SQL Database audit log format
A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Az Azure SQL Database naplózása nyomon követi az adatbázis-eseményeket, és beírja őket egy naplóba az Azure Storage-fiókjában, vagy elküldi őket az Event Hubnak vagy a Log Analyticsnek az alsóbb rétegbeli feldolgozáshoz és elemzéshez.
Elnevezési konvenciók
Blobnaplózás
Az Azure Blob Storage-ban tárolt naplók az Azure Storage-fiókban elnevezett sqldbauditlogs
tárolóban vannak tárolva. A tárolón belüli címtárhierarchia az űrlap.<ServerName>/<DatabaseName>/<AuditName>/<Date>/
A Blob-fájlnév formátuma <CreationTime>_<FileNumberInSession>.xel
az CreationTime
UTC hh_mm_ss_ms
formátumú, és FileNumberInSession
egy futó index abban az esetben, ha a munkamenetnaplók több Blob-fájlra is kiterjednek.
Az alábbi adatbázis Database1
Server1
például egy lehetséges érvényes elérési út:
Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel
A csak olvasható replikák naplózási naplói ugyanabban a tárolóban vannak tárolva. A tárolón belüli címtárhierarchia az űrlap.<ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/
A Blob-fájl neve ugyanazzal a formátummal rendelkezik. Az írásvédett replikák naplói ugyanabban a tárolóban vannak tárolva.
Esemény központja
Audit events are written to the namespace and event hub that was defined during auditing configuration, and are captured in the body of Apache Avro events and stored using JSON formatting with UTF-8 encoding. To read the audit logs, you can use Avro Tools or similar tools that process this format.
Log Analytics
A naplózási események a naplózási konfiguráció során definiált Log Analytics-munkaterületre, a AzureDiagnostics
kategóriával SQLSecurityAuditEvents
rendelkező táblába, valamint a Microsoft ügyfélszolgálata Műveletek kategóriával DevOpsOperationsAudit
rendelkező táblába lesznek írva. For additional useful information about Log Analytics search language and commands, see Log Analytics search reference.
Naplómezők naplózása
Név (blob) | Név (Event Hubs/Log Analytics) | Leírás | Blobtípus | Event Hubs/Log Analytics-típus |
---|---|---|---|---|
action_id | action_id_s | A művelet azonosítója | varchar(4) | sztring |
action_name | action_name_s | A művelet neve | N/A | sztring |
additional_information | additional_information_s | Az xml-fájlként tárolt eseményre vonatkozó további információk | nvarchar(4000) | sztring |
affected_rows | affected_rows_d | A lekérdezés által érintett sorok száma | bigint | egész |
application_name | application_name_s | Az ügyfélalkalmazás neve | nvarchar(128) | sztring |
audit_schema_version | audit_schema_version_d | Mindig 1 | egész | egész |
class_type | class_type_s | A naplózható entitás típusa, amelyen a naplózás történik | varchar(2) | sztring |
class_type_desc | class_type_description_s | Annak a naplózható entitásnak a leírása, amelyen a naplózás történik | N/A | sztring |
client_ip | client_ip_s | Az ügyfélalkalmazás forrás IP-címe | nvarchar(128) | sztring |
connection_id | N/A | A kiszolgáló kapcsolatának azonosítója | GUID | N/A |
data_sensitivity_information | data_sensitivity_information_s | A naplózott lekérdezés által visszaadott információtípusok és bizalmassági címkék az adatbázis besorolt oszlopai alapján. További információ az Azure SQL Database-adatok felderítéséről és besorolásáról | nvarchar(4000) | sztring |
database_name | database_name_s | Az adatbázis-környezet, amelyben a művelet történt | sysname | sztring |
database_principal_id | database_principal_id_d | Annak az adatbázis-felhasználói környezetnek az azonosítója, amelyben a műveletet végrehajtják | egész | egész |
database_principal_name | database_principal_name_s | Annak az adatbázis-felhasználói környezetnek a neve, amelyben a műveletet végrehajtják | sysname | sztring |
duration_milliseconds | duration_milliseconds_d | Lekérdezés végrehajtásának időtartama ezredmásodpercben | bigint | egész |
event_time | event_time_t | A naplózható művelet aktiválásának dátuma és időpontja | datetime2 | dátum/idő |
host_name | N/A | Ügyfél gazdagépének neve | sztring | N/A |
is_column_permission | is_column_permission_s | Jelző, amely jelzi, hogy ez oszlopszintű engedély-e. 1 = igaz, 0 = hamis | Kicsit | sztring |
N/A | is_server_level_audit_s | Jelző, amely jelzi, hogy ez a naplózás a kiszolgáló szintjén van-e | N/A | sztring |
