Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:Azure SQL Database
Azure Synapse Analytics
Auditování pro Azure SQL Database a Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo ve službě Event Hubs.
Auditování také:
Pomáhá zajistit dodržování předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit problémy obchodního charakteru nebo vzbuzovat podezření na narušení zabezpečení.
Umožňuje a usnadňuje dodržování předpisů, i když soulad s těmito standardy nezaručuje. Další informace najdete v Centru zabezpečení Microsoft Azure, kde najdete nejnovější seznam certifikací dodržování předpisů služby SQL Database.
Poznámka:
Informace o auditování služby Azure SQL Managed Instance najdete v tématu Začínáme s auditování služby Azure SQL Managed Instance.
Přehled
Auditování služby SQL Database můžete použít k:
- Zachovejte záznam auditu vybraných událostí. Můžete definovat kategorie databázových akcí, které se mají auditovat.
- Zpráva o databázové aktivitě Můžete využít předkonfigurované sestavy a řídicí panel pro rychlý začátek s reportováním aktivit a událostí.
- Analyzujte sestavy Můžete vyhledávat podezřelé události, neobvyklé aktivity a trendy.
Důležité
Auditování pro Azure SQL Database, SQL fondy služby Azure Synapse Analytics a službu Azure SQL Managed Instance je optimalizované pro dostupnost a výkon auditované databáze nebo instance. Během období velmi vysoké aktivity nebo vysokého zatížení sítě může funkce auditování umožnit transakcím pokračovat bez zaznamenávání všech událostí označených pro auditování.
Vylepšení výkonu, dostupnosti a spolehlivosti v auditování serverů pro Azure SQL Database (obecná dostupnost z července 2025)
- Přepracované hlavní části auditování SQL vedou ke zvýšení dostupnosti a spolehlivosti auditů serverů. Jako přidanou výhodu existuje užší sladění funkcí s SQL Serverem a službou Azure SQL Managed Instance. Auditování databáze zůstává beze změny.
- Předchozí návrh auditování aktivuje audit na úrovni databáze a provede jednu relaci auditu pro každou databázi na serveru. Nová architektura auditování vytvoří jednu rozšířenou relaci událostí na úrovni serveru, která zachycuje události auditu pro všechny databáze.
- Nový návrh auditování optimalizuje paměť a procesor a je konzistentní s tím, jak funguje auditování v SQL Serveru a ve službě Azure SQL Managed Instance.
Změny z opětovné architektury auditování serverů
- Změna struktury složek pro účet úložiště:
- Jednou z hlavních změn je úprava struktury složek pro protokoly auditu, které jsou uloženy v kontejnerech účtů úložiště. Dříve se protokoly auditu serveru zapisovaly do samostatných složek; jednu pro každou databázi s názvem databáze, který slouží jako název složky. Při nové aktualizaci budou všechny protokoly auditu serveru sloučeny do jedné složky s popiskem
master
. Toto chování je stejné jako azure SQL Managed Instance a SQL Server.
- Jednou z hlavních změn je úprava struktury složek pro protokoly auditu, které jsou uloženy v kontejnerech účtů úložiště. Dříve se protokoly auditu serveru zapisovaly do samostatných složek; jednu pro každou databázi s názvem databáze, který slouží jako název složky. Při nové aktualizaci budou všechny protokoly auditu serveru sloučeny do jedné složky s popiskem
- Změna struktury složek pro repliky jen pro čtení:
- Repliky databáze jen pro čtení dříve měly své protokoly uložené ve složce jen pro čtení. Tyto protokoly se teď zapíšou do složky
master
. Tyto protokoly můžete načíst filtrováním nového sloupceis_secondary_replica_true
.
- Repliky databáze jen pro čtení dříve měly své protokoly uložené ve složce jen pro čtení. Tyto protokoly se teď zapíšou do složky
- Oprávnění požadovaná k zobrazení protokolů auditu:
- Pouze prvky správce serveru mohou zobrazit protokoly auditu ve složce
master
.
- Pouze prvky správce serveru mohou zobrazit protokoly auditu ve složce
Omezení auditování
- Povolení auditování pozastaveného Azure Synapse SQL poolu se nepodporuje. Pokud chcete povolit auditování, obnovte fond Synapse SQL.
- Povolení auditování pomocí spravované identity přiřazené uživatelem (UAMI) se v Azure Synapse nepodporuje.
- Nyní se spravované identity nepodporují pro Azure Synapse, pokud není účet úložiště za virtuální sítí anebo bránou firewall.
