Freigeben über

Überwachen von Azure SQL-Datenbank und Azure Synapse Analytics

Gilt für:Azure SQL-DatenbankAzure Synapse Analytics

Die Überwachung für Azure SQL-Datenbank und Azure Synapse Analytics verfolgt Datenbankereignisse und schreibt sie in ein Überwachungsprotokoll in Ihrem Azure-Speicherkonto, log Analytics-Arbeitsbereich oder Event Hubs.

Die Überwachung ermöglicht außerdem Folgendes:

  • Sie kann Ihnen dabei helfen, die gesetzlichen Bestimmungen einzuhalten, die Datenbankaktivität zu verstehen und Einblicke in Abweichungen und Anomalien zu erhalten, die auf geschäftsspezifische Bedenken oder mutmaßliche Sicherheitsverstöße hinweisen können.

  • Sie ermöglicht und unterstützt die Einhaltung von Standards, garantiert diese aber nicht. Weitere Informationen finden Sie im Microsoft Azure Trust Center, wo die aktuellste Liste von Compliance-Zertifizierungen für SQL-Datenbank angezeigt wird.

Hinweis

Informationen zur Überwachung in Azure SQL Managed Instance finden Sie unter Erste Schritte mit der Überwachung in SQL Managed Instance.

Übersicht

Sie können die SQL-Datenbanküberwachung für folgende Zwecke verwenden:

  • Beibehalten eines Überwachungspfads von ausgewählten Ereignissen. Sie können Kategorien für zu protokollierende Datenbankaktionen und -ereignisse konfigurieren.
  • Melden von Datenbankaktivitäten. Sie können vorkonfigurierte Berichte und ein Dashboard verwenden, um schnell mit der Berichterstattung über Aktivitäten und Ereignisse zu beginnen.
  • Analysieren von Berichten. Sie können nach verdächtigen Ereignissen, ungewöhnlichen Aktivitäten und Trends suchen.

Wichtig

Die Überwachung bei Azure SQL-Datenbank, Azure Synapse Analytics-SQL-Pools und Azure SQL Managed Instance ist im Hinblick auf Verfügbarkeit und Leistung der überwachten Datenbank oder Instanz optimiert. Während Zeiträumen mit sehr hoher Aktivität oder hoher Netzwerklast lässt das Überwachungsfeature möglicherweise die Durchführung von Transaktionen zu, ohne alle zur Überwachung markierten Ereignisse aufzuzeichnen.

Verbesserungen an Leistung, Verfügbarkeit und Zuverlässigkeit in der Serverüberwachung für Azure SQL-Datenbank (GA vom Juli 2025)

  • Wichtige Teile der SQL-Überwachung wurden neu konzipiert, was zu einer erhöhten Verfügbarkeit und Zuverlässigkeit von Serverüberwachungen führt. Als zusätzlichen Vorteil gibt es eine engere Featureausrichtung mit SQL Server und azure SQL Managed Instance. Die Datenbanküberwachung bleibt unverändert.
  • Der vorherige Entwurf der Überwachung löst eine Überwachung auf Datenbankebene aus und führt eine Überwachungssitzung für jede Datenbank auf dem Server aus. Die neue Architektur der Überwachung erstellt eine erweiterte Ereignissitzung auf Serverebene, die Überwachungsereignisse für alle Datenbanken erfasst.
  • Der neue Überwachungsentwurf optimiert Arbeitsspeicher und CPU und ist konsistent mit der Funktionsweise der Überwachung in SQL Server und azure SQL Managed Instance.

