Verwenden der Überwachung zum Analysieren von Überwachungsprotokollen und -berichten
Gilt für: Azure SQL-Datenbank Azure Synapse Analytics
In diesem Artikel finden Sie eine Übersicht über die Analyse von Überwachungsprotokollen mithilfe der Überwachung für Azure SQL-Datenbank und Azure Synapse Analytics. Sie können die Überwachung verwenden, um Überwachungsprotokolle an folgenden Orten zu analysieren:
- Log Analytics
- Event Hubs
- Azure-Speicher
Analysieren von Protokollen mithilfe von Log Analytics
Wenn Sie Überwachungsprotokolle in Log Analytics schreiben möchten:
Verwenden Sie das Azure-Portal.
Wechseln Sie zur gewünschten Datenbankressource.
Wählen Sie in der Datenbank oben auf der Seite Überwachung die Option Überwachungsprotokolle anzeigen aus.
Sie haben zwei Möglichkeiten, die Protokolle anzuzeigen:
Wählen Sie am oberen Rand der Seite Überwachungsdatensätze die Option Log Analytics aus. Daraufhin wird die Protokollansicht im Log Analytics-Arbeitsbereich geöffnet, in der Sie den Zeitbereich und die Suchabfrage anpassen können.
Wenn Sie oben auf der Seite Überwachungsdatensätze die Option Dashboard anzeigen auswählen, wird ein Dashboard mit Überwachungsprotokollinformationen geöffnet, für die Sie einen Drilldown in Sicherheitserkenntnisse oder den Zugriff auf vertrauliche Daten ausführen können. Dieses Dashboard soll Ihnen helfen, Sicherheitseinblicke in Ihre Daten zu erhalten. Sie können den Zeitbereich und die Suchabfrage auch anpassen.
Alternativ können Sie auch über das Menü Log Analytics auf die Überwachungsprotokolle zugreifen. Öffnen Sie Ihren Log Analytics-Arbeitsbereich, und wählen Sie im Abschnitt Allgemein die Option Protokolle aus. Beginnen Sie mit einer einfachen Abfrage, wie z. B. "SQLSecurityAuditEvents" suchen, um die Überwachungsprotokolle anzuzeigen. Hier können Sie auch Azure Monitor-Protokolle nutzen, um erweiterte Suchen für Ihre Überwachungsprotokolldaten durchzuführen. Mithilfe integrierter Suchfunktionen und benutzerdefinierter Dashboards bieten Azure Monitor-Protokolle Ihnen in Echtzeit Erkenntnisse zu Betriebsabläufen, sodass Sie Millionen von Datensätzen für alle Ihre Workloads und Server analysieren können. Weitere nützliche Informationen zur Suchsprache und den Befehlen in Azure Monitor-Protokollen finden Sie in der Referenz zur Suche in Azure Monitor-Protokollen.
Analysieren von Protokollen mithilfe von Event Hubs
Wenn Sie Überwachungsprotokolle in Event Hubs schreiben möchten:
- Um die Überwachungsprotokolldaten aus Event Hubs zu nutzen, müssen Sie einen Stream zum Nutzen von Ereignissen einrichten und diese in ein Ziel schreiben. Weitere Informationen finden Sie in der Dokumentation zu Azure Event Hubs.
- Überwachungsprotokolle werden in Event Hubs derzeit im Text von Apache Avro-Ereignissen erfasst und im JSON-Format mit UTF-8-Codierung gespeichert. Zum Lesen der Überwachungsprotokolle können Sie Avro Tools, Microsoft Fabric Event-Streams oder ähnliche Tools verwenden, die dieses Format verarbeiten können.
Analysieren von Protokollen in einem Azure Storage-Konto
Wenn Sie die Überwachungsprotokolle in ein Azure-Speicherkonto schreiben möchten, gibt es mehrere Methoden zum Anzeigen der Protokolle:
Überwachungsprotokolle werden in dem Konto aggregiert, das Sie während der Einrichtung ausgewählt haben. Sie können Überwachungsprotokolle mithilfe eines Tools wie Azure Storage-Explorer untersuchen. In Azure Storage werden Überwachungsprotokolle als Sammlung von Blobdateien in einem Container namens sqldbauditlogs gespeichert. Weitere Informationen zur Hierarchie der Speicherordner, zu Namenskonventionen und zum Protokollformat finden Sie unter Format für SQL-Datenbank-Überwachungsprotokolle.
