Compartir a través de


Formato del registro de auditoría de SQL Database

Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

La auditoría de Azure SQL Database realiza el seguimiento de eventos de base de datos y los escribe en una auditoría de registro en la cuenta de Azure Storage, o los envía al centro de eventos o a Log Analytics para el análisis y el procesamiento de bajada.

Convenciones de nomenclatura

Auditoría de blobs

Los registros de auditoría almacenados en Azure Blob Storage se almacenan en un contenedor denominado sqldbauditlogs en la cuenta de almacenamiento de Azure. La jerarquía de directorios dentro del contenedor tiene el formato <ServerName>/<DatabaseName>/<AuditName>/<Date>/. El formato de nombre de archivo del blob es <CreationTime>_<FileNumberInSession>.xel, donde CreationTime está en formato UTC hh_mm_ss_ms y FileNumberInSession es un índice en ejecución en el caso de intervalos de registros de sesión en varios archivos de blob.

Por ejemplo, para la base de datos Database1 en Server1, la siguiente es una posible ruta de acceso válida:

Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel

Los registros de auditoría de las réplicas de solo lectura se almacenan en el mismo contenedor. La jerarquía de directorios dentro del contenedor tiene el formato <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. El nombre de archivo del blob comparte el mismo formato. Los registros de auditoría de las réplicas de solo lectura se almacenan en el mismo contenedor.

Centro de eventos

Los eventos de auditoría se escriben en el espacio de nombres y en el centro de eventos que se definió durante la configuración de auditoría. Se capturan en el cuerpo de los eventos de Apache Avro y se almacenan mediante el formato JSON con codificación UTF-8. Para leer los registros de auditoría, puede usar Avro Tools o herramientas similares que procesen este formato.

Log Analytics

Los eventos de auditoría se escriben en el área de trabajo de Log Analytics definida durante la configuración de auditoría, en la tabla AzureDiagnostics con la categoría SQLSecurityAuditEvents y en la tabla con la categoría DevOpsOperationsAudit para Operaciones de Soporte técnico de Microsoft. Para información útil adicional sobre los comandos y el lenguaje de búsqueda de Log Analytics, consulte la referencia de búsqueda de Log Analytics.

