Einrichten der Überwachung von Azure SQL-Datenbank und Azure Synapse Analytics

  • Artikel

Gilt für:Azure SQL-DatenbankAzure Synapse Analytics

In diesem Artikel erfahren Sie mehr über das Einrichten der Überwachung für Ihren logischen Server oder Ihre Datenbank in Azure SQL-Datenbank und Azure Synapse Analytics.

Konfigurieren der Überwachung für Ihren Server

Die Standardüberwachungsrichtlinie umfasst die folgenden Aktionsgruppen, mit denen alle Abfragen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlerhafte Anmeldungen überwacht werden:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Weitere Informationen zur Überwachung verschiedener von Aktionen und Aktionsgruppen mithilfe von PowerShell finden Sie unter Verwalten der Überwachung von Azure SQL-Datenbank.

Bei der Überwachung von Azure SQL-Datenbank und Azure Synapse werden 4.000 Datenzeichen für Zeichenfelder in einem Überwachungsdatensatz gespeichert. Wenn der von einer überwachbaren Aktion zurückgegebene Wert statement oder data_sensitivity_information mehr als 4.000 Zeichen enthält, werden alle Daten über die ersten 4.000 Zeichen hinaus abgeschnitten und nicht überwacht.

Im folgenden Abschnitt wird die Konfiguration der Überwachung über das Azure-Portal beschrieben.

Hinweis

Die Überwachung kann bei einem angehaltenen dedizierten SQL-Pool nicht aktiviert werden. Zum Aktivieren der Überwachung setzen Sie den dedizierten SQL-Pool fort. Weitere Informationen finden Sie unter Dedizierter SQL-Pool.

Wenn die Überwachung für einen Log Analytics-Arbeitsbereich oder ein Event Hubs-Ziel über das Azure-Portal oder mithilfe eines PowerShell-Cmdlets konfiguriert wurde, wird eine Diagnoseeinstellung mit aktivierter Kategorie SQLSecurityAuditEvents erstellt.

  1. Öffnen Sie das Azure-Portal.

  2. Navigieren Sie im Bereich für die SQL-Datenbank oder den SQL Server unter der Überschrift Sicherheit zu Überwachung.

  3. Wenn Sie eine Serverüberwachungsrichtlinie einrichten möchten, wählen Sie auf dem Blatt für die Datenbanküberwachung den Link Servereinstellungen anzeigen aus. Anschließend können Sie die Serverüberwachungseinstellungen anzeigen oder ändern. Eine Richtlinien für die Serverüberwachung gelten für alle vorhandenen und neu erstellten Datenbanken auf diesem Server.

    Screenshot that shows the View server settings link highlighted on the database auditing page.

  4. Wenn Sie die Überwachung auf Datenbankebene aktivieren möchten, ändern Sie Überwachung in EIN. Wenn die Serverüberwachung aktiviert ist, erfolgt die konfigurierte Datenbanküberwachung parallel zur Serverüberwachung.

  5. Sie haben mehrere Optionen zur Auswahl, um zu konfigurieren, wo Überwachungsprotokolle gespeichert werden. Sie können die Protokolle in ein Azure Storage-Konto, in einen Log Analytics-Arbeitsbereich für die Nutzung durch Azure Monitor-Protokolle oder in einen Event Hub für die Nutzung durch den Event Hub schreiben. Sie können eine beliebige Kombination dieser Optionen konfigurieren, und die Überwachungsprotokolle werden in die jeweils angegebenen Speicherorte geschrieben.

    Screenshot that shows the storage options for Auditing.

Überwachung in Speicherziel

Sie können das Schreiben von Überwachungsprotokollen in ein Speicherkonto konfigurieren, indem Sie im Abschnitt Überwachung auf Speicher klicken. Wählen Sie das Azure-Speicherkonto aus, in dem Sie Ihre Protokolle speichern möchten. Sie können die folgenden beiden Speicherauthentifizierungstypen verwenden: verwaltete Identität und Speicherzugriffsschlüssel. Bei verwalteten Identitäten werden sowohl systemseitig zugewiesene als auch benutzerseitig zugewiesene verwaltete Identitäten unterstützt. Standardmäßig ist die dem Server zugewiesene primäre Benutzeridentität ausgewählt. Wenn es keine Benutzeridentität gibt, wird eine systemseitig zugewiesene verwaltete Identität erstellt und für Authentifizierungszwecke verwendet. Nachdem Sie einen Authentifizierungstyp ausgewählt haben, wählen Sie einen Aufbewahrungszeitraum aus, indem Sie Erweiterte Eigenschaften öffnen und Speichern auswählen. Protokolle, die älter als die Aufbewahrungsdauer sind, werden gelöscht.

Screenshot that shows storage account authentication types for Auditing.

Hinweis

Sorgen Sie bei einer Bereitstellung über das Azure-Portal dafür, dass sich das Speicherkonto in derselben Region wie Ihre Datenbank und Ihr Server befindet. Wenn Sie über andere Methoden bereitstellen, kann sich das Speicherkonto in jeder beliebigen Region befinden.

  • Der Standardwert für die Beibehaltungsdauer ist „0“ (unbegrenzte Aufbewahrung). Sie können diesen Wert ändern, indem Sie den Schieberegler Beibehaltung (Tage) in den erweiterten Einstellungen verschieben, wenn Sie das Speicherkonto für die Überwachung konfigurieren.
    • Wenn Sie die Beibehaltungsdauer von „0“ (unbegrenzte Aufbewahrung) in einen anderen Wert ändern, wird die Beibehaltung nur auf Protokolle angewandt, die nach dem Ändern des Aufbewahrungswerts geschrieben werden. Protokolle, die in dem Zeitraum geschrieben wurden, in dem die Aufbewahrung auf „unbegrenzt“ festgelegt war, bleiben auch nach Aktivierung der Aufbewahrung erhalten.

Überwachen in Log Analytics-Ziel

Wählen Sie zum Konfigurieren des Schreibens von Überwachungsprotokollen in einen Log Analytics-Arbeitsbereich Log Analytics aus, und öffnen Sie Details zu Log Analytics. Wählen Sie den Log Analytics-Arbeitsbereich aus, in dem die Protokolle gespeichert werden sollen, und wählen Sie dann OK aus. Wenn Sie noch keinen Log Analytics-Arbeitsbereich erstellt haben, finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs über das Azure-Portal einen Leitfaden.

Screenshot showing the Log Analytics workspace.

Überwachen in Event Hubs-Ziel

Klicken Sie zum Konfigurieren des Schreibvorgangs für Überwachungsprotokolle in einen Event Hub auf Event Hub. Wählen Sie den Event Hub aus, in dem Sie die Protokolle speichern möchten, und wählen Sie dann Speichern aus. Achten Sie darauf, dass sich der Event Hub in derselben Region wie Ihre Datenbank und der Server befindet.

Screenshot showing the Event hub.

Hinweis

Wenn Sie mehrere Ziele wie Speicherkonto, Log Analytics oder Event Hub verwenden, stellen Sie sicher, dass Sie über Berechtigungen für alle Ziele verfügen, die die Überwachungskonfiguration speichern, wenn versucht wird, die Einstellungen für alle Ziele zu speichern.

Nächste Schritte

Verwenden der Überwachung zum Analysieren von Überwachungsprotokollen und -berichten

Siehe auch