Verwenden Sie das Azure-Portal.
Öffnen Sie die gewünschte Datenbankressource.
Wählen Sie in der Datenbank oben auf der Seite Überwachung die Option Überwachungsprotokolle anzeigen aus.
Die Seite Überwachungsdatensätze wird geöffnet, auf der Sie die Protokolle anzeigen können.
Sie können Protokolle für einen bestimmten Zeitraum anzeigen, indem Sie im oberen Bereich der Seite Überwachungsdatensätze die Option Filter auswählen.
Sie können zwischen Überwachungsdatensätzen wechseln, die anhand der Serverüberwachungsrichtlinie oder der Datenbanküberwachungsrichtlinie erstellt wurden, indem Sie die Option unter Überwachungsquelle ändern.
Verwenden Sie die Systemfunktion
sys.fn_get_audit_file
(T-SQL), um die Daten der Überwachungsprotokolle im Tabellenformat zurückzugeben. Weitere Informationen zur Verwendung dieser Funktion finden Sie unter sys.fn_get_audit_file.Verwenden von Überwachungsdateien zusammenführen in SQL Server Management Studio (ab SSMS 17):
Wählen Sie im SSMS-Menü Datei>Öffnen>Überwachungsdateien zusammenführen.
Das Dialogfeld Überwachungsdateien hinzufügen wird geöffnet. Wählen Sie eine der Optionen zum Hinzufügen aus, um festzulegen, ob die Überwachungsdateien von einem lokalen Datenträger zusammengeführt oder aus Azure Storage importiert werden sollen. Sie müssen Ihre Azure Storage-Anmeldeinformationen und Ihren Kontoschlüssel angeben.
Nachdem Sie alle zusammenzuführenden Dateien hinzugefügt haben, wählen Sie OK aus, um die Zusammenführung abzuschließen.
Die zusammengeführte Datei wird in SSMS geöffnet. Hier können Sie die Datei anzeigen und analysieren und in eine XEL- oder CSV-Datei oder in eine Tabelle exportieren.
Verwenden Sie Power BI. Sie können Überwachungsprotokolldateien in Power BI anzeigen und analysieren. Weitere Informationen finden Sie unter Analysieren von Überwachungsprotokolldaten in Power BI. Dort können Sie auch auf eine herunterladbare Vorlage zugreifen.
Laden Sie Protokolldateien aus Ihrem Azure Storage-Blobcontainer über das Portal oder mithilfe eines Tools wie Azure Storage-Explorer herunter.
- Nachdem Sie die Protokolldatei lokal heruntergeladen haben, können Sie auf die Datei doppelklicken, um die Protokolle in SSMS zu öffnen, anzuzeigen und zu analysieren.
- Sie können mit dem Azure Storage-Explorer auch mehrere Dateien gleichzeitig herunterladen. Klicken Sie dazu mit der rechten Maustaste auf einen bestimmten Unterordner, und wählen Sie Speichern unter aus, um die Dateien in einem lokalen Ordner zu speichern.
Weitere Methoden:
- Nach dem Herunterladen mehrerer Dateien oder eines Unterordners, der Protokolldateien enthält, können Sie die Dateien lokal zusammenführen, wie in den Anweisungen weiter oben für das Zusammenführen von Überwachungsdateien in SSMS beschrieben.
- Programmgesteuertes Anzeigen von Blobüberwachungsprotokollen: Führen Sie Abfragen von Dateien mit erweiterten Ereignissen mithilfe von PowerShell durch.
Siehe auch
- Übersicht über die Überwachung
- Data Exposed-Folge What's New in Azure SQL Auditing (Neuerungen bei der Azure SQL-Überwachung)
- Überwachung für SQL Managed Instance
- Überwachung für SQL Server