Campos del registro de auditoría

Nombre (blob) Nombre (Event Hubs/Log Analytics) Descripción Tipo de blob Tipo de Event Hubs/Log Analytics
action_id action_id_s Identificador de la acción. varchar(4) string
action_name action_name_s Nombre de la acción N/D string
additional_information additional_information_s Cualquier información adicional sobre el evento, almacenada en formato XML nvarchar(4000) string
affected_rows affected_rows_d Número de filas afectadas por la consulta bigint int
application_name application_name_s Nombre de la aplicación cliente nvarchar(128) string
audit_schema_version audit_schema_version_d Siempre 1 int int
class_type class_type_s Tipo de entidad auditable en la que se produce la auditoría varchar(2) string
class_type_desc class_type_description_s Descripción de la entidad auditable en la que se produce la auditoría N/D string
client_ip client_ip_s IP de origen de la aplicación cliente nvarchar(128) string
connection_id N/D Identificador de la conexión en el servidor GUID N/D
data_sensitivity_information data_sensitivity_information_s Tipos de información y etiquetas de confidencialidad devueltas por la consulta auditada, basados en las columnas clasificadas en la base de datos. Obtenga más información sobre la clasificación y detección de datos de Azure SQL Database. nvarchar(4000) string
database_name database_name_s Contexto de base de datos en el que se produjo la acción sysname string
database_principal_id database_principal_id_d Id. del contexto de usuario de la base de datos donde se realiza la acción. int int
database_principal_name database_principal_name_s Nombre del contexto de usuario de la base de datos donde se realiza la acción. sysname string
duration_milliseconds duration_milliseconds_d Duración de la ejecución de la consulta, en milisegundos. bigint int
event_time event_time_t Fecha y hora en que se activó la acción auditable. datetime2 datetime
host_name N/D Nombre de host del cliente. string N/D
is_column_permission is_column_permission_s Marca que indica si se trata de un permiso de nivel de columna. 1 = true, 0 = false bit string
N/D is_server_level_audit_s Marca que indica si esta auditoría está en el nivel de servidor. N/D string
object_ id object_id_d Identificador de la entidad en la que se produjo la auditoría. Incluye objetos de servidor, bases de datos, objetos de base de datos y objetos de esquema. 0 si la entidad es el propio servidor o si la auditoría no se realiza en un nivel de objeto. int int
object_name object_name_s Nombre de la entidad en la que se produjo la auditoría. Incluye objetos de servidor, bases de datos, objetos de base de datos y objetos de esquema. 0 si la entidad es el propio servidor o si la auditoría no se realiza en un nivel de objeto. sysname string
obo_middle_tier_app_id obo_middle_tier_app_id_s Identificador de aplicación de la aplicación de nivel intermedio que se conecta a SQL Database mediante el acceso de OBO. varchar(120) string
permission_bitmask permission_bitmask_s Cuando es aplicable, muestra los permisos concedidos, denegados, o revocados. varbinary(16) string
response_rows response_rows_d Número de filas devueltas en el conjunto de resultados. bigint int
schema_name schema_name_s Contexto de esquema en el que se produjo la acción. NULL para las auditorías que se producen fuera de un esquema. sysname string
N/D securable_class_type_s Objeto protegible que se asigna al valor de class_type que se está auditando. N/D string
sequence_group_id sequence_group_id_g Identificador único varbinary GUID
sequence_number sequence_number_d Realiza un seguimiento de la secuencia de registros de un único registro de auditoría que era demasiado grande para caber en el búfer de escritura destinado a las auditorías. Tenga en cuenta que la auditoría de Azure SQL Database y Azure Synapse almacena 4000 caracteres de datos para los campos de caracteres en un registro de auditoría. Cuando hay más de 4000 caracteres, cualquier dato más allá de los primeros 4000 caracteres se truncará int int
server_instance_name server_instance_name_s Nombre de la instancia del servidor donde se produjo la auditoría. sysname string
server_principal_id server_principal_id_d Identificador del contexto de inicio de sesión donde se realiza la acción. int int
server_principal_name server_principal_name_s Inicio de sesión actual. sysname string
server_principal_sid server_principal_sid_s Id. de seguridad de inicio de sesión actual. varbinary string
session_id session_id_d Identificador de la sesión en la que se produjo el evento. SMALLINT int
session_server_principal_name session_server_principal_name_s Entidad de seguridad del servidor para la sesión. sysname string
statement statement_s Instrucción T-SQL ejecutada (si existe). nvarchar(4000) string
succeeded succeeded_s Indica si la acción que desencadenó el evento se realizó correctamente. En el caso de eventos que no sean de inicio de sesión ni por lotes, solo notifica si la comprobación del permiso se ha completado correctamente o con errores, no la operación. 1 = correcto, 0 = error bit string
target_database_principal_id target_database_principal_id_d Entidad de seguridad de la base de datos en la que se realiza la operación GRANT/DENY/REVOKE. 0 si no es aplicable. int int
target_database_principal_name target_database_principal_name_s Usuario de destino de la acción. NULL si no es aplicable. string string
target_server_principal_id target_server_principal_id_d Entidad de seguridad del servidor donde se realizó la operación GRANT/DENY/REVOKE. Devuelve 0 si no es aplicable. int int
target_server_principal_name target_server_principal_name_s Inicio de sesión de destino de la acción. NULL si no es aplicable. sysname string
target_server_principal_sid target_server_principal_sid_s Id. de seguridad del inicio de sesión de destino. NULL si no es aplicable. varbinary string
transaction_id transaction_id_d Solo SQL Server (a partir de 2016): 0 para Azure SQL Database bigint int
user_defined_event_id user_defined_event_id_d Id. de evento definido por el usuario que se pasa como un argumento a sp_audit_write. NULL para eventos del sistema (valor predeterminado) y distinto de cero para eventos definidos por el usuario. Para más información, consulte sp_audit_write (Transact-SQL) SMALLINT int
user_defined_information user_defined_information_s Información definida por el usuario pasada como un argumento a sp_audit_write. NULL para eventos del sistema (valor predeterminado) y distinto de cero para eventos definidos por el usuario. Para más información, consulte sp_audit_write (Transact-SQL) nvarchar(4000) string

Pasos siguientes

Obtenga más información sobre la auditoría de Azure SQL Database.