Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:Azure SQL Database
Azure Synapse Analytics
La auditoría para Azure SQL Database y Azure Synapse Analytics realiza el seguimiento de eventos de base de datos y los escribe en un registro de auditoría en la cuenta de almacenamiento de Azure, el área de trabajo de Log Analytics o Event Hubs.
La auditoría también puede hacer lo siguiente:
Ayudar a mantener el cumplimiento de normativas, comprender la actividad de las bases de datos y conocer las discrepancias y anomalías que pueden indicar problemas en el negocio o infracciones de seguridad sospechosas.
Posibilitar y facilitar la observancia de estándares reguladores aunque no garantiza el cumplimiento. Para obtener más información, vea el Centro de confianza de Microsoft Azure, donde encontrará la lista más reciente de certificaciones de cumplimiento de SQL Database.
Nota:
Para más información sobre la auditoría de Azure SQL Managed Instance, consulte Introducción a la auditoría de Azure SQL Managed Instance.
Información general
Puede usar la auditoría de SQL Database para:
- Conservar un registro de auditoría de los eventos seleccionados. Puede definir categorías de acciones de base de datos para auditar.
- Informar sobre la actividad de la base de datos. Puede usar informes preconfigurados y un panel para empezar rápidamente con el informe de actividades y eventos.
- Analizar informes. Puede buscar eventos sospechosos, actividades inusuales y tendencias.
Importante
La auditoría de Azure SQL Database, grupos de SQL de Azure Synapse Analytics y Azure SQL Managed Instance está optimizada para la disponibilidad y el rendimiento de las bases de datos o instancias que se están auditando. Durante períodos de actividad muy alta o carga de red alta, la característica de auditoría puede permitir que las transacciones continúen sin registrar todos los eventos marcados para la auditoría.
Mejoras en el rendimiento, la disponibilidad y la confiabilidad en la auditoría de servidor para Azure SQL Database (marzo de 2025)
- Se han rediseñado las partes principales de la auditoría de SQL, lo que da lugar a una mayor disponibilidad y confiabilidad de las auditorías de servidor. Como ventaja adicional, hay una alineación de características más estrecha con SQL Server y Azure SQL Managed Instance. La auditoría de la base de datos permanece sin cambios.
- El diseño anterior de la auditoría desencadena una auditoría de nivel de base de datos y ejecuta una sesión de auditoría para cada base de datos del servidor. La nueva arquitectura de auditoría crea una sesión de eventos extendidos en el nivel de servidor que captura eventos de auditoría para todas las bases de datos.
- El nuevo diseño de auditoría optimiza la memoria y la CPU, y es coherente con el funcionamiento de la auditoría en SQL Server y Azure SQL Managed Instance.
Cambios de la nueva arquitectura de auditoría de servidor
- Cambio de estructura de carpetas para la cuenta de almacenamiento:
- Uno de los cambios principales implica un cambio de estructura de carpetas para los registros de auditoría almacenados en contenedores de cuentas de almacenamiento. Anteriormente, los registros de auditoría de servidor se escribieron en carpetas independientes; una para cada base de datos, con el nombre de la base de datos que actúa como nombre de carpeta. Con la nueva actualización, todos los registros de auditoría del servidor se consolidarán en una sola carpeta etiquetada
master
. Este comportamiento es el mismo que Azure SQL Managed Instance y SQL Server.
- Uno de los cambios principales implica un cambio de estructura de carpetas para los registros de auditoría almacenados en contenedores de cuentas de almacenamiento. Anteriormente, los registros de auditoría de servidor se escribieron en carpetas independientes; una para cada base de datos, con el nombre de la base de datos que actúa como nombre de carpeta. Con la nueva actualización, todos los registros de auditoría del servidor se consolidarán en una sola carpeta etiquetada
- Cambio de estructura de carpetas para réplicas de solo lectura:
- Las réplicas de base de datos de solo lectura anteriormente tenían sus registros almacenados en una carpeta de solo lectura. Esos registros ahora se escribirán en la
master
carpeta . Para recuperar estos registros, filtre por la nueva columnais_secondary_replica_true
.
- Las réplicas de base de datos de solo lectura anteriormente tenían sus registros almacenados en una carpeta de solo lectura. Esos registros ahora se escribirán en la
- Permisos necesarios para ver los registros de auditoría:
- Solo los administradores del servidor pueden ver los registros de auditoría almacenados en la carpeta.
Limitaciones de auditoría
- No es posible habilitar la auditoría en un grupo de SQL de Azure Synapse en pausa. Para habilitar la auditoría, reanude el grupo de SQL de Synapse.
- No se admite la habilitación de la auditoría mediante una identidad administrada asignada por el usuario (UAMI) en Azure Synapse.
