Sdílet prostřednictvím

Kurz: Konfigurace protokolů auditu pomocí flexibilního serveru Azure Database for MySQL

  • Článek

PLATÍ PRO: Flexibilní server Azure Database for MySQL

K konfiguraci protokolů auditu můžete použít flexibilní server Azure Database for MySQL. Protokoly auditu se dají použít ke sledování aktivit na úrovni databáze, včetně událostí připojení, správy, jazyka DDL (Data Definition Language) a jazyka DML (Data Manipulat Language). Tyto typy protokolů se běžně používají pro účely dodržování předpisů. Obvykle používáte auditování databáze k:

  • Účet pro všechny akce, ke kterým dochází v určitém schématu, tabulce nebo řádku nebo které mají vliv na konkrétní obsah.
  • Zabraňte uživatelům (nebo jiným) v nevhodných akcích na základě jejich odpovědnosti.
  • Prozkoumejte podezřelou aktivitu.
  • Monitorujte a shromážděte data o konkrétních databázových aktivitách.

Tento článek popisuje, jak pomocí protokolů auditu MySQL, nástrojů Log Analytics nebo šablony sešitu vizualizovat informace o auditování flexibilního serveru Azure Database for MySQL.

V tomto kurzu se naučíte:

  • Konfigurace auditování pomocí webu Azure Portal nebo Azure CLI
  • Nastavení diagnostiky
  • Zobrazení protokolů auditu pomocí Log Analytics
  • Zobrazení protokolů auditu pomocí sešitů

Požadavky

Konfigurace auditování pomocí webu Azure Portal

  1. Přihlaste se k portálu Azure.

  2. Vyberte instanci flexibilního serveru.

  3. V levém podokně v části Nastavení vyberte Parametry serveru.

    Snímek obrazovky se seznamem Parametry serveru

  4. U parametru audit_log_enabled vyberte ZAPNUTO.

    Snímek obrazovky znázorňující parametr audit_log_enabled se přepnul na Zapnuto

  5. U parametru audit_log_events vyberte v rozevíracím seznamu typy událostí, které se mají protokolovat.

    Snímek obrazovky s možnostmi události v rozevíracím seznamu audit_log_events

  6. Pro parametry audit_log_exclude_users a audit_log_include_users zadejte uživatele MySQL, kteří mají být zahrnuti nebo vyloučeni z protokolování, zadáním uživatelských jmen MySQL.

    Snímek obrazovky zobrazující uživatelská jména MySQL, která se mají zahrnout nebo vyloučit z protokolování

  7. Zvolte Uložit.

    Snímek obrazovky s tlačítkem Uložit pro ukládání změn v hodnotách parametrů

Konfigurace auditování pomocí Azure CLI

Případně můžete povolit a nakonfigurovat auditování pro flexibilní server z Azure CLI spuštěním následujícího příkazu:

# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON

Nastavení diagnostiky

Protokoly auditu jsou integrované s nastavením diagnostiky služby Azure Monitor, abyste mohli protokoly převést do některé ze tří datových jímek:

  • Pracovní prostor služby Log Analytics
  • Centrum událostí
  • Účet úložiště

Poznámka:

Než nakonfigurujete nastavení diagnostiky, měli byste datové jímky vytvořit. K protokolům auditu můžete přistupovat v nakonfigurovaných datových jímkách. Zobrazení protokolů může trvat až 10 minut.

  1. V levém podokně v části Monitorování vyberte Nastavení diagnostiky.

  2. V podokně Nastavení diagnostiky vyberte Přidat nastavení diagnostiky.

    Snímek obrazovky s odkazem Přidat nastavení diagnostiky v podokně Nastavení diagnostiky

  3. Do pole Název zadejte název nastavení diagnostiky.

    Snímek obrazovky s podoknem Nastavení diagnostiky pro výběr možností konfigurace

  4. Určete, do kterých cílů (pracovní prostor služby Log Analytics, centrum událostí nebo účet úložiště) se mají protokoly auditu odesílat zaškrtnutím příslušných políček.

