Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Applies to:
Azure SQL Managed Instance
V Azure SQL Managed Instance můžete nakonfigurovat SQL Server Audit.
- Auditování pomáhá zajistit dodržování právních předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit problémy obchodního charakteru nebo vzbuzovat podezření na narušení zabezpečení.
- Auditování umožňuje a usnadňuje dodržování standardů dodržování předpisů, i když nezaručuje dodržování předpisů. Další informace najdete v centru zabezpečení Microsoft Azure, kde si můžete prohlédnout nejnovější seznam certifikací shody SQL Managed Instance.
Pokud chcete začít konfigurovat SQL Server Audit v Azure SQL Managed Instance, viz Začít s auditováním Azure SQL Managed Instance.
Optimalizace výkonu
Auditování Azure SQL Managed Instance je optimalizované pro dostupnost a výkon. Během vysoké aktivity nebo vysokého zatížení sítě Azure SQL Managed Instance umožňuje operace pokračovat a nemusí zaznamenávat některé auditované události.
Auditovat provoz Microsoft Support
Auditování operací Microsoft Support pro SQL Managed Instance umožňuje auditovat operace Microsoft support inženýrů, když potřebují přístup k vašemu serveru během žádosti o podporu. Použití této funkce společně s auditováním zajišťuje lepší transparentní přehled o pracovnících a umožňuje detekovat anomálie, vizualizovat trendy a zabraňovat ztrátě dat.
Pokud chcete povolit auditování operací Microsoft Support, přejděte ve spravované instanci SQL do Create Audit v části Security>Audit a vyberte Microsoft support operations.
Poznámka:
Pro auditování Microsoft operací musíte vytvořit samostatný audit serveru. Pokud toto políčko povolíte pro existující audit, přepíše audit a protokoluje pouze operace podpory.
Interní operace v Azure SQL Managed Instance
V Azure SQL Database a Azure SQL Managed Instance jsou události iniciované SQLDBControlPlaneFirstPartyApp Azure interní funkcí řídicí roviny Azure SQL Database. Události iniciované SQLDBControlPlaneFirstPartyApp jsou součástí interní synchronizační operace mezi modulem SQL a Azure Resource Manager. Tyto události jsou normální součástí správy prostředků a jsou vyžadovány pro správné znázornění a provoz prostředků v Azure.
Rozdíly v auditu mezi databázemi v Azure SQL Managed Instance a databázemi v SQL Server
Mezi hlavní rozdíly mezi auditováním v databázích v Azure SQL Managed Instance a databázemi v SQL Server patří:
- Se službou Azure SQL Managed Instance auditování funguje na úrovni serveru a ukládá soubory protokolů
.xelv Azure Blob Storage. - V SQL Server funguje audit na úrovni serveru, ale ukládá události v systému souborů a Windows protokoly událostí.
Auditování XEvent ve spravovaných instancích podporuje cílové úložiště Azure Blob. Protokoly souborů a Windows se nepodporují.
Hlavní rozdíly v syntaxi CREATE AUDIT pro auditování Azure Blob Storage jsou:
- Poskytuje se nová syntaxe
TO URLa umožňuje zadat adresu URL kontejneru úložiště objektů blob Azure, kde jsou umístěné soubory.xel. - K dispozici je nová syntaxe
TO EXTERNAL MONITOR, která umožňuje podporu pro Event Hubs a cílové body protokolu Azure Monitor. - Syntaxe
TO FILEnení nepodporována, protože Azure SQL Managed Instance nemá přístup ke sdíleným složkám Windows. - Možnost vypnutí není podporována.
-
queue_delayhodnota 0 není podporována.
Povolení
Pokud chcete nastavit auditování, potřebujete oprávnění k databázi v rámci spravované instance SQL a potřebujete také oprávnění k Azure prostředkům, které se používají k ukládání a přístupu k protokolům auditu.
Pokud chcete nastavit auditování spravované instance SQL, potřebujete následující oprávnění databáze:
| Oprávnění k databázi | Konfigurace auditu | Zobrazení protokolů auditu pomocí T-SQL |
|---|---|---|
VIEW DATABASE SECURITY AUDIT |
Ne | Ano |
ALTER ANY DATABASE AUDIT |
Ano | Ne |
CONTROL DATABASE |
Ano | Ano |
Pokud chcete nakonfigurovat auditování do úložiště Azure, potřebujete roli Storage blob data contributor pro účet úložiště nebo vyšší oprávnění. Pokud chcete nakonfigurovat auditování pro centrum událostí nebo Log Analytics, potřebujete roli Přispěvatel monitorování nebo vyšší oprávnění ke skupině prostředků, ve které je zřízeno centrum událostí nebo pracovní prostor Log Analytics.