Freigeben über


Überwachungsprotokollformate in Azure SQL-Datenbank

Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Bei der Azure SQL-Datenbank-Überwachung werden Datenbankereignisse nachverfolgt und in Überwachungsprotokolle in Ihrem Azure-Speicherkonto geschrieben oder für die Downstreamverarbeitung und -analyse an Event Hub bzw. Log Analytics gesendet.

Benennungskonventionen

Blobüberwachung

Überwachungsprotokoll, die in Azure Blob Storage gespeichert werden, werden in einem Container namens sqldbauditlogs im Azure-Speicherkonto gespeichert. Die Verzeichnishierarchie innerhalb des Containers weist das Format <ServerName>/<DatabaseName>/<AuditName>/<Date>/ auf. Die Dateinamen für Blobs weisen das Format <CreationTime>_<FileNumberInSession>.xel auf. Hierbei entspricht CreationTime dem UTC-Format hh_mm_ss_ms, und FileNumberInSession ist ein laufender Index, der für den Fall vorhanden ist, dass Sitzungsprotokolle sich über mehrere Blobdateien erstrecken.

Für die Datenbank Database1 unter Server1 wäre beispielsweise folgender Pfad gültig:

Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel

Überwachungsprotokolle für schreibgeschützte Replikate werden im selben Container gespeichert. Die Verzeichnishierarchie innerhalb des Containers weist das Format <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/ auf. Der Name der Blobdatei weist das gleiche Format auf. Die Überwachungsprotokolle für schreibgeschützte Replikate werden im selben Container gespeichert.

Event Hub

Überwachungsereignisse werden in den Namespace und Event Hub geschrieben, der während der Konfiguration festgelegt wurde, im Textkörper von Apache Avro-Ereignissen erfasst und im JSON-Format mit UTF-8-Codierung gespeichert. Zum Lesen der Überwachungsprotokolle können Sie Avro Tools oder ähnliche Tools verwenden, die dieses Format verarbeiten können.

Log Analytics

Überwachungsereignisse werden an folgende Orte geschrieben: in den Log Analytics-Arbeitsbereich, der während der Überwachungskonfiguration definiert wurde, in die AzureDiagnostics-Tabelle mit der Kategorie SQLSecurityAuditEvents und in die Tabelle mit der Kategorie DevOpsOperationsAudit für Microsoft-Support-Vorgänge. Weitere nützliche Informationen zu Log Analytics-Suchsprache und -Suchbefehlen finden Sie unter Referenz zur Log Analytics-Suche.

Felder eines Überwachungsprotokolls

Name (Blob) Name (Event Hubs/Log Analytics) BESCHREIBUNG Blobtyp Event Hubs-/Log Analytics-Typ
action_id action_id_s ID der Aktion varchar(4) Zeichenfolge
action_name action_name_s Name der Aktion Zeichenfolge
additional_information additional_information_s Zusätzliche Informationen zum Ereignis (im XML-Format gespeichert) nvarchar(4000) Zeichenfolge
affected_rows affected_rows_d Anzahl der von der Abfrage betroffenen Zeilen BIGINT INT
application_name application_name_s Name der Clientanwendung nvarchar(128) Zeichenfolge
audit_schema_version audit_schema_version_d Immer 1 INT INT
class_type class_type_s Typ der überwachbaren Entität, für die die Überwachung ausgeführt wird varchar(2) Zeichenfolge
class_type_desc class_type_description_s Beschreibung der überwachbaren Entität, für die die Überwachung ausgeführt wird Zeichenfolge
client_ip client_ip_s Quell-IP-Adresse der Clientanwendung nvarchar(128) Zeichenfolge
connection_id ID der Verbindung auf dem Server GUID
data_sensitivity_information data_sensitivity_information_s Informationstypen und Vertraulichkeitsbezeichnungen, die von der überwachten Abfrage zurückgegeben werden (je nach klassifizierter Spalte in der Datenbank) Weitere Informationen: Azure SQL-Datenbank: Datenermittlung und -klassifizierung nvarchar(4000) Zeichenfolge
database_name database_name_s Datenbankkontext, in dem die Aktion durchgeführt wurde sysname Zeichenfolge
database_principal_id database_principal_id_d ID des Datenbankbenutzerkontexts, in dem die Aktion durchgeführt wurde INT INT
database_principal_name database_principal_name_s Name des Datenbankbenutzerkontexts, in dem die Aktion durchgeführt wurde sysname Zeichenfolge
duration_milliseconds duration_milliseconds_d Ausführungsdauer der Abfrage in Millisekunden BIGINT INT
event_time event_time_t Datum und Uhrzeit, zu dem die überwachbare Aktion ausgelöst wurde datetime2 datetime
host_name Clienthostname Zeichenfolge
is_column_permission is_column_permission_s Flag, das angibt, ob die Berechtigung auf Benutzerebene erteilt wurde 1 = ja, 0 = nein bit Zeichenfolge
is_server_level_audit_s Flag, das angibt, ob die Überwachung auf Serverebene durchgeführt wird Zeichenfolge
object_ id object_id_d ID der Entität, für die die Überwachung durchgeführt wurde Dazu zählen Serverobjekte, Datenbanken, Datenbankobjekte und Schemaobjekte. 0, wenn die Entität den Server selbst darstellt oder die Überwachung nicht auf Objektebene durchgeführt wurde INT INT
object_name object_name_s Name der Entität, für die die Überwachung durchgeführt wurde Dazu zählen Serverobjekte, Datenbanken, Datenbankobjekte und Schemaobjekte. 0, wenn die Entität den Server selbst darstellt oder die Überwachung nicht auf Objektebene durchgeführt wurde sysname Zeichenfolge
obo_middle_tier_app_id obo_middle_tier_app_id_s Die Anwendungs-ID der Anwendung auf mittlerer Ebene, die über OBO-Zugriff mit der SQL-Datenbank verbunden ist. varchar(120) Zeichenfolge
permission_bitmask permission_bitmask_s Zeigt die gewährten, verweigerten oder widerrufenen Berechtigungen an (falls verfügbar) varbinary(16) Zeichenfolge
response_rows response_rows_d Anzahl der im Resultset zurückgegebenen Zeilen BIGINT INT
schema_name schema_name_s Schemakontext, in dem die Aktion durchgeführt wurde NULL, wenn eine Überwachung außerhalb eines Schemas durchgeführt wird sysname Zeichenfolge
securable_class_type_s Sicherungsfähige Objekte, die dem überwachten class_type zugeordnet werden Zeichenfolge
sequence_group_id sequence_group_id_g Eindeutiger Bezeichner varbinary GUID
sequence_number sequence_number_d Hält die Reihenfolge der Datensätze innerhalb eines einzelnen Überwachungsdatensatzes fest, der zu groß für den Schreibpuffer für Überwachungen ist. Hinweis: Die Überwachung von Azure SQL-Datenbank und Azure Synapse speichert 4.000 Datenzeichen für Zeichenfelder in einem Überwachungsdatensatz. Wenn mehr als 4.000 Zeichen vorhanden sind, werden alle Daten abgeschnitten, die über die ersten 4.000 Zeichen hinausgehen. INT INT
server_instance_name server_instance_name_s Name der Serverinstanz, in der die Überwachung durchgeführt wurde sysname Zeichenfolge
server_principal_id server_principal_id_d ID des Anmeldekontexts, in dem die Aktion durchgeführt wurde INT INT
server_principal_name server_principal_name_s Aktuelle Anmeldung sysname Zeichenfolge
server_principal_sid server_principal_sid_s Aktuelle Anmelde-SID varbinary Zeichenfolge
session_id session_id_d ID der Sitzung, in der das Ereignis aufgetreten ist SMALLINT INT
session_server_principal_name session_server_principal_name_s Dienstprinzipal für die Sitzung sysname Zeichenfolge
statement statement_s Ausgeführte T-SQL-Anweisung (falls verfügbar) nvarchar(4000) Zeichenfolge
succeeded succeeded_s Gibt an, ob die Aktion, die das Ereignis ausgelöst hat, erfolgreich war Für Ereignisse, die keine Anmelde- oder Batchereignisse sind, wird nur erfasst, ob die Berechtigungsüberprüfung erfolgreich war oder nicht. Der Vorgang wird nicht erfasst. 1 = Erfolg, 0 = Fehler bit Zeichenfolge
target_database_principal_id target_database_principal_id_d Datenbankprinzipal, auf dem der GRANT-, DENY- oder REVOKE-Vorgang ausgeführt wird. 0, falls nicht zutreffend INT INT
target_database_principal_name target_database_principal_name_s Zielbenutzer der Aktion NULL, falls nicht zutreffend Zeichenfolge Zeichenfolge
target_server_principal_id target_server_principal_id_d Dienstprinzipal, auf dem der GRANT-, DENY- oder REVOKE-Vorgang ausgeführt wird Gibt 0 zurück, falls nicht zutreffend INT INT
target_server_principal_name target_server_principal_name_s Zielanmeldung der Aktion NULL, falls nicht zutreffend sysname Zeichenfolge
target_server_principal_sid target_server_principal_sid_s SID der Zielanmeldung NULL, falls nicht zutreffend varbinary Zeichenfolge
transaction_id transaction_id_d nur SQL Server (ab 2016), 0 für Azure SQL-Datenbank BIGINT INT
user_defined_event_id user_defined_event_id_d Benutzerdefinierte Ereignis-ID, die als Argument an sp_audit_write übergeben wird NULL für Systemereignisse (Standardwert), ungleich 0 für benutzerdefinierte Ereignisse Weitere Informationen: sp_audit_write (Transact-SQL) SMALLINT INT
user_defined_information user_defined_information_s Benutzerdefinierte Informationen, die als Argument an sp_audit_write übergeben werden NULL für Systemereignisse (Standardwert), ungleich 0 für benutzerdefinierte Ereignisse Weitere Informationen: sp_audit_write (Transact-SQL) nvarchar(4000) Zeichenfolge

Nächste Schritte

Lesen Sie mehr zur Überwachung in Azure SQL-Datenbank.