Erstellen und Konfigurieren eines Datenbankwatchers (Vorschau)

Gilt für:Azure SQL-DatenbankAzure SQL Managed Instance

Dieser Artikel enthält detaillierte Schritte zum Erstellen, Konfigurieren und Starten eines Datenbank-Watchers im Azure-Portal für Azure SQL-Datenbank und Azure SQL Managed Instance.

Für den Datenbankwatcher müssen Sie keine Überwachungs-Agents oder andere Überwachungsinfrastrukturen bereitstellen und unterhalten. Sie können die detaillierte Datenbanküberwachung Ihrer Azure SQL-Ressourcen in wenigen Minuten aktivieren.

Ein Schritt-für-Schritt-Beispiel zum Erstellen und Konfigurieren eines Datenbankwatchers finden Sie unter Schnellstart: Erstellen eines Datenbankwatchers zum Überwachen von Azure SQL.

Informationen zum Erstellen und Konfigurieren einer Datenbanküberwachung mit Bicep oder einer ARM-Vorlage finden Sie unter Erstellen einer Datenbanküberwachung.

Informationen zum programmgesteuerten Verwalten von Datenbank-Watchern finden Sie in der Dokumentation zur Datenbanküberwachungs-REST-API.

Hinweis

Der Datenbankwatcher befindet sich derzeit in der Vorschau.

Voraussetzungen

Für den Einsatz des Datenbankwatchers müssen die folgenden Voraussetzungen erfüllt sein.

• Sie brauchen ein aktives Azure-Abonnement. Falls Sie nicht über ein Abonnement verfügen, können Sie ein kostenloses Konto erstellen. Sie müssen Mitglied der Rolle Mitwirkender oder Besitzer sein, damit das Abonnement oder eine Ressourcengruppe Ressourcen erstellen kann.

• Zum Konfigurieren eines Datenbankwatchers brauchen Sie ein vorhandenes SQL-Ziel: eine Azure SQL-Datenbank, einen gepoolt oder eine SQL Managed Instance.

  • Wenn Sie noch keine Azure SQL-Datenbank erstellt haben, rufen Sie Schnellstart: Erstellen einer einzelnen Datenbank auf. Suchen Sie nach der Option, ihr Angebot zu verwenden, um Azure SQL-Datenbank (Vorschau) kostenlos zu testen.
  • Gehen Sie alternativ zu Azure SQL Managed Instance kostenlos testen (Vorschau).

• Die Ressourcenanbieter Microsoft.DatabaseWatcher, Microsoft.Kusto und Microsoft.Network müssen für Ihr Azure-Abonnement registriert sein.

  • Zum Verwenden der SQL-Authentifizierung für Verbindungen mit Ihren Azure SQL-Ressourcen muss auch der Ressourcenanbieter Microsoft.KeyVault registriert sein. Siehe Zusätzliche Konfiguration zur Verwendung der SQL-Authentifizierung.

  Der Ressourcenanbieter wird automatisch registriert, wenn Sie auf Abonnementebene Mitglied der RBAC-Tolle Besitzer oder Mitwirkender sind. Andernfalls muss ein Benutzer mit einer dieser Rollen die Ressourcenanbieter registrieren, bevor Sie einen Watcher erstellen und konfigurieren können. Weitere Informationen finden Sie unter Registrieren des Ressourcenanbieters.

• Der Benutzer, der den Watcher erstellt und konfiguriert, und die Azure Data Explorer-Clusterressourcen müssen Mitglied der RBAC-Rolle Besitzer oder Mitwirkender für die Ressourcengruppe oder das Abonnement sein, wo diese Ressourcen erstellt werden.

  Darüber hinaus muss der Benutzer bei Verwendung der SQL-Authentifizierung entweder Mitglied der Rolle Besitzer für die Ressourcengruppe sein oder Mitglied der Rolle Besitzer oder Benutzerzugriffsadministrator für den Schlüsseltresor, in dem die Anmeldedaten für die SQL-Authentifizierung gespeichert werden.

• Der Benutzer, der die Überwachung konfiguriert, muss über Administratorzugriff auf die Azure SQL-Ziele verfügen. Dem Watcher wird eingeschränkter, spezifischer Zugriff auf die SQL-Überwachungsziele gewährt. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf Ziele.

• Um einem Watcher Zugriff auf ein SQL-Ziel zu gewähren, müssen Sie T-SQL-Skripts ausführen. Sie können SQL Server Management Studio (SSMS), Azure Data Studio oder Visual Studio Code mit der SQL Server-Erweiterung mssql verwenden.

• Zur Verwendung von Azure Private Link für private Verbindungen mit Azure-Ressourcen muss der Benutzer, der den privaten Endpunkt genehmigt, Mitglied der RBAC-Rolle Besitzer sein oder über die erforderlichen RBAC-Berechtigungen verfügen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) für private Endpunkte genehmigen.

Erstellen eines Watchers

1. Wählen Sie im Azure-Portal im Navigationsmenü Alle Dienste aus. Wählen Sie Überwachen als Kategorie und wählen Sie unter Überwachungstools die Option Datenbankwatcher aus. Alternativ können Sie Datenbankwatcher in das Suchfeld oben auf der Portalseite eingeben und Datenbankwatcher auswählen.

   Wenn sich die Ansicht Datenbankwatcher öffnet, wählen Sie Erstellen aus.

2. Wählen Sie in der Registerkarte Allgemeine Informationen das Abonnement und die Ressourcengruppe für den Watcher aus, geben Sie den Namen des Watchers ein und wählen Sie eine Azure-Region aus.

   Tipp

   Wenn der Datenbankwatcher während der Vorschau in Ihrer Region noch nicht verfügbar ist, können Sie ihn in einer anderen Region erstellen. Weitere Informationen finden Sie unter Regionale Verfügbarkeit.

3. In der Registerkarte Identität ist der Status der systemseitig zugewiesenen verwalteten Identität auf Ein festgelegt. Das Erstellen von Watchern ohne systemseitig zugewiesene verwaltete Identität wird derzeit nicht unterstützt.

4. Wählen Sie einen Datenspeicher für den Watcher aus.

   Standardmäßig wird beim Erstellen eines Watchers auch ein Azure Data Explorer-Cluster erstellt und eine Datenbank als Datenspeicher für die erfassten Überwachungsdaten zu diesem Cluster hinzugefügt.

   • Standardmäßig verwendet der neue Azure Data Explorer-Cluster die SKU Sehr klein, für Compute optimiert. Dies ist die kostengünstigste SKU, die dennoch über ein Service Level Agreement (SLA) verfügt. Sie können diesen Cluster später nach Bedarf skalieren.

   • Sie können eine Datenbank auch in einem vorhandenen Azure Data Explorer-Cluster, in einem kostenlosen Azure Data Explorer-Cluster oder in der Echtzeitanalyse verwenden.

