Analýza protokolů auditu a sestav pomocí auditování

Platí pro: Azure SQL Database Azure Synapse Analytics

Tento článek obsahuje přehled analýzy protokolů auditu pomocí auditování pro Azure SQL Database a Azure Synapse Analytics. Auditování můžete použít k analýze protokolů auditu uložených v:

• Log Analytics
• Event Hubs
• Úložiště Azure

Analýza protokolů pomocí Log Analytics

Pokud jste se rozhodli zapisovat protokoly auditu do Log Analytics:

1. Použijte Azure Portal.

2. Přejděte k příslušnému databázovému prostředku.

3. V horní části stránky Auditování databáze vyberte Zobrazit protokoly auditu.

   

Protokoly můžete zobrazit dvěma způsoby:

• Výběrem Log Analytics v horní části stránky Záznamy auditu se otevře zobrazení protokolů v pracovním prostoru služby Log Analytics, kde můžete přizpůsobit časový rozsah a vyhledávací dotaz.

  

• Výběrem řídicího panelu Zobrazit v horní části stránky Záznamy auditu se otevře řídicí panel zobrazující informace o protokolech auditu, kde můžete přejít k podrobnostem o přehledech zabezpečení nebo přístupu k citlivým datům. Tento řídicí panel je navržený tak, aby vám pomohl získat přehledy zabezpečení pro vaše data. Můžete také přizpůsobit časový rozsah a vyhledávací dotaz.

  

  

• Případně můžete k protokolům auditu přistupovat také z nabídky Log Analytics . Otevřete pracovní prostor služby Log Analytics a v části Obecné vyberte Protokoly. Můžete začít jednoduchým dotazem, například pomocí vyhledávání SQLSecurityAuditEvents a zobrazit protokoly auditu. Odtud můžete také pomocí protokolů služby Azure Monitor spouštět rozšířené vyhledávání v datech protokolu auditu. Protokoly služby Azure Monitor poskytují přehledy o provozu v reálném čase pomocí integrovaného vyhledávání a vlastních řídicích panelů k snadné analýze milionů záznamů napříč všemi úlohami a servery. Další užitečné informace o hledaném jazyce a příkazech protokolů služby Azure Monitor najdete v referenčních informacích k prohledávání protokolů služby Azure Monitor.

Analýza protokolů pomocí služby Event Hubs

Pokud jste se rozhodli zapisovat protokoly auditu do služby Event Hubs:

• Pokud chcete využívat data protokolů auditu ze služby Event Hubs, musíte nastavit datový proud, který bude využívat události a zapisovat je do cíle. Další informace najdete v dokumentaci ke službě Azure Event Hubs.
• Protokoly auditu ve službě Event Hubs se zaznamenávají v těle událostí Apache Avro a ukládají se pomocí formátování JSON s kódováním UTF-8. Ke čtení protokolů auditu můžete použít nástroje Avro, streamy událostí Microsoft Fabric nebo podobné nástroje, které tento formát zpracovávají.

Analýza protokolů pomocí protokolů v účtu úložiště Azure

Pokud jste se rozhodli zapisovat protokoly auditu do účtu úložiště Azure, můžete k zobrazení protokolů použít několik metod:

• Protokoly auditu se agregují v účtu, který jste zvolili během instalace. Protokoly auditu můžete prozkoumat pomocí nástroje, jako je Průzkumník služby Azure Storage. V úložišti Azure se protokoly auditování ukládají jako kolekce souborů objektů blob v kontejneru s názvem sqldbauditlogs. Další informace o hierarchii složek úložiště, konvencích vytváření názvů a formátu protokolu najdete ve formátu protokolu auditování služby SQL Database.

  1. Použijte Azure Portal.

  2. Otevřete příslušný databázový prostředek.

  3. V horní části stránky Auditování databáze vyberte Zobrazit protokoly auditu.

     

     Otevře se stránka Záznamy auditu a můžete zobrazit protokoly.

  4. Konkrétní data můžete zobrazit tak, že v horní části stránky Záznamy auditu vyberete Filtr.

  5. Přepnutím zdroje auditu můžete přepínat mezi záznamy auditu vytvořenými zásadami auditu serveru a zásadami auditu databáze.

     

• Pomocí systémové funkce sys.fn_get_audit_file (T-SQL) vrátíte data protokolu auditu v tabulkovém formátu. Další informace o použití této funkce najdete v tématu sys.fn_get_audit_file.

• Použití slučovacích souborů auditu v APLIKACI SQL Server Management Studio (počínaje aplikací SSMS 17):

  1. V nabídce SSMS vyberte Soubor>otevřít>slučovací soubory auditování.

     

  2. Otevře se dialogové okno Přidat soubory auditu. Vyberte jednu z možností Přidat a zvolte, jestli chcete sloučit soubory auditu z místního disku nebo je importovat ze služby Azure Storage. Musíte zadat podrobnosti o službě Azure Storage a klíč účtu.

  3. Po přidání všech souborů ke sloučení vyberte OK a dokončete operaci sloučení.

  4. Sloučený soubor se otevře v aplikaci SSMS, kde ho můžete zobrazit a analyzovat a exportovat do souboru XEL nebo CSV nebo do tabulky.

• Použijte Power BI. Data protokolu auditu můžete zobrazit a analyzovat v Power BI. Další informace a přístup k šabloně ke stažení najdete v tématu Analýza dat protokolu auditu v Power BI.

• Soubory protokolu si můžete stáhnout z kontejneru objektů blob služby Azure Storage prostřednictvím portálu nebo pomocí nástroje, jako je například Průzkumník služby Azure Storage.

  • Po místním stažení souboru protokolu poklikáním na soubor otevřete, zobrazte a analyzujte protokoly v nástroji SSMS.
  • V Průzkumník služby Azure Storage můžete také stáhnout více souborů současně. Uděláte to tak, že kliknete pravým tlačítkem myši na konkrétní podsložku a vyberete Uložit jako , aby se uložila do místní složky.

• Další metody:

  • Po stažení několika souborů nebo podsložek, které obsahují soubory protokolu, je můžete sloučit místně, jak je popsáno v pokynech ke sloučení souborů auditu SSMS popsané výše.
  • Zobrazení protokolů auditování objektů blob prostřednictvím kódu programu: Dotazování souborů rozšířených událostí pomocí PowerShellu

Viz také

• Přehled auditování
• Epizoda Vystavená datům– Co je nového v auditování Azure SQL
• Auditování pro spravovanou instanci SQL
• Auditování pro SQL Server