Freigeben über

Optimieren Ihrer SQL-Umgebung mit der SQL Server-Integritätsprüfungslösung in Azure Monitor

SQL-Integritätsprüfungssymbol

Sie können die SQL-Integritätsprüfungslösung verwenden, um das Risiko und die Integrität Ihrer Serverumgebungen in einem regelmäßigen Intervall zu bewerten. Dieser Artikel hilft Ihnen bei der Installation der Lösung, damit Sie Korrekturmaßnahmen für potenzielle Probleme ergreifen können.

Diese Lösung bietet eine priorisierte Liste der Empfehlungen, die für Ihre bereitgestellte Serverinfrastruktur spezifisch sind. Die Empfehlungen werden in sechs Schwerpunktbereiche unterteilt, die Ihnen helfen, das Risiko schnell zu verstehen und Korrekturmaßnahmen zu ergreifen.

Die Empfehlungen basieren auf dem Wissen und der Erfahrung von Microsoft-Ingenieuren aus Tausenden von Kundenbesuchen. Jede Empfehlung enthält Anleitungen dazu, warum ein Problem für Sie von Bedeutung ist und wie die vorgeschlagenen Änderungen implementiert werden.

Sie können Fokusbereiche auswählen, die für Ihre Organisation am wichtigsten sind, und Ihren Fortschritt bei der Ausführung einer risikofreien und gesunden Umgebung verfolgen.

Nachdem Sie die Lösung hinzugefügt und eine Bewertung abgeschlossen haben, werden zusammenfassungsinformationen für Fokusbereiche im SQL-Integritätsprüfungs-Dashboard für die Infrastruktur in Ihrer Umgebung angezeigt. In den folgenden Abschnitten wird beschrieben, wie Sie die Informationen im SQL-Integritätsprüfungsdashboard verwenden, in dem Sie empfohlene Aktionen für Ihre SQL Server-Infrastruktur anzeigen und ausführen können.

Abbildung der Kachel

Abbildung des SQL Health Check-Dashboards

Voraussetzungen

  • Für die SQL-Integritätsprüfungslösung ist eine unterstützte Version von .NET Framework 4.6.2 erforderlich, die auf jedem Computer installiert ist, auf dem der Microsoft Monitoring Agent (MMA) installiert ist. Der MMA-Agent wird von System Center 2016 – Operations Manager und Operations Manager 2012 R2 und Azure Monitor verwendet.

  • Die Lösung unterstützt SQL Server Version 2012, 2014, 2016, 2017 und 2019.

  • Ein Log Analytics-Arbeitsbereich, um die SQL Health Check-Lösung aus dem Azure Marketplace im Azure-Portal hinzuzufügen. Um die Lösung zu installieren, müssen Sie administrator oder Mitwirkender im Azure-Abonnement sein.

    Hinweis

    Nachdem Sie die Lösung hinzugefügt haben, wird die AdvisorAssessment.exe-Datei den Servern mit Agenten hinzugefügt. Konfigurationsdaten werden gelesen und dann zur Verarbeitung an Azure Monitor in der Cloud gesendet. Logik wird auf die empfangenen Daten angewendet, und der Clouddienst zeichnet die Daten auf.

Um die Integritätsprüfung auf Ihren SQL Server-Servern durchzuführen, benötigen sie einen Agent und eine Verbindung mit Azure Monitor mit einer der folgenden unterstützten Methoden:

  1. Installieren Sie den Microsoft Monitoring Agent (MMA), wenn der Server noch nicht von System Center 2016 – Operations Manager oder Operations Manager 2012 R2 überwacht wird.
  2. Wenn sie mit System Center 2016 – Operations Manager oder Operations Manager 2012 R2 überwacht wird und die Verwaltungsgruppe nicht in Azure Monitor integriert ist, kann der Server mit Log Analytics multi homed sein, um Daten zu sammeln und an den Dienst weiterzuleiten und weiterhin von Operations Manager überwacht zu werden.
  3. Andernfalls müssen Sie, wenn Ihre Operations Manager-Verwaltungsgruppe in den Dienst integriert ist, die Domänencontroller für die Datensammlung durch den Dienst hinzufügen, indem Sie die Schritte unter Hinzufügen von agentverwalteten Computern ausführen, nachdem Sie die Lösung in Ihrem Arbeitsbereich aktiviert haben.