     1. Wählen Sie in der Registerkarte Datenspeicher die Option Datenspeicher auswählen und dann Hinzufügen aus.
     2. Wählen Sie eine Echtzeitanalyse-Datenbank oder einen Azure Data Explorer-Cluster aus.
     3. Wenn Sie über einen vorhandenen Azure Data Explorer-Cluster verfügen, müssen Sie die Streamingerfassung aktivieren.
     4. Erstellen Sie eine neue Datenbank oder verwenden Sie eine vorhandene Datenbank.

     Hinweis

     Eine von Ihnen ausgewählte vorhandene Datenbank muss leer sein oder muss eine bereits zuvor als Datenbankwatcher-Datenspeicher verwendete Datenbank sein. Das Auswählen einer Datenbank, die nicht vom Datenbankwatcher erstellte Objekte enthält, wird nicht unterstützt.

5. Fügen Sie in der Registerkarte SQL-Zieleeine oder mehrere zu überwachende Azure SQL-Ressourcen hinzu. Sie können das Hinzufügen von SQL-Zielen beim Erstellen des Watchers überspringen und sie später hinzufügen. Sie müssen mindestens ein Ziel hinzufügen, bevor Sie den Watcher starten.

6. Überprüfen Sie sich in der Registerkarte Überprüfen und erstellen die Konfiguration des Watchers und wählen Sie Erstellen aus. Wenn Sie die Standardoption zum Erstellen eines neuen Azure Data Explorer-Clusters auswählen, dauert die Bereitstellung in der Regel 15-20 Minuten. Wenn Sie eine Datenbank in einem vorhandenen Azure Data Explorer-Cluster, in einem kostenlosen Azure Data Explorer-Cluster oder in der Echtzeitanalyse auswählen, dauert die Bereitstellung in der Regel bis zu fünf Minuten.

7. Wenn die Bereitstellung abgeschlossen ist, müssen Sie dem Watcher Zugriff auf SQL-Ziele gewähren.

   • Der Zugriff auf eine Datenbank in einem neuen oder vorhandenen Azure Data Explorer-Cluster wird beim Erstellen des Watchers automatisch gewährt.
   • Sie müssen jedoch den Zugriff auf den Datenspeicher mit einem KQL-Befehl gewähren, wenn Sie eine Datenbank auswählen in:
     • Echtzeitanalyse in Microsoft Fabric
     • Ein kostenloser Azure Data Explorer-Cluster

8. Erstellen Sie verwaltete private Endpunkte, wenn Sie private Verbindungen verwenden möchten.

Starten und Beenden eines Watchers

Wenn ein Watcher erstellt wird, wird er nicht automatisch gestartet, da gegebenenfalls eine zusätzliche Konfiguration erforderlich ist.

Zum Starten eines Watchers braucht er Folgendes:

• Einen Datenspeicher
• Mindestens ein Ziel
• Zugriff auf den Datenspeicher und die Ziele
  • Zugriff auf einen Schlüsseltresor ist ebenfalls erforderlich, wenn die SQL-Authentifizierung für ein Ziel ausgewählt wurde.
• Entweder private oder öffentliche Verbindung mit Zielen, Schlüsseltresor (bei Verwendung der SQL-Authentifizierung) und Datenspeicher
  • Für private Verbindungen müssen Sie private Endpunkte erstellen.

Sobald ein Watcher vollständig konfiguriert ist, können Sie in der Übersicht über die Schaltfläche Start die Datensammlung starten. Innerhalb weniger Minuten erscheinen neue Überwachungsdaten im Datenspeicher und in Dashboards. Wenn innerhalb von fünf Minuten keine neuen Daten angezeigt werden, lesen Sie die Problembehandlung.

Sie können den Watcher über die Schaltfläche Beenden beenden, wenn Sie Ihre Azure SQL-Ressourcen einige Zeit nicht überwachen müssen.

Für den Neustart eines Watchers müssen Sie ihn beenden und dann erneut starten.

Ändern eines Watchers

Im Azure-Portal können Sie Ziele hinzufügen oder entfernen, private Endpunkte erstellen oder löschen oder einen anderen Datenspeicher für einen vorhandenen Watcher verwenden.

Hinweis

Sofern nicht anders angegeben, werden die Änderungen, die Sie an der Konfiguration des Watchers vornehmen, wirksam, nach Beenden und Neustarten des Watchers wirksam.

Hinzufügen von SQL-Zielen zu einem Watcher

Um die Überwachung durch den Datenbankwatcher für eine Azure SQL-Datenbank, einen Pool für elastische Datenbanken oder eine SQL Managed Instance zu aktivieren, müssen Sie diese Ressource als SQL-Ziel hinzufügen.

1. Wählen Sie zum Hinzufügen eines Ziels auf der Seite SQL-ZieleHinzufügen aus.
2. Suchen Sie die Azure SQL-Ressource, die Sie überwachen möchten. Wählen Sie den Ressourcentyp und das Abonnement aus, und wählen Sie dann das SQL-Ziel aus der Liste der Ressourcen aus. Das SQL-Ziel kann sich in jedem Abonnement innerhalb desselben Microsoft Entra ID-Mandanten wie der Watcher befinden.
3. Zum Überwachen des primären Replikats und eines sekundären Replikats mit hoher Verfügbarkeit einer Datenbank, eines Pools für elastische Datenbanken oder einer SQL Managed Instance müssen Sie zwei separate Ziele für dieselbe Ressource hinzufügen und das Kontrollkästchen Leseabsicht für eines davon aktivieren.
   • Durch Aktivieren des Kontrollkästchens Leseabsicht wird der Watcher so konfiguriert, dass er nur das sekundäre Replikat mit hoher Verfügbarkeit überwacht.
   • Aktivieren Sie das Kontrollkästchen Leseabsicht nicht, wenn Sie nur das primäre Replikat überwachen möchten oder wenn es für diese Ressource kein sekundäres Replikat mit hoher Verfügbarkeit gibt oder wenn das Feature für die horizontale Leseskalierung deaktiviert ist.

Zum Herstellen einer Verbindung mit SQL-Datenbank verwendet der Datenbankwatcher standardmäßig die Microsoft Entra-Authentifizierung. Wenn der Watcher die SQL-Authentifizierung verwenden soll, müssen Sie das Kontrollkästchen SQL-Authentifizierung verwenden aktivieren und die erforderlichen Details eingeben. Weitere Informationen finden Sie unter Zusätzliche Konfiguration zur Verwendung der SQL-Authentifizierung.

Entfernen von SQL-Zielen aus einem Watcher

Öffnen Sie zum Entfernen eines oder mehrerer Ziel die Seite SQL-Ziele, wählen Sie die zu entfernenden Ziele in der Liste und dann Löschen aus.

Durch das Entfernen eines Ziels wird die Überwachung für eine Azure SQL-Ressource beendet, nachdem der Watcher neu gestartet wurde, die eigentliche Ressource wird aber nicht gelöscht.

