Share via

Utiliser l’audit pour analyser les journaux d’audit et les rapports

  • Article

S’applique à : Azure SQL Database Azure Synapse Analytics

Cet article offre une vue d’ensemble de l’analyse des journaux d’audit à l’aide de la fonctionnalité Audit pour Azure SQL Database et Azure Synapse Analytics. Vous pouvez utiliser la fonctionnalité Audit pour analyser les journaux d’audit stockés dans :

  • Log Analytics
  • Event Hubs
  • Stockage Azure

Afficher les journaux à l’aide de Log Analytics

Si vous avez choisi d’écrire les journaux d’audit dans Log Analytics :

  1. Utilisez le portail Azure.

  2. Accédez à la ressource de base de données appropriée.

  3. En haut de la page Audit de la base de données, sélectionnez Afficher les journaux d’audit.

    Screenshot of the Auditing menu in the Azure portal where you can select the View audit logs option.

Vous pouvez afficher les journaux de deux façons :

  • En cliquant sur Log Analytics en haut de la page Enregistrements d’audit pour ouvrir la vue des journaux dans l’espace de travail Log Analytics, où vous pouvez personnaliser l’intervalle de temps et la requête de recherche.

    Screenshot of selecting Log Analytics in the Audit records menu in the Azure portal.

  • En cliquant sur Afficher le tableau de bord en haut de la page Enregistrements d’audit pour ouvrir un tableau de bord affichant les informations des journaux d’audit, où vous pouvez explorer au niveau du détail dans Insights de sécurité ou Accéder aux données sensibles. Ce tableau de bord est conçu pour vous aider à obtenir des Insights sur la sécurité de vos données. Vous pouvez également personnaliser l’intervalle de temps et la requête de recherche.

    Screenshot of selecting view dashboard in the Audit records menu in the Azure portal.

    Screenshot of the Auditing dashboard.

  • Vous pouvez également accéder aux journaux d’audit à partir du panneau Log Analytics. Ouvrez votre espace de travail Log Analytics puis, dans la section Général, sélectionnez Journaux. Vous pouvez démarrer par une requête simple, telle que : search "SQLSecurityAuditEvents" pour afficher les journaux d’audit. Vous pouvez également utiliser les journaux d’activité Azure Monitor pour exécuter des recherches avancées sur les données de votre journal d’audit. Les journaux Azure Monitor vous donnent des insights opérationnels en temps réel à l’aide d’une recherche intégrée et de tableaux de bord personnalisés permettant d’analyser facilement des millions d’enregistrements dans l’ensemble de vos charges de travail et serveurs. Pour plus d’informations utiles sur le langage et les commandes de recherche dans les journaux Azure Monitor, consultez Informations de référence sur la recherche dans les journaux Azure Monitor.

Analyser les journaux à l’aide d’Event Hubs

Si vous avez choisi d’écrire les journaux d’audit dans Event Hubs :

  • Pour consommer les données des journaux d’audit à partir d’Event Hubs, vous devez configurer un flux destiné à consommer les événements et à les écrire dans une cible. Pour plus d’informations, consultez la documentation Azure Event Hubs.
  • Les journaux d’audit d’Event Hubs sont capturés dans le corps d’événements Apache Avro et stockés au format JSON avec l’encodage UTF-8. Pour lire les journaux d’audit, vous pouvez utiliser les outils Avro, les flux d’événements Microsoft Fabric ou des outils similaires qui traitent ce format.

Analyser les journaux en utilisant les journaux d’un compte de stockage Azure

Si vous choisissez d’écrire les journaux d’audit dans un compte de stockage Azure, plusieurs méthodes existent pour afficher les journaux d’activité :

  • Les journaux d’audit sont agrégés dans le compte choisi lors de la configuration. Vous pouvez explorer les journaux d’audit avec un outil comme l’Explorateur de stockage Azure. Dans le stockage Azure, les journaux d’activité d’audit sont enregistrés sous la forme d’une collection de fichiers d’objets blob dans un conteneur nommé sqldbauditlogs. Pour plus d’informations sur la hiérarchie des dossiers de stockage, les conventions de nommage et le format des journaux, consultez Format des journaux d’audit SQL Database.

    1. Utilisez le portail Azure.

    2. Ouvrez la ressource de base de données appropriée.

    3. En haut de la page Audit de la base de données, sélectionnez Afficher les journaux d’audit.

      Screenshot showing how to view audit logs.

      La page Enregistrements d’audit s’ouvre et vous permet de consulter les journaux.

    4. Vous pouvez afficher des dates spécifiques en sélectionnant Filtrer en haut de la page Enregistrements d’audit.

    5. Vous pouvez basculer entre les enregistrements d’audit qui ont été créés par la stratégie d’audit de serveur et la stratégie d’audit de base de données en choisissant la Source de l’audit.

      Screenshot that shows the options for viewing the audit records.

  • Utilisez la fonction système sys.fn_get_audit_file pour retourner les données du journal d’audit dans un format tabulaire. Pour plus d’informations sur l’utilisation de cette fonction, consultez sys.fn_get_audit_file.

  • Utilisez Fusionner les fichiers d’audit dans SQL Server Management Studio (à partir de SSMS 17) :

    1. Dans le menu SSMS, sélectionnez Fichier>Ouvrir>Fusionner les fichiers d’audit.

      Screenshot that shows the Merge Audit Files menu option.

    2. La boîte de dialogue Ajouter des fichiers d’audit s’ouvre. Sélectionnez l’une des options Ajouter pour choisir de fusionner les fichiers d’audit à partir d’un disque local ou de les importer à partir du stockage Azure. Vous devrez fournir les informations et la clé de compte de votre compte Stockage Azure.

    3. Une fois que tous les fichiers à fusionner ont été ajoutés, sélectionnez OK pour terminer l’opération de fusion.

    4. Le fichier fusionné s’ouvre dans SSMS, où vous pouvez l’afficher et l’analyser, ainsi que l’exporter vers un fichier XEL ou CSV, ou vers une table.

  • Utilisez Power BI. Vous pouvez afficher et analyser les données du journal d’audit dans Power BI. Pour plus d’informations et pour accéder à un modèle téléchargeable, consultez Analyze audit log data in Power BI (Analyser les données des journaux d’audit dans Power BI).

  • Téléchargez les fichiers journaux à partir de votre conteneur Azure Storage Blob via le portail ou avec un outil comme l’Explorateur de stockage Azure.

    • Une fois que vous avez téléchargé localement un fichier journal, double-cliquez sur le fichier pour ouvrir, afficher et analyser les journaux d’activité dans SSMS.
    • Vous pouvez aussi télécharger plusieurs fichiers simultanément dans l’Explorateur Stockage Azure. Pour cela, cliquez avec le bouton droit sur un sous-dossier, puis sélectionnez Enregistrer en tant que pour l’enregistrer dans un dossier local.

  • Autres méthodes :

    • Après avoir téléchargé plusieurs fichiers (ou un sous-dossier contenant des fichiers journaux), vous pouvez les fusionner localement en suivant les instructions relatives à l’option Fusionner les fichiers d’audit dans SSMS, décrites précédemment.
    • Affichez des journaux d’activité d’audit d’objets blob par programmation : Interrogez des fichiers d’événements étendus avec PowerShell.

Voir aussi