object_ azonosító | object_id_d | Annak az entitásnak az azonosítója, amelyen a naplózás történt. Ez magában foglalja a következő kiszolgálóobjektumokat, adatbázisokat, adatbázis-objektumokat és sémaobjektumokat. 0, ha az entitás maga a kiszolgáló, vagy ha a naplózás nem objektumszinten történik | egész | egész |
object_name | object_name_s | Annak az entitásnak a neve, amelyen a naplózás történt. Ez magában foglalja a következő kiszolgálóobjektumokat, adatbázisokat, adatbázis-objektumokat és sémaobjektumokat. 0, ha az entitás maga a kiszolgáló, vagy ha a naplózás nem objektumszinten történik | sysname | sztring |
obo_middle_tier_app_id | obo_middle_tier_app_id_s | A középső rétegbeli alkalmazás alkalmazásazonosítója, amely OBO-hozzáféréssel csatlakozott az SQL Database-hez. | varchar(120) | sztring |
permission_bitmask | permission_bitmask_s | Adott esetben a megadott, elutasított vagy visszavont engedélyeket jeleníti meg | varbinary(16) | sztring |
response_rows | response_rows_d | Az eredményhalmazban visszaadott sorok száma | bigint | egész |
schema_name | schema_name_s | A sémakörnyezet, amelyben a művelet történt. NULL érték a sémán kívüli naplózásokhoz | sysname | sztring |
N/A | securable_class_type_s | Biztonságos objektum, amely megfelel a naplózott class_type | N/A | sztring |
sequence_group_id | sequence_group_id_g | Egyedi azonosító | varbinary | GUID |
sequence_number | sequence_number_d | Nyomon követi egy olyan naplórekord rekordjainak sorrendjét, amelyek túl nagyok ahhoz, hogy elférjenek az auditok írási pufferében. Vegye figyelembe, hogy az Azure SQL Database és az Azure Synapse Audit 4000 karakternyi adatot tárol egy naplórekord karaktermezőihez. Ha 4000 karakternél több karakter van, az első 4000 karakternél hosszabb adatok csonkulnak | egész | egész |
server_instance_name | server_instance_name_s | Annak a kiszolgálópéldánynak a neve, ahol a naplózás történt | sysname | sztring |
server_principal_id | server_principal_id_d | Annak a bejelentkezési környezetnek az azonosítója, amelyben a műveletet végrehajtják | egész | egész |
server_principal_name | server_principal_name_s | Aktuális bejelentkezés | sysname | sztring |
server_principal_sid | server_principal_sid_s | Jelenlegi bejelentkezési SID | varbinary | sztring |
session_id | session_id_d | Annak a munkamenetnek az azonosítója, amelyen az esemény történt | smallint | egész |
session_server_principal_name | session_server_principal_name_s | Kiszolgálónév munkamenethez | sysname | sztring |
utasítás | statement_s | Végrehajtott T-SQL-utasítás (ha van ilyen) | nvarchar(4000) | sztring |
Sikerült | succeeded_s | Azt jelzi, hogy az eseményt kiváltó művelet sikeres volt-e. A bejelentkezésen és a kötegen kívüli események esetén ez csak azt jelenti, hogy az engedély-ellenőrzés sikeres volt vagy sikertelen volt, nem pedig a művelet. 1 = siker, 0 = sikertelen | Kicsit | sztring |
target_database_principal_id | target_database_principal_id_d | A GRANT/DENY/REVOKE műveletet végrehajtó adatbázisnév. 0, ha nem alkalmazható | egész | egész |
target_database_principal_name | target_database_principal_name_s | A művelet célfelhasználója. NULL érték, ha nem alkalmazható | sztring | sztring |
target_server_principal_id | target_server_principal_id_d | Az a kiszolgálónév, amelyen a GRANT/DENY/REVOKE műveletet végrehajtják. 0 értéket ad vissza, ha nem alkalmazható | egész | egész |
target_server_principal_name | target_server_principal_name_s | A művelet célba történő bejelentkezése. NULL érték, ha nem alkalmazható | sysname | sztring |
target_server_principal_sid | target_server_principal_sid_s | A cél bejelentkezés biztonsági azonosítója. NULL érték, ha nem alkalmazható | varbinary | sztring |
transaction_id | transaction_id_d | Csak SQL Server (2016-tól kezdve) – 0 az Azure SQL Database-hez | bigint | egész |
user_defined_event_id | user_defined_event_id_d | A felhasználó által megadott eseményazonosító argumentumként lett átadva sp_audit_write. NULL érték a rendszereseményekhez (alapértelmezett), a felhasználó által definiált eseményekhez pedig nem nulla. További információ: sp_audit_write (Transact-SQL) | smallint | egész |
user_defined_information | user_defined_information_s | A felhasználó által megadott adatok argumentumként sp_audit_write. NULL érték a rendszereseményekhez (alapértelmezett), a felhasználó által definiált eseményekhez pedig nem nulla. További információ: sp_audit_write (Transact-SQL) | nvarchar(4000) | sztring |