Configuración de auditoría para Azure SQL Database y Azure Synapse Analytics
Se aplica a: Azure SQL Database Azure Synapse Analytics
En este artículo, vamos a configurar la auditoría del servidor lógico o la base de datos en Azure SQL Database y Azure Synapse Analytics.
Configuración de la auditoría para el servidor
La directiva de auditoría predeterminada incluye el siguiente conjunto de grupos de acciones, que auditarán todas las consultas y almacenarán los procedimientos ejecutados en la base de datos, así como los inicios de sesión correctos y erróneos:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Para configurar la auditoría para diferentes tipos de acciones y grupos de acciones mediante PowerShell, consulte Administración de la auditoría de Azure SQL Database mediante API.
La auditoría de Azure SQL Database y Azure Synapse Analytics almacena 4000 caracteres de datos para los campos de caracteres en un registro de auditoría. Cuando los valores de statement o data_sensitivity_information devueltos por una acción auditable contienen más de 4000 caracteres, todos los datos a partir de los primeros 4000 caracteres se truncan y no se auditan.
Las secciones siguientes describen la configuración de auditoría mediante Azure Portal.
Nota:
No se puede habilitar la auditoría en un grupo de SQL dedicado en pausa. Para activar una auditoría, reanude el grupo de SQL dedicado.
Cuando la auditoría se configura para un área de trabajo de Log Analytics o para un destino Event Hubs mediante el cmdlet de PowerShell o Azure Portal, se crea una configuración de diagnóstico con la categoría SQLSecurityAuditEvents
habilitada.
Vaya a Azure Portal.
Vaya a Auditoría bajo el encabezado Seguridad en el panel de la base de datos SQL o el servidor SQL.
Si prefiere configurar una directiva de auditoría de servidor, puede seleccionar el vínculo Ver configuración del servidor en la hoja de auditoría de base de datos. Después, puede ver o modificar la configuración de auditoría del servidor. Las directivas de auditoría de servidor se aplican a todas las bases de datos existentes y recién creadas en este servidor.
Si prefiere habilitar la auditoría en el nivel de base de datos, cambie Auditoría a Activado. Si está habilitada la auditoría del servidor, la auditoría configurada de base de datos se produce de forma paralela a la auditoría del servidor.
Tiene varias opciones para configurar dónde se almacenan los registros de auditoría. Puede escribir registros en una cuenta de almacenamiento de Azure, en un área de trabajo de Log Analytics para su consumo en registros de Azure Monitor, o en un centro de eventos para consumirlos mediante el centro de eventos. Puede configurar cualquier combinación de estas opciones, los registros de auditoría se escriben en cada una.
Auditoría para el destino de almacenamiento
Para configurar la escritura de registros de auditoría en una cuenta de almacenamiento, seleccione Almacenamiento cuando llegue a la sección Auditoría. Seleccione la cuenta de almacenamiento de Azure donde desea guardar los registros. Puede usar los dos tipos de autenticación de almacenamiento siguientes: identidad administrada y claves de acceso de almacenamiento. Para la identidad administrada, se pueden usar tanto identidades administradas asignadas por el sistema como identidades administradas asignadas por un usuario. De forma predeterminada, se selecciona la identidad de usuario principal asignada al servidor. Si no hay ninguna identidad de usuario, se crea una identidad administrada asignada por el sistema y se usa con fines de autenticación. Después de elegir un tipo de autenticación, seleccione un período de retención abriendo Propiedades avanzadas y seleccionando Guardar. Los registros anteriores al período de retención se eliminarán.
Nota:
Si va a realizar la implementación desde Azure Portal, asegúrese de que la cuenta de almacenamiento se encuentra en la misma región que la base de datos y el servidor. Si va a realizar la implementación a través de otros métodos, la cuenta de almacenamiento puede estar en cualquier región.
- El valor predeterminado para el período de retención es 0 (retención ilimitada). Para cambiar este valor, mueva el control deslizante Retención (días) de Propiedades avanzadas al configurar la cuenta de almacenamiento para la auditoría.
- Si cambia el período de retención de 0 (retención ilimitada) a cualquier otro valor, la retención solo se aplicará a los registros escritos una vez cambiado el valor de retención. Los registros que se escribieron durante el período de retención ilimitada se conservan, incluso después de habilitar la retención.
Auditoría para el destino de Log Analytics
Para configurar la escritura de registros de auditoría en un área de trabajo de Log Analytics, seleccione Log Analytics y abra Detalles de Log Analytics. Seleccione el área de trabajo de Log Analytics donde desea almacenar los registros y, a continuación, seleccione Aceptar. Si no ha creado un área de trabajo de Log Analytics, consulte Creación de un área de trabajo de Log Analytics en Azure Portal.
Auditoría para un destino de Event Hubs
Para configurar la escritura de registros de auditoría en un centro de eventos, seleccione Centro de eventos. Seleccione el centro de eventos donde desea almacenar los registros y luego seleccione Guardar. Asegúrese de que el centro de eventos esté en la misma región que la base de datos y el servidor.
Nota:
Si usa varios destinos como la cuenta de almacenamiento, análisis de registros o el centro de eventos, asegúrese de que tiene permisos para todos los destinos, de lo contrario se producirá un error al guardar la configuración de auditoría, ya que intentará guardar la configuración para todos los destinos.