Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
Azure SQL DatabaseAzure Synapse Analytics
V tomto článku si projdeme nastavení auditování pro logický server nebo databázi ve službě Azure SQL Database a Azure Synapse Analytics.
Konfigurace auditování pro váš server
Výchozí zásady auditování zahrnují následující sadu skupin akcí, které auditují všechny dotazy a uložené procedury spuštěné v databázi, stejně jako úspěšná a neúspěšná přihlášení:
- SKUPINA_DÁVKA_DOKONČENA
- Skupina úspěšného ověření databáze
- SELHÁNÍ_OVĚŘENÍ_DATOVÉ_BÁZE_SKUPINY
Pokud chcete nakonfigurovat auditování pro různé typy akcí a skupin akcí pomocí PowerShellu, přečtěte si téma Správa auditování služby Azure SQL Database pomocí rozhraní API.
Následující část popisuje konfiguraci auditování pomocí webu Azure Portal.
Poznámka:
U pozastaveného vyhrazeného fondu SQL nemůžete povolit auditování. Pokud chcete povolit auditování, obnovte vyhrazený fond SQL.
Pokud je auditování nakonfigurováno pro pracovní prostor Log Analytics nebo cíl Event Hubs v portálu Azure nebo v rutině PowerShellu, vytvoří se Nastavení diagnostiky s povolenou SQLSecurityAuditEvents.
Přejděte na Azure Portal.
V podokně DATABÁZE SQL nebo SQL Serveru přejděte na Auditování pod nadpisem Zabezpečení.
Pokud chcete nastavit zásady auditování serveru, můžete na stránce auditování databáze vybrat odkaz Zobrazit nastavení serveru. Potom můžete zobrazit nebo upravit nastavení auditování serveru. Zásady auditování serveru platí pro všechny existující a nově vytvořené databáze na tomto serveru.
Pokud chcete povolit auditování na úrovni databáze, přepněte auditování na ZAPNUTO. Pokud je povolené auditování serveru, existuje audit nakonfigurovaný databází souběžně s auditem serveru.
Pro konfiguraci, kde se ukládají protokoly auditu, máte několik možností. Protokoly můžete zapisovat do účtu úložiště Azure, do pracovního prostoru služby Log Analytics pro využití protokoly služby Azure Monitor nebo do centra událostí pro spotřebu pomocí centra událostí. Můžete nakonfigurovat libovolnou kombinaci těchto možností a protokoly auditu se zapisují do každé z nich.
Audit cíle úložiště
Pokud chcete nakonfigurovat zápis protokolů auditu do účtu úložiště, vyberte Storage , až se dostanete do části Auditování . Vyberte účet úložiště Azure, do kterého chcete protokoly uložit. Můžete použít následující dva typy ověřování úložiště: Spravovaná Identita a Přístupové Klíče Úložiště. U spravované identity se podporuje spravovaná identita přiřazená systémem a spravovaná identita přiřazená uživatelem. Ve výchozím nastavení je vybraná primární identita uživatele přiřazená k serveru. Pokud neexistuje žádná identita uživatele, vytvoří se spravovaná identita přiřazená systémem a použije se pro účely ověřování. Po výběru typu ověřování vyberte dobu uchování tak, že otevřete Rozšířené vlastnosti a vyberete Uložit. Protokoly starší než doba uchovávání se odstraní.
Pokud nasazujete z webu Azure Portal, ujistěte se, že je účet úložiště ve stejné oblasti jako databáze a server. Pokud nasazujete jinými způsoby, může být účet úložiště v jakékoli oblasti.
Výstraha
Pro ověřování úložiště použijte spravovanou identitu. Přístupové klíče k úložišti představují bezpečnostní riziko, protože pokud jsou ohrožené, můžou neoprávnění jednotlivci získat přístup k vašemu účtu úložiště, potenciálně číst, zapisovat nebo odstraňovat vaše data. Pokud chcete tato rizika zmírnit, je důležité klíče pravidelně otáčet a bezpečně spravovat a otáčet klíče pomocí služby Azure Key Vault.
- Výchozí hodnota doby uchovávání je 0 (neomezené uchovávání). Tuto hodnotu můžete změnit tak, že při konfiguraci účtu úložiště pro auditování přesunete posuvník Uchování (dny) v rozšířených vlastnostech .
- Pokud změníte dobu uchovávání od 0 (neomezeného uchovávání) na jinou hodnotu, bude uchovávání platit pouze pro protokoly zapsané po změně hodnoty uchovávání. Protokoly zapsané během období, kdy byly dny uchovávání nastaveny na neomezenou dobu uchovávání, se zachovají i po povolení uchovávání.
Auditování do služby Log Analytics
Pokud chcete nakonfigurovat zápis protokolů auditu do pracovního prostoru služby Log Analytics, vyberte Log Analytics a otevřete podrobnosti o Log Analytics. Vyberte pracovní prostor služby Log Analytics, ve kterém chcete protokoly ukládat, a pak vyberte OK. Pokud jste nevytvořili pracovní prostor služby Log Analytics, přečtěte si téma Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal.
Auditování do cíle služby Event Hubs
Pokud chcete nakonfigurovat zápis protokolů auditu do centra událostí, vyberte Centrum událostí. Vyberte centrum událostí, do kterého chcete protokoly uložit, a pak vyberte Uložit. Ujistěte se, že je centrum událostí ve stejné oblasti jako databáze a server.
Při konfiguraci auditování s externími monitory Azure (například Event Hubs nebo Log Analytics) jako cíl se vytvoří další prostředek nastavení diagnostiky s názvem SQLSecurityAuditEvents_XXXX-XXXX-XXX, který je nezbytný pro správné fungování auditování.
Pokud se nastavení diagnostiky odstraní záměrně nebo neúmyslně, funkce auditování selže beze zjevného upozornění a protokoly auditu se neodesílají do cílového umístění. Pokud tomu chcete zabránit, nakonfigurujte výstrahy pro odstranění nastavení diagnostiky, aby uživatele informovali a podnikli potřebné akce. Další informace o vytváření skupin akcí a konfiguraci upozornění najdete v tématu Skupiny akcí a Vytvoření nebo úprava protokolu aktivit, stavu služby nebo pravidla upozornění služby Resource Health.
Poznámka:
Pokud používáte více cílů, jako je účet úložiště, Log Analytics nebo Event Hubs, ujistěte se, že máte oprávnění ke všem cílům, jinak by uložení konfigurace auditu selhalo, protože se pokusí uložit nastavení pro všechny cíle.