Änderungen aus der erneuten Architektur der Serverüberwachung

  • Ordnerstrukturänderung für Speicherkonto:
    • Eine der primären Änderungen umfasst eine Ordnerstrukturänderung für Überwachungsprotokolle, die in Speicherkontocontainern gespeichert sind. Zuvor wurden Serverüberwachungsprotokolle in separate Ordner geschrieben; eine für jede Datenbank, wobei der Datenbankname als Ordnername dient. Mit dem neuen Update werden alle Serverüberwachungsprotokolle in einem einzigen Ordner konsolidiert, der mit einer Bezeichnung versehen masterist. Dieses Verhalten entspricht azure SQL Managed Instance und SQL Server.
  • Ordnerstrukturänderung für schreibgeschützte Replikate:
    • Schreibgeschützte Datenbankreplikate hatten zuvor ihre Protokolle in einem schreibgeschützten Ordner gespeichert. Diese Protokolle werden jetzt in den master Ordner geschrieben. Sie können diese Protokolle abrufen, indem Sie nach der neuen Spalte is_secondary_replica_truefiltern.
  • Zum Anzeigen von Überwachungsprotokollen erforderliche Berechtigungen:
    • Nur Serveradministratorprinzipale können Überwachungsprotokolle anzeigen, die master im Ordner gespeichert sind.

Einschränkungen der Überwachung

  • Das Aktivieren der Überwachung für einen angehaltenen Azure Synapse SQL-Pool wird nicht unterstützt. Um die Überwachung zu aktivieren, setzen Sie den Synapse SQL-Pool fort.
  • Das Aktivieren der Überwachung durch Verwendung einer benutzerseitig zugewiesenen verwalteten Identität (User Assigned Managed Identity, UAMI) wird in Azure Synapse nicht unterstützt.
  • Aktuell werden verwaltete Identitäten für Azure Synapse nicht unterstützt, es sei denn, das Storage-Konto befindet sich hinter einem virtuellen Netzwerk oder einer Firewall.
  • Aufgrund von Leistungsbeschränkungen überwachen wir die tempdb - und temporären Tabellen nicht. Während die Aktionsgruppe „Batch abgeschlossen“ Anweisungen für temporäre Tabellen erfasst, füllt sie die Objektnamen möglicherweise nicht ordnungsgemäß auf. Die Quelltabelle wird jedoch immer überwacht, um sicherzustellen, dass alle Einfügungen aus der Quelltabelle in temporäre Tabellen aufgezeichnet werden.
  • Die Überwachung für Azure Synapse-SQL-Pools unterstützt nur Standardüberwachungs-Aktionsgruppen.
  • Wenn Sie die Überwachung für einen logischen Server in Azure oder Azure SQL-Datenbank mit dem Protokollziel als Speicherkonto konfigurieren, muss der Authentifizierungsmodus mit der Konfiguration für dieses Speicherkonto übereinstimmen. Wenn Sie Speicherzugriffsschlüssel als Authentifizierungstyp verwenden, muss das Zielspeicherkonto über Zugriff auf die Speicherkontoschlüssel verfügen. Wenn das Speicherkonto so konfiguriert ist, dass nur die Authentifizierung mit Microsoft Entra ID (vormals Azure Active Directory) verwendet wird, kann die Überwachung so konfiguriert werden, dass verwaltete Identitäten für die Authentifizierung verwendet werden.

Hinweise

  • Storage Premium mit BlockBlobStorage wird unterstützt. Standardspeicher wird unterstützt. Damit eine Überwachung jedoch in ein Speicherkonto hinter einem VNet oder einer Firewall schreiben kann, ist ein Speicherkonto vom Typ Universell v2 erforderlich. Wenn Sie über ein Speicherkonto vom Typ „Universell V1“ ober über ein Blob Storage-Konto verfügen, führen Sie ein Upgrade auf ein Speicherkonto vom Typ „Universell V2“ durch. Spezielle Anweisungen finden Sie unter Schreiben von Überwachungsprotokollen in ein Speicherkonto hinter einem VNet oder einer Firewall. Weitere Informationen finden Sie unter Speicherkontentypen.

  • Hierarchischer Namespace für alle Typen von Standardspeicherkonto und Storage Premium-Konto mit BlockBlobStorage wird unterstützt.

  • Überwachungsprotokolle werden in Ihrem Azure-Abonnement als Anfügeblobs in Azure Blob Storage geschrieben.

  • Überwachungsprotokolle liegen im XEL-Format vor und können mit SQL Server Management Studio (SSMS) geöffnet werden.

  • Wenn Sie eine unveränderliche Protokollspeicherung für Überwachungsereignisse auf Server- oder Datenbankebene konfigurieren möchten, sollten Sie der von Azure Storage bereitgestellten Anleitung folgen. Wenn Sie unveränderlichen Blob-Storage für Auditing konfigurieren, stellen Sie sicher, dass Zulassen von geschützen Append-Writes entweder auf Blobs anhängen oder Blockieren und Blobs anhängen festgelegt ist. Die Option "Keine" wird nicht unterstützt. Bei zeitbasierten Aufbewahrungsrichtlinien muss das Aufbewahrungsintervall des Speicherkontos kürzer sein als die Aufbewahrungseinstellung für die SQL-Überwachung. Konfigurationen, bei denen die Storage-Richtlinie festgelegt ist, die Aufbewahrung für SQL Auditing jedoch 0 ist, werden nicht unterstützt.

  • Sie können Überwachungsprotokolle in ein Azure Storage-Konto hinter einem virtuellen Netzwerk oder einer Firewall schreiben.

  • Weitere Informationen über das Protokollformat, die Hierarchie des Storage-Ordners und die Namenskonventionen finden Sie im Artikel SQL Database audit log format.

  • Die Überwachung zum Verwenden von schreibgeschützten Replikaten zum Lesen schreibgeschützter Abfrageworkloads ist automatisch aktiviert. Weitere Informationen über die Hierarchie der Storage-Ordner, die Benennungskonventionen und das Protokollformat finden Sie im Artikel SQL Database audit log format.

  • Wenn Sie die Microsoft Entra-Authentifizierung verwenden, werden Datensätze zu Anmeldefehlern im SQL-Überwachungsprotokoll nicht angezeigt. Um die Protokolle der fehlgeschlagenen Anmeldungen einzusehen, müssen Sie das Microsoft Entra Admin Center besuchen, das Details zu diesen Ereignissen protokolliert.

  • Anmeldungen werden vom Gateway an die bestimmte Instanz weitergeleitet, in der sich die Datenbank befindet. Bei Microsoft Entra-Anmeldungen werden die Anmeldeinformationen vor dem Versuch, die jeweilige Person für die Anmeldung bei der angeforderten Datenbank zu verwenden, überprüft. Bei einem Fehler wird nie auf die angeforderte Datenbank zugegriffen, sodass keine Überwachung erfolgt. Bei SQL-Anmeldungen werden die Anmeldeinformationen für die angeforderten Daten überprüft, sodass sie in diesem Fall überwacht werden können. Erfolgreiche Anmeldungen, die die Datenbank offensichtlich erreichen, werden in beiden Fällen überwacht.

  • Nachdem Sie Ihre Überwachungseinstellungen konfiguriert haben, können Sie das neue Feature der Bedrohungserkennung aktivieren und die E-Mail-Konten konfigurieren, an die Sicherheitswarnungen gesendet werden sollen. Mit der Bedrohungserkennung können Sie proaktive Warnungen bei anomalen Datenbankaktivitäten erhalten, die auf mögliche Sicherheitsbedrohungen hinweisen können. Weitere Informationen finden Sie unter SQL Advanced Threat Protection.

  • Nachdem eine Datenbank mit aktivierter Überwachung auf einen anderen logischen Server kopiert wurde, erhalten Sie möglicherweise eine E-Mail mit der Information, dass ein Fehler bei der Überwachung aufgetreten ist. Dabei handelt es sich um ein bekanntes Problem. Die Überwachung sollte bei der neu kopierten Datenbank wie erwartet funktionieren.

Zugehöriger Inhalt