- Actualmente, Azure Synapse no admite identidades administradas, a menos que la cuenta de almacenamiento esté detrás de una red virtual o un firewall.
- Debido a las restricciones de rendimiento, no auditamos el tempdb ni las tablas temporales y . Aunque el grupo de acciones completado por lotes captura instrucciones en tablas temporales, es posible que no rellene correctamente los nombres de objeto. Sin embargo, la tabla de origen siempre se audita, lo que garantiza que todas las inserciones de la tabla de origen a las tablas temporales se registren.
- La auditoría de grupos de Azure Synapse SQLsolo admite grupos de acciones de auditoría predeterminados.
- Al configurar la auditoría de un servidor lógico en Azure o Azure SQL Database con el destino de registro como una cuenta de almacenamiento, el modo de autenticación debe coincidir con la configuración de esa cuenta de almacenamiento. Si usa claves de acceso de almacenamiento como tipo de autenticación, la cuenta de almacenamiento de destino debe estar habilitada con acceso a las claves de la cuenta de almacenamiento. Si la cuenta de almacenamiento está configurada para usar solo la autenticación con Microsoft Entra ID (anteriormente Azure Active Directory), la auditoría se puede configurar para usar identidades administradas para la autenticación.
Comentarios
- Se admite el almacenamiento Premium con BlockBlobStorage. Se admite el almacenamiento estándar. Sin embargo, para que la auditoría escriba en una cuenta de almacenamiento protegida por una red virtual o firewall, necesita tener una cuenta de almacenamiento de uso general v2. Si tiene una cuenta de almacenamiento de uso general v1 o una cuenta de Blob Storage, actualice a una cuenta de almacenamiento de uso general v2. Para obtener instrucciones específicas, consulte cómo Escribir auditorías en una cuenta de almacenamiento detrás de una red virtual y un firewall. Para obtener más información, consulte la sección Tipos de cuentas de almacenamiento.
- Se admite el espacio de nombres jerárquico para todos los tipos de cuenta de almacenamiento estándar y cuenta de almacenamiento premium con BlockBlobStorage.
- Los registros de auditoría se escriben en Anexar blobs en Azure Blob Storage en su suscripción a Azure
- Los registros de auditoría tienen el formato .xel y se pueden abrir con SQL Server Management Studio (SSMS).
- Para configurar un almacén de registros inmutable para los eventos de auditoría de nivel de servidor o base de datos, siga las instrucciones proporcionadas por Azure Storage. Asegúrese de que ha seleccionado Permitir anexiones adicionales al configurar el almacenamiento de blobs inmutable.
- Puede escribir registros de auditoría en una cuenta de Azure Storage detrás de un firewall o una red virtual.
- Para obtener más información sobre el formato del registro, la jerarquía de la carpeta de almacenamiento y las convenciones de nomenclatura, consulte el artículo sobre el formato del registro de auditoría de SQL Database.
- La Auditoría en Utilizar réplicas de solo lectura para descargar cargas de trabajo de consulta de solo lectura se activa automáticamente. Para más información sobre la jerarquía de las carpetas de almacenamiento, las convenciones de nomenclatura y el formato del registro, consulte el artículo sobre el formato del registro de auditoría de SQL Database.
- Cuando se usa la autenticación de Azure AD, los registros de inicios de sesión con error no aparecen en el registro de auditoría SQL. Para ver los registros de auditoría de inicios de sesión fallidos, deberá consultar el centro de administración de Microsoft Entra, que registra los detalles de tales eventos.
- La puerta de enlace enruta los inicios de sesión a la instancia específica en la que se encuentra la base de datos. Con los inicios de sesión de Microsoft Entra, se comprueban las credenciales antes de intentar usar ese usuario para iniciar sesión en la base de datos solicitada. En caso de error, nunca se accede a la base de datos solicitada, por lo que no se produce ninguna auditoría. Con los inicios de sesión de SQL, las credenciales se comprueban en los datos solicitados, por lo que en este caso se pueden auditar. Los inicios de sesión correctos, que obviamente llegan a la base de datos, se auditan en ambos casos.
- Después de configurar los valores de auditoría, puede activar la nueva característica de detección de amenazas y configurar los mensajes de correo para recibir alertas de seguridad. Cuando se usa la detección de amenazas, se reciben alertas proactivas sobre actividades anómalas de la base de datos que pueden indicar posibles amenazas de seguridad. Para obtener más información, consulte SQL Advanced Threat Protection.
- Una vez que una base de datos con la auditoría habilitada se copia en otro servidor lógico, es posible que reciba un correo electrónico que le notificará que se ha producido un error en la auditoría. Se trata de un problema conocido y la auditoría debe funcionar según lo previsto en la base de datos recién copiada.