Der Agent auf Ihrem SQL Server, der an eine Operations Manager-Verwaltungsgruppe meldet, sammelt Daten, leitet sie an seinen zugewiesenen Verwaltungsserver weiter, von wo aus sie dann direkt an Azure Monitor gesendet werden. Die Daten werden nicht in die Operations Manager-Datenbanken geschrieben.

Wenn der SQL Server von Operations Manager überwacht wird, müssen Sie ein Operations Manager Run As-Konto konfigurieren. Weitere Informationen finden Sie unter Operations Manager run-as-Konten für Azure Monitor weiter unten.

DETAILS zur SQL-Integritätsprüfung der Datensammlung

Die SQL-Integritätsprüfung sammelt Daten aus den folgenden Quellen mithilfe des Agenten, den Sie aktiviert haben:

  • Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)
  • Registratur
  • Leistungsindikatoren
  • Ergebnisse der dynamischen SQL Server-Verwaltungsansicht

Daten werden auf dem SQL Server gesammelt und alle sieben Tage an Log Analytics weitergeleitet.

Konto für die Ausführung als Operations Manager bei Log Analytics

Log Analytics verwendet den Operations Manager-Agent und die Verwaltungsgruppe, um Daten an den Log Analytics-Dienst zu sammeln und zu senden. Log Analytics baut auf Management Packs für Workloads auf, um Mehrwertdienste bereitzustellen. Jede Workload erfordert workloadspezifische Berechtigungen, um Management Packs in einem anderen Sicherheitskontext auszuführen, z. B. ein Domänenbenutzerkonto. Sie müssen Anmeldeinformationen angeben, indem Sie ein Operations Manager Run As-Konto konfigurieren.

Verwenden Sie die folgenden Informationen, um das Operations Manager Run As-Konto für die SQL-Gesundheitsprüfung festzulegen.

Festlegen des Kontos für 'Als ausführen' für den SQL-Health-Check

Wenn Sie bereits das SQL Server-Management Pack verwenden, sollten Sie diese Run As-Konfiguration verwenden.

So konfigurieren Sie das SQL Run As-Konto in der Operations-Konsole

Hinweis

Standardmäßig werden Workflows im Management Pack im Sicherheitskontext des lokalen Systemkontos ausgeführt. Wenn Sie den Microsoft Monitoring Agent verwenden, der direkt mit dem Dienst verbunden ist, anstatt direkt an eine Operations Manager-Verwaltungsgruppe zu melden, überspringen Sie die schritte 1 bis 5 unten, und führen Sie entweder das T-SQL- oder PowerShell-Beispiel aus, und geben Sie NT AUTHORITY\SYSTEM als Benutzernamen an.

  1. Öffnen Sie in Operations Manager die Operations-Konsole, und klicken Sie dann auf "Verwaltung".

  2. Unter „Ausführen als Konfiguration“ klicken Sie auf „Profile“ und öffnen „SQL Assessment Run As Profile“.

  3. Klicken Sie auf der Seite Run As Accounts auf Hinzufügen.

  4. Wählen Sie ein Windows Run As-Konto aus, das die für SQL Server erforderlichen Anmeldeinformationen enthält, oder klicken Sie auf "Neu ", um ein Konto zu erstellen.

    Hinweis

    Der Kontotyp "Ausführen als" muss Windows sein. Das Konto "Ausführen unter" muss auch Teil der Gruppe "Lokale Administratoren" auf allen Windows-Servern sein, die SQL Server-Instanzen hosten.

  5. Klicken Sie auf "Speichern".

  6. Ändern Sie das folgende T-SQL-Beispiel für jede SQL Server-Instanz, und führen Sie es dann aus, um die erforderlichen Mindestberechtigungen für das Run As-Konto zu erteilen, damit es die Integritätsprüfung durchführen kann. Dies ist jedoch nicht erforderlich, wenn ein "Run As-Konto" bereits Teil der Sysadmin-Serverrolle auf SQL Server-Instanzen ist.

    ---
    -- Replace <UserName> with the actual user name being used as Run As Account.
    USE master

    -- Create login for the user, comment this line if login is already created.
    CREATE LOGIN [<UserName>] FROM WINDOWS

    -- Grant permissions to user.
    GRANT VIEW SERVER STATE TO [<UserName>]
    GRANT VIEW ANY DEFINITION TO [<UserName>]
    GRANT VIEW ANY DATABASE TO [<UserName>]

    -- Add database user for all the databases on SQL Server Instance, this is required for connecting to individual databases.
    -- NOTE: This command must be run anytime new databases are added to SQL Server instances.
    EXEC sp_msforeachdb N'USE [?]; CREATE USER [<UserName>] FOR LOGIN [<UserName>];'

So konfigurieren Sie das SQL Run As-Konto mit Windows PowerShell

Öffnen Sie ein PowerShell-Fenster, und führen Sie das folgende Skript aus, nachdem Sie es mit Ihren Informationen aktualisiert haben:

    import-module OperationsManager
    New-SCOMManagementGroupConnection "<your management group name>"

    $profile = Get-SCOMRunAsProfile -DisplayName "SQL Assessment Run As Profile"
    $account = Get-SCOMrunAsAccount | Where-Object {$_.Name -eq "<your run as account name>"}
    Set-SCOMRunAsProfile -Action "Add" -Profile $Profile -Account $Account

Grundlegendes zur Priorisierung von Empfehlungen

Jede Empfehlung erhält einen Gewichtungswert, der die relative Bedeutung der Empfehlung angibt. Es werden nur die zehn wichtigsten Empfehlungen angezeigt.

Berechnung der Gewichtungen

Gewichtungen sind aggregierte Werte basierend auf drei Schlüsselfaktoren:

  • Die Wahrscheinlichkeit, dass ein erkanntes Problem Schwierigkeiten verursacht. Eine höhere Wahrscheinlichkeit entspricht einem größeren Gesamtergebnis für die Empfehlung.
  • Die Auswirkungen des Problems auf Ihre Organisation, wenn dies zu einem Problem führt. Eine höhere Auswirkung entspricht einem größeren Gesamtergebnis für die Empfehlung.
  • Der Aufwand , der zum Implementieren der Empfehlung erforderlich ist. Ein höherer Aufwand entspricht einem kleineren Gesamtergebnis für die Empfehlung.

Die Gewichtung für jede Empfehlung wird als Prozentsatz der für jeden Fokusbereich verfügbaren Gesamtbewertung ausgedrückt. Wenn beispielsweise eine Empfehlung im Fokusbereich "Sicherheit und Compliance" eine Bewertung von 5%hat, erhöht die Implementierung dieser Empfehlung Ihre allgemeine Sicherheits- und Compliancebewertung um 5%.

Fokusbereiche

Sicherheit und Compliance – Dieser Fokusbereich zeigt Empfehlungen für potenzielle Sicherheitsbedrohungen und Sicherheitsverletzungen, Unternehmensrichtlinien und technische, rechtliche und behördliche Compliance-Anforderungen.

Verfügbarkeit und Geschäftskontinuität – Dieser Fokusbereich zeigt Empfehlungen für die Dienstverfügbarkeit, Resilienz Ihrer Infrastruktur und den Unternehmensschutz.

Leistung und Skalierbarkeit – Dieser Fokusbereich zeigt Empfehlungen an, um die IT-Infrastruktur Ihrer Organisation zu vergrößern, sicherzustellen, dass Ihre IT-Umgebung die aktuellen Leistungsanforderungen erfüllt und auf sich ändernde Infrastrukturanforderungen reagieren kann.

Upgrade, Migration und Bereitstellung – Dieser Schwerpunktbereich enthält Empfehlungen, die Ihnen beim Upgrade, Migrieren und Bereitstellen von SQL Server in Ihrer vorhandenen Infrastruktur helfen.

Betriebs- und Überwachung – Dieser Fokusbereich zeigt Empfehlungen an, um Ihre IT-Vorgänge zu optimieren, präventive Wartungen zu implementieren und die Leistung zu maximieren.

Änderungs- und Konfigurationsverwaltung – Dieser Fokusbereich zeigt Empfehlungen zum Schutz von täglichen Vorgängen, sicherstellen, dass Änderungen sich nicht negativ auf Ihre Infrastruktur auswirken, Änderungskontrollverfahren einrichten und Systemkonfigurationen nachverfolgen und überwachen können.

Sollten Sie in jedem Fokusbereich 100% erreichen?

Nicht unbedingt. Die Empfehlungen basieren auf dem Wissen und den Erfahrungen von Microsoft-Ingenieuren über Tausende von Kundenbesuchen hinweg. Es gibt jedoch keine zwei Serverinfrastrukturen, und spezifische Empfehlungen sind für Sie möglicherweise mehr oder weniger relevant. Einige Sicherheitsempfehlungen sind z. B. möglicherweise weniger relevant, wenn Ihre virtuellen Computer nicht für das Internet verfügbar gemacht werden. Einige Verfügbarkeitsempfehlungen sind möglicherweise weniger relevant für Dienste, die ad-hoc-Datensammlung und -berichterstellung mit niedriger Priorität bieten. Probleme, die für ein reifes Unternehmen wichtig sind, können für ein Start-up weniger wichtig sein. Möglicherweise möchten Sie ermitteln, welche Fokusbereiche Ihre Prioritäten sind, und dann prüfen, wie sich Ihre Bewertungen im Laufe der Zeit ändern.

Jede Empfehlung enthält Anleitungen dazu, warum es wichtig ist. Sie sollten diese Anleitung verwenden, um zu bewerten, ob die Implementierung der Empfehlung für Sie geeignet ist, angesichts der Art Ihrer IT-Dienste und der geschäftlichen Anforderungen Ihrer Organisation.

Empfehlungen für den Fokusbereich "Gesundheitscheck" verwenden

Bevor Sie eine Bewertungslösung in Azure Monitor verwenden können, müssen Sie die Lösung installiert haben. Nachdem sie installiert wurde, können Sie die Zusammenfassung der Empfehlungen anzeigen, indem Sie die Kachel "SQL-Integritätsprüfung" auf der Seite "Übersicht" für Azure Monitor im Azure-Portal verwenden.

Zeigen Sie die zusammengefassten Compliancebewertungen für Ihre Infrastruktur an und gehen Sie dann zu den Empfehlungen über.

Empfehlungen für einen Fokusbereich anzeigen und Korrekturmaßnahmen ergreifen

  1. Melden Sie sich unter https://portal.azure.com beim Azure-Portal an.
  2. Klicken Sie im Azure-Portal auf "Weitere Dienste " in der unteren linken Ecke. Geben Sie in der Liste der Ressourcen "Monitor" ein. Sobald Sie mit der Eingabe beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie "Überwachen" aus.
  3. Wählen Sie im Abschnitt "Insights" des Menüs "Weitere" aus.
  4. Klicken Sie auf der Seite Übersicht auf die Kachel SQL-Integritätsprüfung.
  5. Überprüfen Sie auf der Seite " Integritätsprüfung " die Zusammenfassungsinformationen in einem der Fokusbereiche, und klicken Sie dann auf eine, um Empfehlungen für diesen Fokusbereich anzuzeigen.
  6. Auf einer der Fokusbereichsseiten können Sie die priorisierten Empfehlungen für Ihre Umgebung anzeigen. Klicken Sie unter "Betroffene Objekte " auf eine Empfehlung, um Details darüber anzuzeigen, warum die Empfehlung getroffen wird.

    Bild der Empfehlungen zur SQL-Gesundheitsprüfung
  7. Sie können Korrekturmaßnahmen ergreifen, die in vorgeschlagenen Aktionen vorgeschlagen werden. Sobald der Punkt behandelt wurde, zeichnen spätere Bewertungen auf, dass empfohlene Maßnahmen ergriffen wurden; und Ihre Compliance-Bewertung steigt. Korrigierte Elemente werden als übergebene Objekte angezeigt.

Empfehlungen ignorieren

Wenn Sie Empfehlungen haben, die Sie ignorieren möchten, können Sie eine Textdatei erstellen, die Azure Monitor verwendet, um zu verhindern, dass Empfehlungen in Ihren Bewertungsergebnissen angezeigt werden.

So identifizieren Sie Empfehlungen, die Sie ignorieren werden

  1. Klicken Sie im Menü "Azure Monitor" auf "Protokolle".

  2. Verwenden Sie die folgende Abfrage, um Empfehlungen aufzulisten, die für Computer in Ihrer Umgebung fehlgeschlagen sind.

    SQLAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

    Hier ist ein Screenshot mit der Protokollabfrage:

    Fehlgeschlagene Empfehlungen

  3. Wählen Sie Empfehlungen aus, die Sie ignorieren möchten. Im nächsten Verfahren verwenden Sie die Werte für "RecommendationId".

