
| Podařilo | succeeded_s | Určuje, jestli akce, která aktivovala událost, byla úspěšná. U událostí jiných než přihlášení a dávky se hlásí pouze to, jestli byla kontrola oprávnění úspěšná nebo neúspěšná, ne operace. 1 = úspěch, 0 = selhání | bitové | řetězec |
| target_database_principal_id | target_database_principal_id_d | Objekt zabezpečení databáze, na které se provádí operace GRANT/DENY/REVOKE. 0, pokud není k dispozici | int | int |
| target_database_principal_name | target_database_principal_name_s | Cílový uživatel akce. Pokud není k dispozici, hodnota NULL | řetězec | řetězec |
| target_server_principal_id | target_server_principal_id_d | Objekt zabezpečení serveru, na který se provádí operace GRANT/DENY/REVOKE. Vrátí hodnotu 0, pokud není k dispozici. | int | int |
| target_server_principal_name | target_server_principal_name_s | Cílové přihlášení k akci. Pokud není k dispozici, hodnota NULL | Sysname | řetězec |
| target_server_principal_sid | target_server_principal_sid_s | IDENTIFIKÁTOR SID cílového přihlášení. Pokud není k dispozici, hodnota NULL | Varbinary | řetězec |
| transaction_id | transaction_id_d | Pouze SQL Server (od roku 2016) – 0 pro Azure SQL Database | bigint | int |
| user_defined_event_id | user_defined_event_id_d | ID události definované uživatelem předané jako argument sp_audit_write. HODNOTA NULL pro systémové události (výchozí) a nenulu pro událost definovanou uživatelem. Další informace najdete v tématu sp_audit_write (Transact-SQL) | smallint | int |
| user_defined_information | user_defined_information_s | Uživatelem definované informace předané jako argument sp_audit_write. HODNOTA NULL pro systémové události (výchozí) a nenulu pro událost definovanou uživatelem. Další informace najdete v tématu sp_audit_write (Transact-SQL) | nvarchar(4000) | řetězec |
Další kroky
Přečtěte si další informace o auditování služby Azure SQL Database.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro