Freigeben über


Erste Schritte bei der Azure SQL Managed Instance-Überwachung

Gilt für: Azure SQL Managed Instance

Bei der Azure SQL Managed Instance-Überwachung werden Datenbankereignisse nachverfolgt und in ein Überwachungsprotokoll in Ihrem Azure-Speicherkonto geschrieben. Die Überwachung ermöglicht außerdem Folgendes:

  • Sie kann Ihnen dabei helfen, die gesetzlichen Bestimmungen einzuhalten, die Datenbankaktivität zu verstehen und Einblicke in Abweichungen und Anomalien zu erhalten, die auf geschäftsspezifische Bedenken oder mutmaßliche Sicherheitsverstöße hinweisen können.
  • Sie ermöglicht und unterstützt die Einhaltung von Standards, garantiert diese aber nicht. Weitere Informationen finden Sie im Microsoft Azure Trust Center, wo die aktuelle Liste von Konformitätszertifizierungen für SQL Managed Instance angezeigt wird.

Wichtig

Die Überwachung für Azure SQL-Datenbank, Azure Synapse und Azure SQL Managed Instance ist für Verfügbarkeit und Leistung optimiert. Bei sehr hoher Aktivität oder hoher Netzwerkauslastung erlauben Azure SQL-Datenbank, Azure Synapse und Azure SQL Managed Instance das Fortsetzen von Vorgängen, sodass einige überwachte Ereignisse möglicherweise nicht aufgezeichnet werden.

Einrichten der Überwachung für Ihren Server in Azure Storage

Der folgende Abschnitt beschreibt die Konfiguration der Überwachung für Ihre verwaltete Instanz.

  1. Öffnen Sie das Azure-Portal.

  2. Erstellen Sie einen Azure Storage-Container, in dem die Überwachungsprotokolle gespeichert werden.

    1. Navigieren Sie zu dem Azure Storage-Konto, in dem Sie Ihre Überwachungsprotokolle speichern möchten.

      • Verwenden Sie ein Speicherkonto in derselben Region, in der sich auch die verwaltete Instanz befindet, um regionsübergreifende Lese-/Schreibvorgänge zu vermeiden.
      • Wenn sich das Speicherkonto hinter einem virtuellen Netzwerk oder einer Firewall befindet, finden Sie weitere Informationen unter Gewähren von Zugriff aus einem virtuellen Netzwerk.
      • Wenn Sie die Beibehaltungsdauer von „0“ (unbegrenzte Aufbewahrung) in einen anderen Wert ändern, wird die Beibehaltung nur auf Protokolle angewendet, die nach dem Ändern des Beibehaltungswerts geschrieben wurden (Protokolle, die in dem Zeitraum geschrieben wurden, in dem die Beibehaltung auf unbegrenzt festgelegt war, bleiben auch nach Aktivierung der Beibehaltung erhalten).
    2. Wechseln Sie im Speicherkonto zu Übersicht, und wählen Sie Blobs aus.

      Screenshot des Azure Blobs-Widgets.

    3. Wählen Sie im Menü oben + Container aus, um einen neuen Container zu erstellen.

      Screenshot des Symbols zur Darstellung der Blobcontainer-Erstellung.

    4. Geben Sie einen Namen für den Container an, legen Sie den Wert für Öffentliche Zugriffsebene auf Privat fest, und wählen Sie dann OK aus.

      Screenshot der Konfiguration der Blobcontainer-Erstellung.

    Wichtig

    Kunden, die eine unveränderliche Protokollspeicherung für Überwachungsereignisse auf Server- oder Datenbankebene konfigurieren möchten, sollten den Anweisungen in Azure Storage folgen. (Stellen Sie sicher, dass Sie beim Konfigurieren des unveränderlichen Blobspeichers Weitere Anfügungen zulassen ausgewählt haben.)

  3. Nach dem Erstellen des Containers für die Überwachungsprotokolle gibt es zwei Möglichkeiten, ihn als Ziel für die Überwachungsprotokolle zu konfigurieren: mit T-SQL oder mithilfe der Benutzeroberfläche von SQL Server Management Studio (SSMS):

    • Konfigurieren von Blobspeicher für Überwachungsprotokolle mit T-SQL:

      1. Wählen Sie in der Liste der Container den neu erstellten Container und dann Containereigenschaften aus.

        Screenshot der Schaltfläche für die Blobcontainer-Eigenschaften.

      2. Kopieren Sie die Container-URL, indem Sie das Symbol „Kopieren“ auswählen, und speichern Sie die URL für die zukünftige Verwendung (z. B. in Editor). Das Format der Container-URL sollte dem folgenden entsprechen: https://<StorageName>.blob.core.windows.net/<ContainerName>

        Screenshot der URL zum Kopieren der Blobcontainer.

      3. Generieren Sie ein Azure Storage-SAS-Token, das verwendet wird, um der Überwachung der verwalteten Instanz Zugriffsrechte für das Speicherkonto zu erteilen:

        • Navigieren Sie zu dem Azure Storage-Konto, in dem Sie im vorherigen Schritt den Container erstellt haben.

        • Wählen Sie im Menü Speichereinstellungen die Option Shared Access Signature aus.

          Symbol „Shared Access Signature“ im Menü „Speichereinstellungen“.

        • Konfigurieren Sie die SAS wie folgt:

          • Zulässige Dienste: Blob

          • Startdatum: Verwenden Sie zur Vermeidung von Zeitzonenproblemen das gestrige Datum.

          • Enddatum: Wählen Sie das Datum aus, an dem dieses SAS-Token abläuft.

            Hinweis

            Erneuern Sie das Token nach Ablauf, um Überwachungsfehler zu vermeiden.

          • Wählen Sie SAS generieren aus.

            Screenshot der SAS-Konfiguration.

        • Das SAS-Token wird unten angezeigt. Kopieren Sie das Token, indem Sie das Symbol „Kopieren“ auswählen, und speichern Sie es für die zukünftige Verwendung (z. B. in Editor).

          Screenshot des SAS-Token-Kopiervorgangs.

          Wichtig

          Entfernen Sie das Fragezeichen (?) am Anfang des Tokens.

      4. Stellen Sie über SQL Server Management Studio (SSMS) oder ein anderes unterstütztes Tool eine Verbindung mit Ihrer verwalteten Instanz her.

      5. Führen Sie die folgende T-SQL-Anweisung aus, um neue Anmeldeinformationen zu erstellen. Verwenden Sie dabei die Container-URL und das SAS-Token, das bzw. die Sie in den vorherigen Schritten erstellt haben:

        CREATE CREDENTIAL [<container_url>]
        WITH IDENTITY='SHARED ACCESS SIGNATURE',
        SECRET = '<SAS KEY>'
        GO
        
      6. Führen Sie die folgende T-SQL-Anweisung aus, um eine neue Serverüberwachung zu erstellen (wählen Sie einen eigenen Namen für die Überwachung aus, und verwenden Sie die Container-URL, die Sie in den vorherigen Schritten erstellt haben). Sofern nicht angegeben, wird für RETENTION_DAYS der Standardwert „0“ verwendet (unbegrenzte Aufbewahrungsdauer):

        CREATE SERVER AUDIT [<your_audit_name>]
        TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
        GO
        
      7. Erstellen Sie als Nächstes eine Spezifikation für die Serverüberwachung oder die Datenbanküberwachung.

    • Konfigurieren von Blobspeicher für Überwachungsprotokolle mit SQL Server Management Studio 18 und höheren Versionen:

      1. Stellen Sie mithilfe der Benutzeroberfläche von SQL Server Management Studio (SSMS) eine Verbindung mit der verwalteten Instanz her.

      2. Erweitern Sie den Stammknoten im Objekt-Explorer.

      3. Erweitern Sie den Knoten Sicherheit, klicken Sie mit der rechten Maustaste auf den Knoten Überwachungen, und wählen Sie Neue Überwachung aus:

        Screenshot der Erweiterung von Sicherheits- und Überwachungsknoten.

      4. Vergewissern Sie sich, dass URL in Überwachungsziel ausgewählt ist, und wählen Sie Durchsuchen aus:

        Screenshot der Durchsuchung von Azure Storage.

      5. (Optional:) Melden Sie sich bei Ihrem Azure-Konto an:

        Screenshot der Anmeldung bei Azure.

      6. Wählen Sie in den Dropdownlisten ein Abonnement, ein Speicherkonto und einen Blobcontainer aus, oder erstellen Sie einen eigenen Container, indem Sie Erstellen auswählen. Wenn Sie fertig sind, wählen Sie OK aus:

        Auswählen von Azure-Abonnement, Speicherkonto und Blobcontainer.

      7. Wählen Sie im Dialogfeld Überwachung erstellen die Option OK aus.

        Hinweis

        Wenn Sie die SQL Server Management Studio-Benutzeroberfläche zum Erstellen der Überwachung verwenden, werden automatisch Anmeldeinformationen für den Container mit SAS-Schlüssel erstellt.

      8. Erstellen und aktivieren Sie nach dem Konfigurieren des Blobcontainers als Ziel für die Überwachungsprotokolle eine Spezifikation für die Serverüberwachung oder die Datenbanküberwachung. Die Vorgehensweise entspricht der für SQL Server:

    • Erstellen einer Spezifikation für die Serverüberwachung – T-SQL-Anleitung

    • Erstellen einer Spezifikation für die Datenbanküberwachung – T-SQL-Anleitung

  4. Aktivieren Sie die Serverüberwachung, die Sie in Schritt 3 erstellt haben:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Weitere Informationen:

Überwachung von Microsoft-Supportvorgängen

Mit der Überwachung von Microsoft-Supportvorgängen für SQL Managed Instance können Sie die Vorgänge von Microsoft-Supporttechnikern überwachen, wenn diese während einer Supportanfrage auf Ihren Server zugreifen müssen. In Kombination mit der Überwachung sorgt diese Funktion für eine höhere Personaltransparenz und ermöglicht Anomalieerkennung, Trendvisualisierung und die Verhinderung von Datenverlusten.

Um die Überwachung von Microsoft-Supportvorgängen zu aktivieren, navigieren Sie in Ihrer SQL Managed Instance unter Sicherheit>Überwachung zu Überwachung erstellen, und wählen Sie Microsoft-Supportvorgänge aus.

Screenshot des Symbols „Überwachung erstellen“.

Hinweis

Sie müssen eine separate Serverüberwachung für die Überwachung von Microsoft-Vorgängen erstellen. Wenn Sie dieses Kontrollkästchen für eine vorhandene Überwachung aktivieren, wird die Überwachung überschrieben und und es werden nur Supportvorgänge protokolliert.

Einrichten der Überwachung für Ihren Server in Event Hubs oder Azure Monitor-Protokollen

Überwachungsprotokolle einer verwalteten Instanz können an Event Hubs oder Azure Monitor-Protokolle gesendet werden. In diesem Abschnitt wird die zugehörige Konfiguration beschrieben:

  1. Navigieren Sie im Azure-Portal zur verwalteten Instanz.

  2. Wählen Sie Diagnoseeinstellungen aus.

  3. Wählen Sie Diagnose aktivieren. Wenn die Diagnose bereits aktiviert wurde, wird stattdessen + Diagnoseeinstellung hinzufügen angezeigt.

  4. Wählen Sie in der Liste der Protokolle SQLSecurityAuditEvents aus.

  5. Wenn Sie Microsoft-Supportvorgänge konfigurieren, wählen Sie in der Liste der Protokolle Überwachungsprotokolle für devOps-Vorgänge aus.

  6. Wählen Sie ein Ziel für die Überwachungsereignisse aus: Event Hubs, Azure Monitor-Protokolle oder beide. Konfigurieren Sie für jedes Ziel die erforderlichen Parameter (z. B. den Log Analytics-Arbeitsbereich).

  7. Wählen Sie Speichern aus.

    Screenshot der Konfiguration von Diagnoseeinstellungen.

  8. Stellen Sie mit SQL Server Management Studio (SSMS) oder einem anderen unterstützten Client eine Verbindung mit der verwalteten Instanz her.

  9. Führen Sie die folgende T-SQL-Anweisung aus, um eine Serverüberwachung zu erstellen:

    CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
    GO
    
  10. Erstellen und aktivieren Sie eine Spezifikation für die Serverüberwachung oder die Datenbanküberwachung wie für SQL Server:

  11. Aktivieren Sie die Serverüberwachung, die Sie in Schritt 8 erstellt haben:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Einrichten der Überwachung mithilfe von T-SQL

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Verwenden von Überwachungsprotokollen

Verwenden von Protokollen, die in Azure Storage gespeichert sind

Es gibt verschiedene Methoden zum Anzeigen von Blobüberwachungsprotokollen.

  • Verwenden Sie die Systemfunktion sys.fn_get_audit_file (T-SQL), um die Daten der Überwachungsprotokolle im Tabellenformat zurückzugeben. Weitere Informationen zur Verwendung dieser Funktion finden Sie in der Dokumentation zu „sys.fn_get_audit_file“.

  • Sie können Überwachungsprotokolle mithilfe eines Tools wie Azure Storage-Explorer untersuchen. In Azure Storage werden Überwachungsprotokolle als Sammlung von Blobdateien in einem Container gespeichert, der als Speicher für die Überwachungsprotokolle definiert wurde. Weitere Informationen zur Hierarchie des Speicherordners, zu Namenskonventionen und zum Protokollformat finden Sie in der Formatreferenz für Blobüberwachungsprotokolle.

  • Eine vollständige Liste der Nutzungsmethoden für Überwachungsprotokolle finden Sie unter Erste Schritte bei der Azure SQL-Datenbank-Überwachung.

Nutzen von Protokollen, die in Event Hubs gespeichert sind

Um die Überwachungsprotokolldaten aus Event Hubs zu nutzen, müssen Sie einen Stream zum Nutzen von Ereignissen einrichten und diese in ein Ziel schreiben. Weitere Informationen finden Sie in der Dokumentation zu Azure Event Hubs.

Nutzen und Analysieren von Protokollen, die in Azure Monitor-Protokolle gespeichert sind

Wenn die Überwachungsprotokolle in Azure Monitor-Protokolle geschrieben werden, stehen sie im Log Analytics-Arbeitsbereich bereit. Sie können dort erweiterte Suchvorgänge über die Überwachungsdaten ausführen. Navigieren Sie zunächst zum Log Analytics-Arbeitsbereich. Wählen Sie im Abschnitt Allgemein die Option Protokolle aus, und geben Sie eine Basisabfrage wie z. B. search "SQLSecurityAuditEvents" ein, um die Überwachungsprotokolle anzuzeigen.

Mithilfe integrierter Suchfunktionen und benutzerdefinierter Dashboards bieten Azure Monitor-Protokolle Ihnen in Echtzeit Erkenntnisse zu Betriebsabläufen, sodass Sie Millionen von Datensätzen für alle Ihre Workloads und Server analysieren können. Weitere Informationen zur Suchsprache und zu den Befehlen der Azure Monitor-Protokolle finden Sie unter Referenz zur Suche in Azure Monitor-Protokollen.

Hinweis

Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.

Überwachungsunterschiede zwischen Datenbanken in Azure SQL Managed Instance und Datenbanken in SQL Server

Die wichtigsten Unterschiede zwischen der Überwachung in Datenbanken in Azure SQL Managed Instance und Datenbanken in SQL Server sind folgende:

  • Bei Azure SQL Managed Instance wird die Überwachung auf Serverebene ausgeführt, und Protokolldateien mit der Endung .xel werden in Azure Blob Storage gespeichert.
  • In SQL Server erfolgt die Überwachung auf Serverebene, aber Ereignisse werden in Dateisystemprotokollen bzw. Windows-Ereignisprotokollen gespeichert.

Die XEvent-Überwachung in verwalteten Instanzen unterstützt Azure Blob Storage-Ziele. Dateiprotokolle und Windows-Protokolle werden nicht unterstützt.

Wichtigste Unterschiede in der Syntax von CREATE AUDIT zur Überwachung in Azure Blob Storage:

  • Mit der neuen Syntax TO URL können Sie die URL des Azure Blob Storage-Containers angeben, in dem Dateien mit der Endung .xel platziert werden.
  • Die neue Syntax TO EXTERNAL MONITOR wird bereitgestellt, um Ziele in Event Hubs und Azure Monitor-Protokolle verwenden zu können.
  • Die Syntax TO FILE wird nicht unterstützt, da Azure SQL Managed Instance nicht auf Windows-Dateifreigaben zugreifen kann.
  • Die Option zum Herunterfahren wird nicht unterstützt.
  • Der Wert „0“ für queue_delay wird nicht unterstützt.

Nächste Schritte