So erstellen und verwenden Sie eine IgnoreRecommendations.txt Textdatei

  1. Erstellen Sie eine Datei mit dem Namen IgnoreRecommendations.txt.
  2. Fügen Sie jede Empfehlungs-ID für jede Empfehlung ein, die Azure Monitor in einer separaten Zeile ignorieren soll, und speichern und schließen Sie die Datei.
  3. Platzieren Sie die Datei in den folgenden Ordner auf jedem Computer, auf dem Azure Monitor Empfehlungen ignorieren soll.
    • Auf Computern mit dem Microsoft Monitoring Agent (direkt oder über Operations Manager verbunden) – SystemDrive:\Programme\Microsoft Monitoring Agent\Agent
    • Auf dem Operations Manager-Verwaltungsserver – SystemDrive:\Programme\Microsoft System Center 2012 R2\Operations Manager\Server
    • Auf dem Operations Manager 2016-Verwaltungsserver – SystemDrive:\Programme\Microsoft System Center 2016\Operations Manager\Server

So überprüfen Sie, ob Empfehlungen ignoriert werden

  1. Nachdem die nächste geplante Bewertung ausgeführt wurde, werden die angegebenen Empfehlungen standardmäßig alle 7 Tage ignoriert und nicht im Bewertungsdashboard angezeigt.

  2. Mit den folgenden Protokollsuchabfragen können Sie alle ignorierten Empfehlungen auflisten.

    SQLAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  3. Wenn Sie später entscheiden, dass ignorierte Empfehlungen angezeigt werden sollen, entfernen Sie alle IgnoreRecommendations.txt Dateien, oder Sie können Empfehlungs-IDs daraus entfernen.

Häufig gestellte Fragen

Welche Überprüfungen werden von der SQL-Bewertungslösung durchgeführt?

  • Die folgende Abfrage zeigt eine Beschreibung aller derzeit ausgeführten Prüfungen:
SQLAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Die Ergebnisse können dann zur weiteren Überprüfung nach Excel exportiert werden.

Wie oft wird eine Gesundheitsprüfung ausgeführt?

  • Die Prüfung wird alle sieben Tage ausgeführt.

Gibt es eine Möglichkeit, zu konfigurieren, wie oft die Überprüfung ausgeführt wird?

  • Zurzeit nicht.

Wenn ein anderer Server entdeckt wird, nachdem ich die SQL-Integritätsprüfungslösung hinzugefügt habe, wird er überprüft?

  • Ja, sobald es entdeckt wurde, wird es dann alle sieben Tage überprüft.

Wenn ein Server außer Betrieb genommen wird, wann wird er aus der Integritätsprüfung entfernt?

  • Wenn ein Server keine Daten für 3 Wochen sendet, wird er entfernt.

Wie lautet der Name des Prozesses, der die Datensammlung durchführt?

  • AdvisorAssessment.exe

Wie lange dauert es, bis Daten gesammelt werden?

  • Die tatsächliche Datensammlung auf dem Server dauert etwa 1 Stunde. Auf Servern mit einer großen Anzahl von SQL-Instanzen oder Datenbanken kann es länger dauern.

Welche Art von Daten wird gesammelt?

  • Die folgenden Datentypen werden gesammelt:
    • WMI
    • Registratur
    • Leistungsindikatoren
    • DYNAMISCHE SQL-Verwaltungsansichten (DYNAMIC Management Views, DMV).

Gibt es eine Möglichkeit, zu konfigurieren, wann Daten gesammelt werden?

  • Zurzeit nicht.

Warum muss ich ein Run As Account konfigurieren?

  • Für SQL Server werden eine kleine Anzahl von SQL-Abfragen ausgeführt. Damit sie ausgeführt werden können, muss ein Run As Account mit VIEW SERVER STATE-Berechtigungen für SQL verwendet werden. Um WMI abzufragen, sind außerdem lokale Administratoranmeldeinformationen erforderlich.

Warum nur die wichtigsten 10 Empfehlungen anzeigen?

  • Anstatt Ihnen eine erschöpfende überwältigende Liste von Aufgaben zu geben, empfehlen wir Ihnen, sich zuerst auf die Behandlung der priorisierten Empfehlungen zu konzentrieren. Nachdem Sie sie angesprochen haben, werden weitere Empfehlungen zur Verfügung gestellt. Wenn Sie die detaillierte Liste lieber anzeigen möchten, können Sie alle Empfehlungen mithilfe der Log Analytics-Protokollsuche anzeigen.

Gibt es eine Möglichkeit, eine Empfehlung zu ignorieren?

Nächste Schritte

  • Protokollabfragen, um zu lernen, wie detaillierte SQL-Gesundheitsprüfungsdaten und -empfehlungen analysiert werden können.
  • Last updated on