- Kvůli omezením výkonu ne auditujeme databáze tempdb a dočasné tabulky . Zatímco dávková dokončená skupina akcí zachycuje příkazy proti dočasným tabulkám, nemusí správně naplnit názvy objektů. Zdrojová tabulka se ale vždy audituje a zajišťuje, aby se zaznamenávaly všechny vložení ze zdrojové tabulky do dočasných tabulek.
- Auditování pro Azure Synapse SQL fondy podporuje pouze výchozí skupiny akcí auditu.
- Když nakonfigurujete auditování logického serveru v Azure nebo Azure SQL Database s cílem protokolu jako účtem úložiště, musí režim ověřování odpovídat konfiguraci pro tento účet úložiště. Pokud jako typ ověřování používáte přístupové klíče úložiště, musí být cílový účet úložiště povolený s přístupem k klíčům účtu úložiště. Pokud je účet úložiště nakonfigurovaný tak, aby používal pouze ověřování s Microsoft Entra ID (dříve Azure Active Directory), je možné auditování nakonfigurovat tak, aby používalo spravované identity pro ověřování.
Poznámky
Premium storage je podporováno s BlockBlobStorage. Podporuje se úložiště úrovně Standard. Pokud ale chcete auditovat zápisy do účtu úložiště za virtuální sítí nebo bránou firewall, musíte mít účet úložiště pro obecné účely verze 2. Pokud máte účet úložiště pro obecné účely verze 1 nebo Blob Storage, upgradujte na účet úložiště pro obecné účely verze 2. Konkrétní pokyny najdete v části Zápis auditu do účtu úložiště za virtuální sítí a bránou firewall. Další informace najdete v tématu Typy úložiště účtů.
Hierarchický obor názvů je podporován pro všechny typy standardních účtů úložiště a prémiových účtů úložiště s BlockBlobStorage.
Protokoly auditu se zapisují do Append Blobs ve službě Azure Blob Storage ve vašem předplatném Azure.
Protokoly auditu jsou ve formátu .xel a lze je otevřít pomocí aplikace SQL Server Management Studio (SSMS).
Pokud chcete nakonfigurovat neměnné úložiště protokolů pro události auditu na úrovni serveru nebo databáze, postupujte podle pokynů poskytovaných službou Azure Storage. Při konfiguraci neměnného úložiště blobů pro auditování se ujistěte, že volba Povolit chráněné přídatné zápisy je nastavena na přídatné objekty nebo blokové a přídatné objekty. Možnost Žádné není podporována. V případě časově řízených zásad uchovávání musí být interval uchovávání účtu úložiště kratší než nastavení uchovávání pro auditování SQL. Konfigurace, ve kterých jsou nastavené zásady úložiště, ale uchovávání auditu SQL se
0
nepodporuje.Protokoly auditu můžete zapisovat do účtu služby Azure Storage za virtuální sítí nebo bránou firewall.
Podrobnosti o formátu protokolu, hierarchii složky úložiště a konvencích vytváření názvů najdete v článku formát protokolu auditu služby SQL Database.
Auditování při použití replik pouze pro čtení k odlehčení zpracování dotazů je automaticky povoleno. Další informace o hierarchii složek úložiště, konvencích vytváření názvů a formátu protokolu najdete v článku Formát protokolu auditu služby SQL Database.
Při použití ověřování Microsoft Entra se v protokolu auditu SQL nezobrazují neúspěšné záznamy přihlášení. Pokud chcete zobrazit neúspěšné záznamy auditu přihlášení, musíte navštívit Centrum pro správu Microsoft Entra, které protokoluje podrobnosti o těchto událostech.
Brána směruje přihlášení do konkrétní instance, ve které se databáze nachází. Při přihlášeních k Microsoft Entra se přihlašovací údaje ověřují před pokusem o použití daného uživatele k přihlášení k požadované databázi. V případě selhání nedojde k přístupu k požadované databázi, a proto nedojde k auditování. Při přihlášeních SQL se přihlašovací údaje ověřují na požadovaných datech, takže v tomto případě je možné je auditovat. Úspěšná přihlášení, která se zjevně zapisují do logu v databázi, se v obou případech auditují.
Po dokončení konfigurace nastavení auditování můžete zapnout novou funkci detekce hrozeb a nakonfigurovat e-maily, na které budou přicházet upozornění zabezpečení. Pokud využijete detekci hrozeb, budete dostávat proaktivní upozornění na neobvyklé databázové aktivity, které můžou značit potenciální ohrožení zabezpečení. Další informace naleznete v tématu Sql Advanced Threat Protection.
Po zkopírování databáze s povoleným auditováním na jiný logický server můžete obdržet e-mail s oznámením, že audit selhal. Jedná se o známý problém a auditování by mělo fungovat podle očekávání u nově zkopírované databáze.