Wenn Sie eine vom Datenbankwatcher überwachte Azure SQL-Ressource löschen sollten Sie auch das entsprechende Ziel entfernen. Da die Anzahl der für einen Watcher möglichen SQL-Ziele begrenzt ist, können veraltete Ziele das Hinzufügen neuer Ziele blockieren.

Erstellen eines verwalteten privaten Endpunkts

Sie müssen verwaltete private Endpunkte erstellen, wenn Sie private Verbindungen für die Datensammlung aus SQL-Zielen, für die Aufnahme in den Datenspeicher und zum Herstellen einer Verbindung mit einem Schlüsseltresor verwenden möchten. Wenn Sie keine privaten Endpunkte erstellen, verwendet der Datenbankwatcher standardmäßig öffentliche Verbindungen.

Gehen Sie zum Erstellen eines verwalteten privaten Endpunkts folgendermaßen vor:

1. Wenn eine schreibgeschützte Sperre für die Ressource, die Ressourcengruppe oder die Subscription der Ressource besteht, für die Sie den verwalteten privaten Endpunkt erstellt haben, entfernen Sie die Sperre. Sie können die Sperre wieder hinzufügen, nachdem der private Endpunkt erfolgreich erstellt wurde.

2. Navigieren Sie im Azure-Portal zu einem Datenbankwatcher, öffnen Sie die Seite Verwaltete private Endpunkte und wählen Sie Hinzufügen aus.

3. Geben Sie einen Namen für den privaten Endpunkt ein.

4. Wählen Sie das Abonnement der Azure-Ressource aus, für die Sie den privaten Endpunkt erstellen möchten.

5. Wählen Sie je nach Ressource, für die Sie einen privaten Endpunkt erstellen möchten, den Ressourcentyp und die Zielunterressource wie folgt aus:

   Resource	Ressourcentyp	Zielunterressource
   Logischer Server	Microsoft.Sql/servers	sqlServer
   Verwaltete SQL-Instanz	Microsoft.Sql/managedInstances	managedInstance
   Azure Data Explorer-Cluster	Microsoft.Kusto/clusters	cluster
   Key vault	Microsoft.KeyVault/vaults	vault

6. Wählen Sie die Ressource aus, für die Sie einen privaten Endpunkt erstellen möchten. Dabei kann es sich um einen logischen Azure SQL-Server oder eine SQL Managed Instance, einen Azure Data Explorer-Cluster oder einen Schlüsseltresor handeln.

   • Das Erstellen eines privaten Endpunkts für einen logischen Server für Azure SQL-Datenbank aktiviert für den Datenbankwachter die private Verbindung für alle Datenbanken und Pools für elastische Datenbanken als Ziel auf diesem Server.

7. Geben Sie optional eine Beschreibung des privaten Endpunkts ein. Das kann für den Ressourcenbesitzer beim Genehmigen der Anforderung hilfreich sein.

8. Klicken Sie auf Erstellen. Es kann ein oder zwei Minuten dauern, bis ein privater Endpunkt erstellt wird. Ein privater Endpunkt ist erstellt, sobald sich der Bereitstellungsstatus von Akzeptiert oder Wird ausgeführt in Erfolgreich ändert. Aktualisieren Sie die Ansicht, damit der aktuelle Bereitstellungsstatus angezeigt wird.

   Wichtig

   Der private Endpunkt wird im Status Ausstehend erstellt. Er muss vom Ressourcenbesitzer genehmigt werden, bevor er vom Datenbankwatcher zum Herstellen einer Verbindung mit der Ressource verwendet werden kann.

   Damit Ressourcenbesitzer die Netzwerkverbindung steuern können, werden private Endpunkte für den Datenbankwatcher nicht automatisch genehmigt.

9. Der Ressourcenbesitzer muss die Anforderung des privaten Endpunkts genehmigen.

   • Im Azure-Portal sollte der Besitzer der Ressource nach Private Verbindung suchen, um das Private Link Center zu öffnen. Suchen Sie unter Ausstehende Verbindungen den erstellten privaten Endpunkt, bestätigen Sie seine Beschreibung und die Details und wählen Sie Genehmigen aus.
   • Sie können Anforderungen privater Endpunkte auch über Azure CLI genehmigen.

Wenn ein Watcher bereits ausgeführt wird, wenn ein privater Endpunkt genehmigt wird, muss er neu gestartet werden, um mit der Verwendung der privaten Verbindung zu beginnen.

Löschen eines verwalteten privaten Endpunkts

1. Wenn eine Löschsperre für die Ressource, die Ressourcengruppe oder die Subscription der Ressource besteht, für die Sie den verwalteten privaten Endpunkt löschen, entfernen Sie die Sperre. Sie können die Sperre wieder hinzufügen, nachdem der private Endpunkt erfolgreich gelöscht wurde.
2. Öffnen Sie auf der Azure-Portal-Seite für den Datenbankwatcher die Seite Verwaltete private Endpunkte.
3. Wählen Sie die zu löschenden privaten Endpunkte aus.
4. Klicken Sie auf Löschen.

Durch das Löschen eines verwalteten privaten Endpunkts wird die Datensammlung von SQL-Zielen beendet, die diesen privaten Endpunkt verwenden. Durch das Löschen des verwalteten privaten Endpunkts für den Azure Data Explorer-Cluster wird die Datensammlung für alle Ziele beendet. Um die Datensammlung fortzusetzen, müssen Sie den privaten Endpunkt neu erstellen oder öffentliche Verbindungen aktivieren und den Watcher neu starten.

Ändern des Datenspeichers für einen Watcher

Ein Watcher kann nur einen Datenspeicher haben.

Um den aktuellen Datenspeicher zu ändern, müssen Sie den vorhandenen Datenspeicher löschen und dann einen neuen Datenspeicher hinzufügen.

• Öffnen Sie zum Entfernen des aktuellen Datenspeichers die Seite Datenspeicher, wählen Sie den Datenspeicher im Raster und dann Löschen aus.

  • Durch das Entfernen eines Datenspeichers wird die eigentliche Datenspeicherdatenbank in einem Azure Data Explorer-Cluster oder in der Echtzeitanalyse in Microsoft Fabric nicht gelöscht.
  • Um die Datensammlung in einen entfernten Datenspeicher zu beenden, müssen Sie den Watcher beenden.
  • Wenn Sie einen Datenspeicher entfernen, müssen Sie einen neuen Datenspeicher hinzufügen, bevor Sie den Watcher erneut starten können.

• Wählen Sie zum Hinzufügen eines Datenspeichers auf der Seite Datenspeicher die Option Hinzufügen aus und wählen oder erstellen Sie dann eine Datenbank in einem Azure Data Explorer-Cluster oder in der Echtzeitanalyse.

  • Die von Ihnen ausgewählte Datenbank muss leer sein oder muss eine bereits zuvor als Datenbankwatcher-Datenspeicher verwendete Datenbank sein. Das Auswählen einer Datenbank, die nicht vom Datenbankwatcher erstellte Objekte enthält, wird nicht unterstützt.
  • Wenn Sie einen Datenspeicher hinzugefügt haben, müssen Sie dem Watcher Zugriff gewähren, damit er ihn verwenden kann. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf den Datenspeicher.
  • Der neue Datenspeicher wird verwendet, sobald der Watcher neu gestartet wird.

Löschen eines Watchers

Wenn eine Löschsperre für den Watcher, seine Ressourcengruppe oder sein Abonnement vorhanden ist, entfernen Sie die Sperre. Sie können die Sperre wieder hinzufügen, nachdem der Watcher erfolgreich gelöscht wurde.

Wenn Sie einen Watcher löschen, wird auch die systemseitig zugewiesene verwaltete Identität gelöscht. Dadurch wird jeder Zugriff, den Sie dieser Identität gewährt haben, entfernt. Wenn Sie den Watcher später neu erstellen, müssen Sie der systemseitig zugewiesenen verwalteten Identität des neuen Watchers Zugriff für die Authentifizierung bei jeder Ressource gewähren. Dies umfasst:

• Targets
• Der Datenspeicher
• Und der Schlüsseltresor (sofern verwendet)

Sie müssen einem neu erstellten Watcher auch dann Zugriff gewähren, wenn Sie denselben Watchernamen verwenden.

Wenn Sie einen Watcher löschen, werden die als Ziel angeführten Azure-Ressourcen und der Datenspeicher nicht gelöscht. Die gesammelten SQL-Überwachungsdaten bleiben im Datenspeicher erhalten, und Sie können dieselbe Datenbank als Datenspeicher verwenden, wenn Sie später einen neuen Watcher erstellen.

Gewähren des Zugriffs auf SQL-Ziele

Damit ein Watcher SQL-Überwachungsdaten erfassen kann, müssen Sie ein T-SQL-Skript ausführen, das dem Watcher spezifische, eingeschränkte SQL-Berechtigungen gewährt.

• Zum Ausführen des Skripts in Azure SQL-Datenbank benötigen Sie Serveradministrator-Zugriff auf den logischen Server mit den zu überwachenden Datenbanken und Pools für elastische Datenbanken.

  • In Azure SQL-Datenbank müssen Sie das Skript nur einmal pro logischem Server für jeden von Ihnen erstellten Watcher ausführen. Dies gewährt dem Watcher Zugriff auf alle vorhandenen und neuen Datenbanken und Pools für elastische Datenbanken auf diesem Server.

• Zum Ausführen des Skripts in Azure SQL Managed Instance müssen Sie Mitglied der Serverolle sysadmin oder securityadmin sein oder über die Serverberechtigung CONTROL für die SQL Managed Instance verfügen.

  • In Azure SQL Managed Instance müssen Sie das Skript für jede zu überwachende Instanz ausführen.

1. Navigieren Sie im Azure-Portal zum Watcher, wählen Sie SQL-Ziele aus, wählen Sie einen der Links Zugriff gewähren aus, um das T-SQL-Skript zu öffnen, und kopieren Sie das Skript. Achten Sie darauf, dass Sie den richtigen Link für Ihren Zieltyp und den Authentifizierungstyp auswählen, den Sie verwenden möchten.

   Wichtig

   Das Microsoft Entra-Authentifizierungsskript im Azure-Portal ist spezifisch für einen Watcher, da es den Namen des Watchers enthält. Eine generische Version dieses Skripts, die Sie für jeden Watcher anpassen können, finden Sie unter Gewähren des Zugriffs auf SQL-Ziele mit T-SQL-Skripts.

2. Öffnen Sie in SQL Server Management Studio, Azure Data Studio oder einem anderen SQL-Clienttool ein neues Abfragefenster und verbinden Sie es mit der master-Datenbank auf einem logischen Azure SQL-Server, der das Ziel enthält, oder mit der master-Datenbank auf einem SQL Managed Instance-Ziel.

3. Fügen Sie das T-SQL-Skript ein und führen Sie es aus, um dem Watcher Zugriff zu gewähren. Das Skript erstellt eine Anmeldung, die der Watcher zum Herstellen einer Verbindung verwendet, und gewährt bestimmte, eingeschränkte Berechtigungen zum Erfassen von Überwachungsdaten.

   1. Wenn Sie ein Microsoft Entra-Authentifizierungsskript verwenden, muss der Watcher beim Ausführen des Skripts bereits erstellt sein. Darüber hinaus müssen Sie mit der Microsoft Entra-Authentifizierung verbunden sein.

Wenn Sie einem Watcher später neue Ziele hinzufügen, müssen Sie auf gleiche Weise Zugriff auf diese Ziele gewähren, es sei denn, diese Ziele befinden sich auf einem logischen Server, für den der Zugriff bereits gewährt wurde.

Gewähren des Zugriffs auf SQL-Ziele mit T-SQL-Skripts

Es gibt unterschiedliche Skripts für die Microsoft Entra-Authentifizierung und SQL-Authentifizierung sowie für Azure SQL-Datenbank- und Azure SQL Managed Instance-Ziele.

Wichtig

Verwenden Sie zum Gewähren des Zugriffs für den Datenbankwatcher immer bereitgestellte Skripts. Das Gewähren des Zugriffs auf eine andere Weise kann die Datensammlung blockieren. Weitere Informationen finden Sie unter Watcher-Autorisierung.

Ersetzen Sie vor dem Ausführen eines Skripts sämtliche im Skript gegebenenfalls vorhanden Platzhalter wie login-name-placeholder, user-name-placeholder und password-placeholder durch die tatsächlichen Werte.

Gewähren des Zugriffs für mit Microsoft Entra authentifizierte Watcher

SQL-Datenbank

Dieses Skript erstellt eine Anmeldung für die Microsoft Entra-Authentifizierung (früher als Azure Active Directory bezeichnet) auf einem logischen Server in Azure SQL-Datenbank. Die Anmeldung wird für die verwaltete Identität eines Watchers erstellt. Das Skript gewährt dem Watcher die erforderlichen und ausreichenden Berechtigungen zum Erfassen von Überwachungsdaten aus allen Datenbanken und Pools für elastische Datenbanken auf dem logischen Server.

Sie müssen den Namen des Watchers als Anmeldenamen verwenden. Das Skript muss in der master-Datenbank auf dem logischen Server ausgeführt werden. Sie müssen mit einer Anmeldung für die Microsoft Entra-Authentifizierung als Serveradministrator angemeldet sein.

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [watcher-name-placeholder];

SQL Managed Instance

Dieses Skript erstellt eine Anmeldung für die Microsoft Entra-Authentifizierung (früher als Azure Active Directory bezeichnet) auf einer SQL Managed Instance. Die Anmeldung wird für die verwaltete Identität eines Watchers erstellt. Das Skript gewährt dem Watcher die erforderlichen und ausreichenden Berechtigungen zum Erfassen von Überwachungsdaten von der Instanz.

Sie müssen den Namen des Watchers als Anmeldenamen verwenden. Das Skript muss in der master-Datenbank der verwalteten Instanz ausgeführt werden. Sie müssen mit einer Anmeldung für die Microsoft Entra-Authentifizierung als Mitglied der Serverrolle sysadmin oder securityadmin oder mit der Serverberechtigung CONTROL angemeldet sein.

USE master;

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [watcher-name-placeholder];

USE msdb;

CREATE USER [watcher-name-placeholder] FOR LOGIN [watcher-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [watcher-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [watcher-name-placeholder];

Gewähren des Zugriffs für mit SQL authentifizierte Watcher

Bei Verwendung der SQL-Authentifizierung sind weitere Schritte erforderlich, siehe Zusätzliche Konfiguration zur Verwendung der SQL-Authentifizierung.

SQL-Datenbank

Dieses Skript erstellt eine Anmeldung für die SQL-Authentifizierung auf einem logischen Server in Azure SQL-Datenbank. Es gewährt der Anmeldung die erforderlichen und ausreichenden Berechtigungen zum Erfassen von Überwachungsdaten aus allen Datenbanken und Pools für elastische Datenbanken auf diesem logischen Server.

Das Skript muss in der master-Datenbank auf dem logischen Server mit einer Anmeldung als Administrator des logischen Servers ausgeführt werden.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

SQL Managed Instance

Dieses Skript erstellt eine Anmeldung für die SQL-Authentifizierung in einer SQL Managed Instance. Es gewährt der Anmeldung die erforderlichen und ausreichenden Berechtigungen zum Erfassen von Überwachungsdaten von der Instanz.

Das Skript muss in der master-Datenbank auf der Instanz mit einer Anmeldung als Mitglied der Serverrolle sysadmin oder securityadmin oder mit der Serverberechtigung CONTROL ausgeführt werden.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Zusätzliche Konfiguration zur Verwendung der SQL-Authentifizierung

Zur sicheren Speicherung der Anmeldedaten für die Authentifizierung bei Verwendung der SQL-Authentifizierung im Datenbankwatcher ist eine zusätzliche Konfiguration erforderlich.

Tipp

Für eine sicherere, einfachere und weniger fehleranfällige Konfiguration empfehlen wir, die Microsoft Entra-Authentifizierung für Ihre Azure SQL-Ressourcen zu aktivieren und sie anstelle der SQL-Authentifizierung zu verwenden.

Gehen Sie folgendermaßen vor, um den Datenbankwatcher so zu konfigurieren, dass er die Verbindung mit einem Ziel mithilfe der SQL-Authentifizierung herstellt:

1. Erstellen Sie einen Tresor in Azure Key Vault oder bestimmen Sie einen vorhandenen Tresor, den Sie verwenden können. Der Tresor muss das RBAC-Berechtigungsmodell verwenden. Das RBAC-Berechtigungsmodell ist die Standardeinstellung für neue Tresore. Wenn Sie einen vorhandenen Tresor verwenden möchten, stellen Sie sicher, dass er nicht für die Verwendung des älteren Zugriffsrichtlinienmodellskonfiguriert ist.

   Wenn Sie eine private Verbindung mit dem Tresor verwenden möchten, müssen Sie auf der Seite Verwaltete private Endpunkte einen privaten Endpunkt erstellen. Wählen Sie Microsoft.KeyVault/vaults als Ressourcentyp und vault als Zielunterressource aus. Stellen Sie sicher, dass sich der private Endpunkt genehmigt ist, bevor Sie den Watcher starten.

   Wenn Sie eine öffentliche Verbindung verwenden möchten, muss der Tresor von allen aktivierten Netzwerken aus öffentlichen Zugriff haben. Das Einschränken der öffentlichen Verbindung des Tresors auf bestimmte Netzwerke wird im Datenbankwatcher nicht unterstützt.

2. Erstellen Sie eine Anmeldung für die SQL-Authentifizierung auf jedem logischen Azure SQL-Server oder jeder verwalteten Instanz, die Sie überwachen möchten, und erteilen Sie die erforderlichen Berechtigungen. Verwenden Sie die bereitgestellten Zugriffsskripts für die SQL-Authentifizierung und ersetzen Sie den Anmeldenamen, Benutzernamen und Kennwortplatzhalter durch die tatsächlichen Werte. Verwenden Sie ein sicheres Kennwort.

3. Erstellen Sie im Tresor zwei Geheimnisse: ein Geheimnis für den Anmeldenamen und ein separates Geheimnis für das Kennwort. Verwenden Sie einen beliebigen gültigen Namen als Namen des Geheimnisses und geben Sie den Anmeldenamen oder das Kennwort aus dem T-SQL-Skript als Wert des Geheimnisses ein.

   Die Namen der beiden Geheimnisse könnten z. B. database-watcher-login-name und database-watcher-password lauten. Die Werte der Geheimnisse wären ein Anmeldename und ein sicheres Kennwort.

   Zum Erstellen von Geheimnissen müssen Sie Mitglied der RBAC-Rolle Key Vault-Geheimnisbeauftragter sein.

4. Fügen Sie auf der Seite Access control (IAM) jedes Geheimnisses eine Rollenzuweisung für die verwaltete Identität des Watchers in der RBAC-Rolle Key Vault-Geheimnisbenutzer hinzu. Nach dem Prinzip der geringsten Rechte sollten Sie diese Rollenzuweisung für jedes Geheimnis hinzufügen und nicht für den gesamten Tresor. Die Zugriffssteuerungsseite (IAM) wird nur angezeigt, wenn der Tresor für die Verwendung des RBAC-Berechtigungsmodells konfiguriert ist.

5. Fügen Sie das SQL-Ziel zu einem Watcher hinzu. Aktivieren Sie beim Hinzufügen eines Ziels das Kontrollkästchen SQL-Authentifizierung verwenden und wählen Sie den Tresor aus, in dem die Geheimnisse für den Anmeldename und das Kennwort gespeichert sind. Geben Sie die Namen der Geheimnisse für den Anmeldenamen und das Kennwort ein.

   Geben Sie beim Hinzufügen eines SQL-Ziels nicht den tatsächlichen Anmeldenamen und das Kennwort ein. Im vorangehenden Beispiel würden Sie die Namen database-watcher-login-name und database-watcher-password der Geheimnisse eingeben.

Wenn Sie für verschiedene SQL-Ziele unterschiedliche Anmeldungen verwenden möchten, können Sie alle Geheimnisse im selben Tresor speichern.

Hinweis

Wenn Sie den Wert des Geheimnisses für einen Anmeldenamen oder ein Kennwort im Schlüsseltresor aktualisieren, während ein Watcher ausgeführt wird, stellt der Watcher innerhalb von 15 Minuten mit den neuen Anmeldedaten für die SQL-Authentifizierung neue Verbindungen mit Zielen her. Wenn die neuen Anmeldedaten sofort verwendet werden sollen, müssen Sie den Watcher beenden und neu starten.

Gewähren des Zugriffs auf den Datenspeicher

Zum Erstellen und Verwalten des Datenbankschemas im Laufe der Zeit und zum Erfassen von Überwachungsdaten erfordert der Datenbankwatcher die Mitgliedschaft in der RBAC-Rolle Admins in der Datenspeicherdatenbank. Der Datenbankwatcher benötigt keinen Zugriff auf Clusterebene auf den Azure Data Explorer-Cluster oder Zugriff auf andere, im selben Cluster eventuell vorhandene Datenbanken.

Wenn Sie einen neuen Azure Data Explorer-Cluster und eine neue Datenbank erstellen oder beim Erstellen eines Watchers eine Datenbank in einem vorhandenen Cluster auswählen, wird dieser Zugriff automatisch gewährt, wenn der Benutzer, der den Watcher erstellt, Mitglied der RBAC-Rolle Besitzer für den Cluster ist.

Wenn Sie den Datenspeicher für einen vorhandenen Watcher ändern oder eine Datenbank in der Echtzeitanalyse oder in einem kostenlosen Azure Data Explorer-Cluster verwenden, müssen Sie entsprechend der Beschreibung in diesem Abschnitt Zugriff gewähren.

Gewähren des Zugriffs auf eine Azure Data Explorer-Datenbank über das Azure-Portal

Den Zugriff auf eine Datenbank im Azure Data Explorer-Cluster können Sie über das Azure-Portal gewähren:

1. Wählen Sie für eine Datenbank in einem Azure Data Explorer-Cluster im Ressourcenmenü unter Sicherheit und Netzwerkbetrieb die Option Berechtigungen aus. Verwenden Sie nicht die Seite Berechtigungen des Clusters.
2. Wählen Sie Hinzufügen und dann Admin aus.
3. Wählen Sie auf der Seite Neue Prinzipale die Option Unternehmensanwendungen aus, und geben Sie den Namen des Watchers in das Suchfeld ein.
4. Wählen Sie die Unternehmensanwendung mit demselben Namen wie der Watcher aus.

Gewähren des Zugriffs auf eine Azure Data Explorer-Datenbank mit KQL

Statt über das Azure-Portal können Sie den Zugriff auf die Datenbank auch mithilfe eines KQL-Befehls gewähren.

1. Stellen Sie über den Kusto-Explorer oder die Web-Benutzeroberfläche des Azure Data Explorers eine Verbindung zu einer Datenbank her. Gewähren Sie nach dieser Methode den Zugriff auf eine Datenbank in der Echtzeitanalyse oder in einem kostenlosen Azure Data Explorer-Cluster.

2. Im folgenden Beispiel-KQL-Befehl müssen Sie drei Platzhalter ersetzen:

   .add database [adx-database-name-placeholder] admins ('aadapp=watcher-object-id-placeholder;tenant-primary-domain-placeholder');
   

   Platzhalter	Ersatz
   adx-database-name-placeholder	Der Name einer Datenbank in einem Azure Data Explorer-Cluster oder in der Echtzeitanalyse.
   watcher-object-id-placeholder	Wert der Objekt(Prinzipal)-ID (eine GUID), der auf der Seite Identität des Watchers zu finden ist.
   tenant-primary-domain-placeholder	Der Domänenname des Microsoft Entra ID-Mandanten des Watchers. Dieser ist in der Übersicht für Microsoft Entra ID im Azure-Portal zu finden. Anstelle der primären Mandanten-Domäne kann auch der GUID-Wert der Mandanten-ID verwendet werden. Sie können diesen Teil des Befehls (und das vorangehende Semikolon) weglassen, wenn sich der Watcher und der Azure Data Explorer-Cluster im selben Microsoft Entra ID-Mandanten befinden.

   Zum Beispiel:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung mit Kusto.

Gewähren des Zugriffs auf den Datenspeicher für Benutzer und Gruppen

Sie können das Azure-Portal oder einen KQL-Befehl verwenden, um Benutzern und Gruppen Zugriff auf eine Datenbank in einem Azure Data Explorer-Cluster oder in Real-Time Analytics zu gewähren. Um Zugriff zu gewähren, müssen Sie Mitglied der Administrator-RBAC-Rolle in der Datenbank sein.

Gewähren Sie KQL-Befehl den Zugriff auf eine Datenbank in einem kostenlosen Azure Data Explorer-Cluster oder in der Echtzeitanalyse. Nach dem Prinzip der geringsten Rechte, empfehlen wir, Benutzer und Gruppen nicht zu einer anderen RBAC-Rolle als Viewer hinzuzufügen.

Wichtig

Bedenken Sie sorgfältig Ihre Datenschutz- und Sicherheitsanforderungen, wenn Sie Zugriff zum Anzeigen der vom Datenbankwatcher erfassten SQL-Überwachungsdaten gewähren.

Der Datenbankwatcher kann zwar keine Daten erfassen, die in Benutzertabellen in Ihren SQL-Datenbanken gespeichert sind, aber gewisse Datasets wie aktive Sitzungen, Indexmetadaten, Fehlende Indizes, Abfrage-Laufzeitstatistiken, Abfrage-Wartestatistiken, Sitzungsstatistiken und Tabellenmetadaten können potenziell vertrauliche Daten enthalten, wie z. B. Tabellen- und Indexnamen, Abfragetext, Abfrageparameterwerte, Anmeldenamen usw.

Wenn Sie einem Benutzer, der keinen Zugriff auf diese Daten in einer SQL-Datenbank hat, für den Datenspeicher den Zugriff zum Anzeigen gewähren, kann er womöglich vertrauliche Daten sehen, die ansonsten für ihn nicht zugänglich wären.

Gewähren des Zugriffs auf den Datenspeicher über das Azure-Portal

Sie können Benutzern und Gruppen den Zugriff auf eine Datenbank im Azure Data Explorer-Cluster über das Azure-Portal gewähren:

1. Wählen Sie für eine Datenbank in einem Azure Data Explorer-Cluster im Ressourcenmenü unter Sicherheit und Netzwerkbetrieb die Option Berechtigungen aus. Verwenden Sie nicht die Seite Berechtigungen des Clusters.
2. Wählen Sie Hinzufügen und dann Viewer aus.
3. Geben Sie auf der Seite Neue Prinzipale den Namen des Benutzers oder der Gruppe in das Suchfeld ein.
4. Wählen Sie den Benutzer oder die Gruppe aus.

