Začínáme s auditování Azure SQL Managed Instance

Applies to:Azure SQL Managed Instance

V tomto článku se naučíte nakonfigurovat audit prostřednictvím SQL Server Audit v Azure SQL Managed Instance. Auditování sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure.

Nastavení auditování instance na Azure Storage

Následující část popisuje konfiguraci auditování spravované instance SQL.

1. Přejděte na portál Azure.

2. Vytvořte Azure Storage kontejner kde se ukládají protokoly auditu.

   1. Přejděte do Azure účtu úložiště, do kterého chcete ukládat protokoly auditu.

      • Použijte účet úložiště ve stejné oblasti jako spravovaná instance SQL, abyste se vyhnuli čtení a zápisům mezi oblastmi.
      • Pokud je váš účet úložiště za virtuální sítí nebo bránou firewall, přečtěte si téma Udělte přístup z virtuální sítě.
      • Pokud změníte dobu uchovávání z 0 (neomezeného uchovávání) na jinou hodnotu, bude uchovávání platit pouze pro protokoly zapsané po změně hodnoty uchovávání. Protokoly zapsané během období, kdy bylo uchovávání nastaveno na neomezenou dobu, se zachovají i po povolení uchovávání.

   2. V účtu úložiště přejděte na Přehled a vyberte Bloby.

      

   3. V horní nabídce vyberte + Kontejner a vytvořte nový kontejner.

      

   4. Zadejte název kontejneru, nastavte úroveň veřejného přístupu na Privátní a pak vyberte OK.

      

   Důležité

   Zákazníci, kteří chtějí nakonfigurovat neměnné úložiště protokolů pro události auditu na úrovni serveru nebo databáze, by měli postupovat podle instrukcí poskytovaných Azure Storage. (Ujistěte se, že jste při konfiguraci neměnného úložiště objektů blob vybrali Možnost Povolit další připojení .)

3. Po vytvoření kontejneru pro protokoly auditu existují dva způsoby, jak ho nakonfigurovat jako cíl pro protokoly auditu: pomocí T-SQL nebo použitím uživatelského rozhraní SQL Server Management Studio (SSMS):

• Konfigurace úložiště objektů blob pro protokoly auditu pomocí T-SQL:

  1. V seznamu kontejnerů vyberte nově vytvořený kontejner a pak vyberte Vlastnosti kontejneru.

     

  2. Zkopírujte adresu URL kontejneru výběrem ikony kopírování a uložením adresy URL (například v Poznámkovém bloku) pro budoucí použití. Formát adresy URL kontejneru by měl být https://<StorageName>.blob.core.windows.net/<ContainerName>

     

  3. Vygenerujte token Azure Storage SAS pro udělení přístupových práv k auditování spravované instance SQL účtu úložiště:

     • Přejděte na účet úložiště Azure, ve kterém jste kontejner vytvořili v předchozím kroku.

     • V nabídce Nastavení úložiště vyberte Sdílený přístupový podpis.

       

     • Sas nakonfigurujte následujícím způsobem:

       • Povolené služby: Blob

       • Počáteční datum: Abyste se vyhnuli problémům souvisejícím s časovým pásmem, použijte datum včerejšího data.

       • Koncové datum: Zvolte datum, kdy platnost tohoto tokenu SAS vyprší.

         Poznámka:

         Pokud se chcete vyhnout selháním auditu, obnovte token po vypršení platnosti.

       • Vyberte možnost Vygenerovat SAS.

         

     • Token SAS se zobrazí v dolní části. Token zkopírujte tak, že vyberete ikonu kopírování a uložíte ho (například v Poznámkovém bloku) pro budoucí použití.

       

       Důležité

       Odeberte znak otazníku (?) od začátku tokenu.

  4. Připojte se ke spravované instanci SQL prostřednictvím SQL Server Management Studio nebo jakéhokoli jiného podporovaného nástroje.

  5. Spuštěním následujícího příkazu T-SQL vytvořte nové přihlašovací údaje pomocí adresy URL kontejneru a tokenu SAS, který jste vytvořili v předchozích krocích:

     CREATE CREDENTIAL [<container_url>]
     WITH IDENTITY='SHARED ACCESS SIGNATURE',
     SECRET = '<SAS KEY>'
     GO
     

  6. Spuštěním následujícího příkazu T-SQL vytvořte nový audit serveru (zvolte vlastní název auditu a použijte adresu URL kontejneru, kterou jste vytvořili v předchozích krocích). Pokud není zadáno, RETENTION_DAYS výchozí hodnota je 0 (neomezené uchovávání):

     CREATE SERVER AUDIT [<your_audit_name>]
     TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
     GO
     

  7. Pokračujte vytvořením specifikace auditu serveru nebo specifikace auditu databáze.

• Konfigurujte úložiště objektů blob pro protokoly auditu pomocí SQL Server Management Studio 18 a novějších verzí:

  1. Připojte se ke spravované instanci SQL pomocí uživatelského rozhraní SQL Server Management Studio.

  2. Rozbalte kořenovou poznámku Object Explorer.

  3. Rozbalte uzel Zabezpečení, klikněte pravým tlačítkem na uzel Audit a vyberte Nový audit:

     

  4. Ujistěte se, že je v cíli auditování vybrána adresa URL, a vyberte Procházet:

     

  5. (Volitelné) Přihlaste se ke svému účtu Azure:

     

  6. V rozevíracích seznamech vyberte předplatné, účet úložiště a kontejner blobů, nebo vyberte Vytvořit svůj vlastní kontejner. Jakmile budete hotovi, vyberte OK:

     Vyberte předplatné Azure, uložiště a kontejner blob.