    Poznámka:

    V tomto kurzu odešlete protokoly auditu do pracovního prostoru služby Log Analytics.

  5. V části Protokol pro typ protokolu zaškrtněte políčko MySqlAuditLogs .

  6. Jakmile nakonfigurujete jímky dat tak, aby se protokoly auditu odsílaly do kanálu, vyberte Uložit.

Zobrazení protokolů auditu pomocí Log Analytics

  1. V Log Analytics v levém podokně v části Monitorování vyberte Protokoly.

  2. Zavřete okno Dotazy.

    Snímek obrazovky s podoknem Dotazy v Log Analytics

  3. V okně dotazu můžete napsat dotaz, který se má spustit. Například k vyhledání souhrnu auditovaných událostí na konkrétním serveru jsme použili následující dotaz:

    AzureDiagnostics
    |where Category =='MySqlAuditLogs' 
    |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s 
    |summarize count() by event_class_s,event_subclass_s 
    |order by event_class_s

    Snímek obrazovky s ukázkovým dotazem Log Analytics, který hledá souhrn auditovaných událostí na konkrétním serveru

Zobrazení protokolů auditu pomocí sešitů

Šablona sešitu, kterou používáte k auditování, vyžaduje, abyste vytvořili nastavení diagnostiky pro odesílání protokolů platformy.

  1. V Azure Monitoru v levém podokně vyberte Protokol aktivit a pak vyberte Nastavení diagnostiky.

    Snímek obrazovky znázorňující kartu Nastavení diagnostiky v podokně Protokol aktivit služby Azure Monitor

  2. V podokně Nastavení diagnostiky můžete přidat nové nastavení nebo upravit existující nastavení. Každé nastavení nesmí mít více než jeden z každého cílového typu.

    Snímek obrazovky s podoknem Nastavení diagnostiky služby Azure Monitor pro výběr cílů protokolu

    Poznámka:

    K protokolům pomalých dotazů můžete přistupovat v datových jímkách (pracovní prostor služby Log Analytics, účet úložiště nebo centrum událostí), které jste už nakonfigurovali. Zobrazení protokolů může trvat až 10 minut.

  3. Na webu Azure Portal v levém podokně v části Monitorování instance flexibilního serveru Azure Database for MySQL vyberte Sešity.

  4. Vyberte sešit Auditování.

    Snímek obrazovky zobrazující všechny sešity v galerii sešitů

V sešitu můžete zobrazit následující vizualizace:

  • Akce správy ve službě
  • Souhrn auditu
  • Souhrn událostí připojení auditu
  • Auditovat události připojení
  • Souhrn přístupu k tabulce
  • Zjištěné chyby

Snímek obrazovky se šablonou sešitu Akce správy ve službě

Snímek obrazovky se šablonou sešitu Auditovat události připojení

Poznámka:

Akce správy v zobrazení služby poskytují podrobnosti o aktivitě prováděné ve službě. Pomáhá určit, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE), které se provádějí s prostředky ve vašem předplatném.

Další vizualizace vám pomůžou porozumět podrobnostem databázové aktivity. Zabezpečení databáze má čtyři části:

  • Zabezpečení serveru: Zodpovídá za zabránění neoprávněnému personálu v přístupu k databázi.
  • Připojení k databázi: Správce by měl zkontrolovat, jestli autorizovaní pracovníci provedli nějaké aktualizace databáze.
  • Řízení přístupu k tabulkám: Zobrazuje přístupové klíče autorizovaných uživatelů a tabulky v databázi, které mají oprávnění zpracovávat.
  • Omezení přístupu k databázi: Zvláště důležité pro uživatele, kteří nahráli databázi na internet, a pomáhá zabránit externím zdrojům v získání přístupu k vaší databázi.

Další kroky