Gewähren des Zugriffs auf den Datenspeicher mit KQL

Statt über das Azure-Portal können Sie Benutzern und Gruppen den Zugriff auf die Datenbank auch mithilfe eines KQL-Befehls gewähren. Die folgenden Beispiel-KQL-Befehle gewähren den Lesezugriff auf Daten für den Benutzer mary@contoso.com und die Gruppe SQLMonitoringUsers@contoso.com in einem Microsoft Entra ID-Mandanten mit einem bestimmten Mandanten-ID-Wert:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung mit Kusto.

Um Benutzern und Gruppen aus einem anderen Mandanten Zugriff auf den Datenspeicher zu gewähren, müssen Sie die mandantenübergreifende Authentifizierung in Ihrem Azure Data Explorer-Cluster aktivieren. Weitere Informationen finden Sie unter Zulassen von mandantenübergreifenden Abfragen und Befehlen.

Tipp

Die mandantenübergreifende Authentifizierung ist in der Echtzeitanalyse und in kostenlosen Azure Data Explorer-Clustern aktiviert. Auf diese Weise können Sie Benutzern und Gruppen in Ihrem Microsoft Entra ID-Mandanten Zugriff zum Anzeigen von Daten in diesen Datenbanken gewähren.

Verwalten des Datenspeichers

Dieser Abschnitt beschreibt die Möglichkeiten zum Verwalten des Überwachungsdatenspeichers, einschließlich Skalierung, Datenaufbewahrung und sonstiger Konfigurationen. Die Überlegungen zur Clusterskalierung in diesem Abschnitt sind im Fall einer Datenbank im Azure Data Explorer-Cluster relevant. Im Fall einer Datenbank in der Echtzeitanalyse in Fabric wird die Skalierung automatisch verwaltet.

Skalierung eines Azure Data Explorer-Clusters

Sie können Ihren Azure Data Explorer-Cluster nach Bedarf skalieren. Sie können Ihren Cluster z. B. auf die SKU Sehr klein Dev/Test herunterskalieren, wenn keine Vereinbarung zum Service Level (SLA) erforderlich ist und wenn die Abfrage- und Datenerfassungsleistung akzeptabel bleibt.

Bei vielen Datenbankwatcherbereitstellungen ist die standardmäßige SKU Sehr klein, für Compute optimiert mit 2 Instanzen auf unbestimmte Zeit ausreichend. In einigen Fällen müssen Sie entsprechend den im Lauf der Zeit erfolgten Änderungen von Konfiguration und Workload ihren Cluster skalieren, um eine angemessene Abfrageleistung und eine geringe Datenerfassungslatenz zu gewährleisten.

Azure Data Explorer unterstützt die vertikale und horizontale Clusterskalierung. Durch vertikales Skalieren ändern Sie die Cluster-SKU, wodurch sich die Anzahl der vCPUs, der Arbeitsspeicher und der Zwischenspeicher pro Instanz (Knoten) ändert. Durch horizontales Skalieren bleibt die SKU gleich, aber die Anzahl der Instanzen im Cluster wird erhöht oder verringert.

Wenn Sie eines oder mehrere der folgenden Symptome bemerken, müssen Sie den Cluster horizontal oder vertikal (hoch) skalieren:

• Die Leistung von Dashboard- oder Ad-hoc-Abfragen wird zu langsam.
• Sie führen viele gleichzeitige Abfragen auf Ihrem Cluster aus und stellen Drosselungsfehler fest.
• Die Datenerfassungslatenz ist durchweg höher als akzeptabel.

Im Allgemeinen müssen Sie Ihren Cluster nicht skalieren, wenn die Datenmenge im Datenspeicher im Lauf der Zeit zunimmt. Dies liegt daran, dass Dashboardabfragen und die gängigsten analytischen Abfragen nur die neuesten Daten verwenden, die im lokalen SSD-Speicher auf Clusterknoten zwischengespeichert sind.

Wenn Sie jedoch analytische Abfragen ausführen, die sich auf längere Zeitbereiche erstrecken, können sie mit der Zeit langsamer werden, weil Gesamtumfang der gesammelten Daten zunimmt und nicht mehr in den lokalen SSD-Speicher passt. In diesem Fall kann für eine angemessene Abfrageleistung eine Skalierung des Clusters erforderlich sein.

• Wenn Sie den Cluster skalieren müssen, empfehlen wir zunächst eine horizontale Skalierung, um die Anzahl der Instanzen zu erhöhen. Dadurch bleibt der Cluster während des Skalierungsprozesses für Abfragen und die Erfassung verfügbar.

  • Sie können die optimierte Autoskalierung aktivieren, damit die Anzahl der Instanzen infolge von Änderungen der Workload oder saisonalen Trends automatisch verringert oder erhöht wird.

• Sie werden vielleicht feststellen, dass manche Abfragen auch nach dem horizontalen Skalieren des Clusters immer noch nicht erwartungsgemäß ausgeführt werden. Dies kann der Fall sein, wenn die Abfrageleistung an die in einer Instanz (Knoten) des Clusters verfügbaren Ressourcen gebunden ist. In diesem Fall müssen Sie den Cluster vertikal hochskalieren.

  • Die vertikale Clusterskalierung dauert mehrere Minuten. Während dieses Prozesses gibt es eine Ausfallzeit, die die Datenerfassung unterbrechen kann. Wenn das der Fall ist, müssen Sie den Watcher beenden und neu starten, wenn der Skalierungsvorgang abgeschlossen ist.

Sie können einen kostenlosen Azure Data Explorer-Cluster nicht skalieren. Wenn Sie feststellen, dass die Spezifikationen des kostenlosen Clusters für Ihre Anforderungen unzureichend sind, müssen Sie ein Upgrade auf einen vollständigen Azure Data Explorer-Cluster vornehmen. Beim Upgradeprozess bleiben alle erfassten Daten erhalten. Da es während des Upgrades zu einer Ausfallzeit kommen kann, müssen Sie den Watcher gegebenenfalls beenden und neu starten, um die Datensammlung fortzusetzen, sobald das Upgrade abgeschlossen ist.

Verwalten der Datenaufbewahrung

Wenn Sie keine älteren Daten benötigen, können Sie die Datenaufbewahrungsrichtlinien so konfigurieren, dass automatisch eine endgültige Löschung erfolgt. Standardmäßig ist die Datenaufbewahrung in einer neuen Datenbank in einem Azure Data Explorer-Cluster oder in der Echtzeitanalyse auf 365 Tage festgelegt.

• Sie können den Zeitraum für die Datenaufbewahrung auf Datenbankebene oder für einzelne Tabellen in der Datenbank verkürzen.
• Sie können die Aufbewahrungszeit auch verlängern, wenn Sie Überwachungsdaten für mehr als ein Jahr speichern müssen. Es gibt keine Obergrenze für den Datenaufbewahrungszeitraum.
• Wenn Sie für verschiedene Tabellen unterschiedliche Datenaufbewahrungszeiträume konfigurieren, kann es vorkommen, dass Dashboards für die älteren Zeitbereiche nicht erwartungsgemäß funktionieren. Das kann der Fall sein, wenn Daten in manchen Tabellen noch vorhanden sind, in anderen Tabellen für das gleiche Zeitintervall aber bereits endgültig gelöscht wurden.