  7. V dialogovém okně Vytvořit audit vyberte OK.

     Poznámka:

     Při použití uživatelského rozhraní SQL Server Management Studio k vytvoření auditu se automaticky vytvoří přihlašovací údaje ke kontejneru pomocí klíče SAS.

Jakmile nakonfigurujete kontejner objektů blob jako cíl pro protokoly auditu, vytvořte a povolte specifikaci auditu serveru nebo specifikaci auditu databáze, jak byste chtěli pro SQL Server:

• Průvodce vytvořením specifikace auditu serveru T-SQL
• Průvodce vytvořením specifikace auditu databáze T-SQL

Pomocí následujícího příkazu T-SQL povolte audit serveru:

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE = ON);
GO

Další informace:

• Audit rozdílů mezi Azure SQL Managed Instance a databází v SQL Serveru
• VYTVOŘENÍ AUDITU SERVERU
• ZMĚNIT SERVER AUDIT

Auditování operací Microsoft Support

Auditování operací Microsoft Support pro SQL Managed Instance umožňuje auditovat operace Microsoft support inženýrů, když potřebují přístup k vašemu serveru během žádosti o podporu. Použití této funkce společně s auditováním zajišťuje lepší transparentní přehled o pracovnících a umožňuje detekovat anomálie, vizualizovat trendy a zabraňovat ztrátě dat.

Pokud chcete povolit auditování operací Microsoft Support, přejděte na Vytvořit audit v části Zabezpečení>Audit ve vaší instanci SQL Manage, a vyberte operace podpory Microsoft.

Poznámka:

Pro auditování Microsoft operací musíte vytvořit samostatný audit serveru. Pokud toto políčko povolíte pro existující audit, přepíše audit a protokoluje pouze operace podpory.

Nastavte auditování pro váš server na Event Hubs nebo protokoly Azure Monitor

Protokoly auditu ze spravované instance SQL je možné odesílat do protokolů Azure Event Hubs nebo Azure Monitor. Tato část popisuje, jak tuto konfiguraci provést:

1. Přejděte na portál Azure do spravované instance SQL.

2. Vyberte Nastavení diagnostiky.

3. Vyberte Zapnout diagnostiku. Pokud už je diagnostika povolená, je místo toho k dispozici +Přidat nastavení diagnostiky .

4. V seznamu protokolů vyberte protokol SQLSecurityAuditEvents.

5. Pokud konfigurujete operace podpory Microsoft, v seznamu protokolů vyberte DevOps operations Audit Logs.

6. Vyberte cíl událostí auditu: Event Hubs, Azure Monitor protokoly nebo obojí. Nakonfigurujte pro každý cíl požadované parametry (například Log Analytics pracovní prostor).

7. Zvolte Uložit.

   

8. Připojte se ke spravované instanci SQL pomocí SQL Server Management Studio (SSMS) nebo jakéhokoli jiného podporovaného klienta.

9. Spuštěním následujícího příkazu T-SQL vytvořte audit serveru:

   CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
   GO
   

10. Vytvořte a povolte specifikaci auditu serveru nebo specifikaci auditu databáze, jak byste chtěli pro SQL Server:

    • Příručka k příkazu Create Server Audit Specification (T-SQL)
    • Příručka k CREATE DATABASE AUDIT SPECIFICATION v T-SQL

11. Povolte audit serveru vytvořený v kroku 8:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Nastavení auditu pomocí T-SQL

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Spotřebování protokolů auditu

Spotřebování logů uložených v Azure Storage

K zobrazení protokolů auditování objektů blob můžete použít několik metod.

• Pomocí systémové funkce sys.fn_get_audit_file (T-SQL) můžete vrátit data protokolu auditu v tabulkovém formátu.

• Protokoly auditu můžete prozkoumat pomocí nástroje, jako je Azure Storage Explorer. V Azure Storage se protokoly auditování ukládají jako kolekce souborů objektů blob v kontejneru definovaném pro ukládání protokolů auditu. Další informace o hierarchii složky úložiště, konvencích vytváření názvů a formátu protokolu najdete v referenčních informacích k formátu protokolu auditu objektů blob.

• Úplný seznam metod použití protokolu auditu najdete v tématu Začínáme s auditováním Azure SQL Database.

Spotřebování logů uložených ve službě Event Hubs

Pokud chcete využívat data auditních protokolů ze služby Event Hubs, je třeba nastavit stream ke zpracování událostí a jejich zápisu do cílového místa. Další informace najdete v Azure Event Hubs dokumentaci.

Spotřebování a analýza protokolů uložených v Azure Monitor

Pokud se protokoly auditu zapisují do Azure Monitor protokolů, jsou dostupné v pracovním prostoru Log Analytics, kde můžete na datech auditu spouštět rozšířené vyhledávání. Jako výchozí bod přejděte do pracovního prostoru Log Analytics. V části Obecné vyberte Protokoly a zadejte základní dotaz, například: search "SQLSecurityAuditEvents" pro zobrazení protokolů auditu.

Azure Monitor logy poskytují provozní přehledy v reálném čase pomocí integrovaného vyhledávání a vlastních řídicích panelů pro snadnou analýzu milionů záznamů ve všech pracovních zátěžích a serverech. Další informace o vyhledávacím jazyku a příkazech protokolů Azure Monitor najdete v referenčních informacích k hledání protokolů Azure Monitor.

Související obsah

• SQL Server Audit v Azure SQL Managed Instance
• Vytvoření auditu serveru
• Vytvoření specifikace auditu serveru a auditu databáze
• Zobrazit protokol auditu serveru SQL
• Zapsat události auditu SQL Server do protokolu zabezpečení