Schema- und Zugriffsänderungen im Datenspeicher des Datenbankwatchers

Mit der Zeit wird Microsoft vielleicht neue Datasets für den Datenbankwatcher einführen oder vorhandene Datasets erweitern. Dies bedeutet, dass neue Tabellen im Datenspeicher oder neue Spalten in vorhandenen Tabellen gegebenenfalls automatisch hinzugefügt werden.

Dazu muss die verwaltete Identität eines Datenbankwatchers Mitglied der RBAC-Rolle Admins im Datenspeicher sein. Das Widerrufen dieser Rollenmitgliedschaft oder das Ersetzen durch die Mitgliedschaft in einer anderen RBAC-Rolle kann sich auf die Datenerfassung durch den Datenbankwatcher und die Schemaverwaltung auswirken und wird nicht unterstützt.

Ebenso wird das Erstellen von neuen Objekten wie Tabellen, externen Tabellen, materialisierten Sichten, Funktionen usw. im Datenspeicher des Datenbankwatchers nicht unterstützt. Sie können mit clusterübergreifenden und datenbankübergreifende Abfragen Daten in Ihrem Datenspeicher aus anderen Azure Data Explorer-Clustern oder aus anderen Datenbanken im selben Cluster abfragen.

Wichtig

Wenn Sie den Zugriff des Datenbankwatchers auf seinen Datenspeicher ändern oder Änderungen an Datenbankschema oder Konfiguration vornehmen, die sich auf die Datenerfassung auswirken, müssen Sie gegebenenfalls den Datenspeicher für diesen Watcher durch eine neue leere Datenbank ersetzen und dem Watcher Zugriff auf diese neue Datenbank gewähren, um die Datensammlung fortzusetzen und zu einer unterstützte Konfiguration zurückzukehren.

Beendeter Azure Data Explorer-Cluster

Ein Azure Data Explorer-Cluster kann beendet werden, z.B. um Kosten zu sparen. Standardmäßig wird ein Azure Data Explorer-Cluster, der im Azure-Portal erstellt wurde, nach mehreren Tagen der Inaktivität automatisch beendet. Dies kann zum Beispiel vorkommen, wenn Sie den Watcher beenden, der Daten in die einzige Datenbank in Ihrem Cluster aufnimmt, und Sie keine Abfragen in dieser Datenbank ausführen.

Wenn Sie beim Erstellen eines neuen Watchers die Standardoption zum Erstellen eines neuen Azure Data Explorer-Clusters verwenden, wird das automatische Stoppverhalten deaktiviert, um unterbrechungsfreie Datensammlung zu ermöglichen.

Wenn der Cluster beendet wird, wird auch die Datenerfassung durch den Datenbankwatcher beendet, und Überwachungsdaten werden nicht auf Dashboards angezeigt. Um die Datensammlung fortzusetzen und Daten über Dashboards zugänglich zu machen, müssen Sie den Cluster manuell fortsetzen. Starten Sie den Watcher neu, sobald der Cluster ausgeführt wird.

Sie können das automatische Beenden deaktivieren, wenn der Cluster auch bei Inaktivität verfügbar bleiben soll. Dadurch können sich die Clusterkosten erhöhen.

Streamingerfassung

Der Datenbankwatcher erfordert, dass für den Azure Data Explorer-Cluster, der die Datenspeicherdatenbank enthält, die Streamingerfassung aktiviert ist. Die Streamingerfassung wird beim Erstellen eines neuen Watchers für den neu erstellten Azure Data Explorer-Cluster automatisch aktiviert. Sie ist auch in der Echtzeitanalyse und in kostenlosen Azure Data Explorer-Clustern aktiviert.

Wenn einen vorhandenen Azure Data Explorer-Cluster verwenden möchten, müssen Sie erst einmal die Streamingerfassung aktivieren. Dies dauert einige Minuten und erfordert einen Neustart des Clusters.

Überwachen großer Umgebungen

Zum Überwachen einer großen Azure SQL-Umgebung müssen Sie möglicherweise mehrere Watcher erstellen.

Jeder Watcher braucht eine Datenbank auf einem Azure Data Explorer-Cluster oder in der Echtzeitanalyse als Datenspeicher. Die von Ihnen erstellten Watcher können eine einzige Datenbank als gemeinsamen Datenspeicher oder separate Datenbanken als separate Datenspeicher verwenden. Mithilfe der folgenden Überlegungen können die für Ihre Überwachungsszenarien und Anforderungen optimale Entscheidung treffen.

Überlegungen zu einem gemeinsamen Datenspeicher:

• Es gibt einen umfassenden Überblick über Ihre gesamte Azure SQL-Umgebung.
• Benutzer mit Zugriff auf den Datenspeicher haben jedoch Zugriff auf alle Überwachungsdaten.

Überlegungen zu separaten Datenspeichern:

• Teilmengen Ihrer Azure SQL-Umgebung werden unabhängig voneinander überwacht. Umgebungsdashboards im Azure-Portal zeigen die Daten aus einem einzelnen Datenspeicher an. Benutzer mit Zugriff auf mehrere Datenspeicher können anhand von clusterübergreifenden oder datenbankübergreifenden KQL-Abfragen mit einer einzigen Abfrage auf Überwachungsdaten in mehreren Datenspeichern zugreifen.
• Da der Datenzugriff im Azure Data Explorer und in der Echtzeitanalyse pro Datenbank verwaltet wird, können Sie den Zugriff auf die Überwachungsdaten für die Teilmengen Ihrer Daten auf präzise Weise verwalten.
• Sie können mehrere Datenbank im selben Azure Data Explorer-Cluster unterbringen, um Clusterressourcen gemeinsam zu nutzen und Kosten zu sparen, während die Daten in jeder Datenbank dennoch isoliert bleiben.
• Wenn Sie eine vollständige Trennung von Umgebungen benötigen, einschließlich des Netzwerkzugriffs auf Azure Data Explorer-Cluster, können Sie verschiedene Datenbanken auf unterschiedlichen Clustern unterbringen.

Zugehöriger Inhalt

• Schnellstart: Erstellen eines Datenbankwatchers zum Überwachen von Azure SQL (Vorschau)
• Überwachen von Azure SQL-Workloads mit Datenbankwatcher (Vorschau)
• Datensammlung und Datasets des Datenbankwatchers (Vorschau)
• Analysieren von Überwachungsdaten des Datenbankwatchers (Vorschau)
• Häufig gestellte Fragen zum Datenbankwatcher