Naplózás írása egy tárfiókba a virtuális hálózat és a tűzfal mögött

A következőre vonatkozik: Azure SQL DatabaseAzure Synapse Analytics

Az Azure SQL Database és az Azure Synapse Analytics naplózása támogatja az adatbázis-események írását egy Azure Storage-fiókba egy virtuális hálózat és tűzfal mögött.

Ez a cikk az Azure SQL Database és az Azure Storage-fiók konfigurálásának két módját ismerteti ehhez a beállításhoz. Az első az Azure Portalt, a második a REST-et használja.

Background

Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat számos Típusú Azure-erőforrást tesz lehetővé, például azure-beli virtuális gépeket (VM) az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációhoz. A virtuális hálózat hasonló a saját adatközpontja hagyományos hálózatához, de az Azure-infrastruktúra további előnyeit, például a skálázást, a rendelkezésre állást és az elkülönítést is magában hordozza.

A virtuális hálózatokra vonatkozó fogalmakról, az ajánlott eljárásokról és még sok másról további információt az Azure Virtual Network ismertetése nyújt.

A virtuális hálózat létrehozásával kapcsolatos további információkért tekintse meg a rövid útmutatót: Virtuális hálózat létrehozása az Azure Portal használatával.

Előfeltételek

A virtuális hálózat vagy tűzfal mögötti tárfiókba való írás naplózásához a következő előfeltételek szükségesek:

• Általános célú v2-tárfiók. Ha általános célú v1- vagy blobtároló-fiókkal rendelkezik, frissítsen egy általános célú v2-tárfiókra. További információ: Tárfiókok típusai.
• A BlockBlobStorage prémium szintű tárhelye támogatott
• A tárfióknak ugyanazon a bérlőn és a logikai SQL-kiszolgálóval azonos helyen kell lennie (nem baj, ha különböző előfizetéseken van).
• Az Azure Storage-fiókhoz szükséges Allow trusted Microsoft services to access this storage account. Ezt állítsa be a tárfiók tűzfalai és virtuális hálózatai között.
• A kijelölt tárfiókhoz engedély szükséges Microsoft.Authorization/roleAssignments/write . For more information, see Azure built-in roles.

Megjegyzés:

Ha a tárfiókba való naplózás már engedélyezve van egy kiszolgálón/adatbázison, és ha a céltárfiók tűzfal mögött van áthelyezve, akkor elveszíti az írási hozzáférést a tárfiókhoz, és a naplók nem lesznek megírva hozzá. Ahhoz, hogy a naplózás működjön, újra meg kell mentenünk a naplózási beállításokat a portálról.

Konfigurálás az Azure Portalon

CsatlakozásAzure Portal az előfizetésével. Lépjen az erőforráscsoportra és a kiszolgálóra.

1. Kattintson a Naplózás gombra a Biztonság fejléc alatt. Válassza a Be lehetőséget.

2. Válassza a Storage lehetőséget. Válassza ki azt a tárfiókot, ahol a naplók mentésre kerülnek. A tárfióknak meg kell felelnie az előfeltételekben felsorolt követelményeknek.

3. Tárterület részleteinek megnyitása

Megjegyzés:

Ha a kijelölt Tárfiók a virtuális hálózat mögött található, a következő üzenet jelenik meg:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Ha nem látja ezt az üzenetet, akkor a tárfiók nem áll virtuális hálózat mögött.

4. Adja meg a megőrzési időszak napjainak számát. Ezután kattintson az OK gombra. A megőrzési időnél régebbi naplók törlődnek.

5. Válassza a Mentés a naplózási beállítások között lehetőséget.

Sikeresen konfigurálta a naplózást úgy, hogy vNet vagy tűzfal mögötti tárfiókba írjon.

Konfigurálás REST-parancsokkal

Az Azure Portal használata helyett REST-parancsokkal konfigurálhatja a naplózást úgy, hogy adatbázis-eseményeket írjon egy virtuális hálózat és tűzfal mögötti tárfiókon.

Az ebben a szakaszban szereplő példaszkriptekhez a szkript futtatásához frissítenie kell a szkriptet. Cserélje le a következő értékeket a szkriptekben:

Mintaérték	Minta leírása
<subscriptionId>	Azure-előfizetés azonosítója
<resource group>	Erőforráscsoport
<logical SQL Server>	Kiszolgálónév
<administrator login>	Rendszergazdai fiók
<complex password>	Összetett jelszó a rendszergazdai fiókhoz

Ha úgy szeretné konfigurálni az SQL Auditot, hogy eseményeket írjon egy virtuális hálózat vagy tűzfal mögötti tárfiókba:

1. Regisztrálja a kiszolgálót a Microsoft Entra-azonosítóval (korábban Azure Active Directory). Használja a PowerShellt vagy a REST API-t.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   REST API:

   Mintakérés

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Kérés törzse

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Rendelje hozzá a Storage Blob Data Contributor szerepkört ahhoz a kiszolgálóhoz, amely az előző lépésben regisztrálta a Microsoft Entra-azonosítóval regisztrált adatbázist.

   A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

   Megjegyzés:

   Ezt a lépést csak tulajdonosi jogosultsággal rendelkező tagok hajthatják végre. A különböző beépített Azure-szerepkörök esetében tekintse meg az Azure beépített szerepköröket.

3. Konfigurálja a kiszolgáló blobnaplózási szabályzatát a storageAccountAccessKey megadása nélkül:

   Mintakérés

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Kérés törzse

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Az Azure PowerShell használata

• Adatbázis-naplózási szabályzat létrehozása vagy frissítése (Set-AzSqlDatabaseAudit)
• Kiszolgálónaplózási szabályzat létrehozása vagy frissítése (Set-AzSqlServerAudit)

Az Azure Resource Manager-sablonok használata

A naplózást úgy konfigurálhatja, hogy adatbázis-eseményeket írjon egy virtuális hálózat és tűzfal mögötti tárfiókra az Azure Resource Manager-sablonnal, ahogyan az alábbi példában látható:

Fontos

A virtuális hálózat és tűzfal mögötti tárfiók használatához az isStorageBehindVnet paramétert igaz értékre kell állítania

• Azure SQL Server üzembe helyezése naplózási funkcióval, amellyel naplókat írhat blobtárolóba

Megjegyzés:

A csatolt minta egy külső nyilvános adattárban található, és "az adott módon" van megadva, garancia nélkül, és a Microsoft támogatási programja/szolgáltatása nem támogatja.

További lépések

• A PowerShell használatával hozzon létre egy virtuális hálózati szolgáltatásvégpontot, majd egy virtuális hálózati szabályt az Azure SQL Database-hez.
• Virtuális hálózati szabályok: MŰVELETEK REST API-kkal
• Virtuális hálózati szolgáltatásvégpontok és szabályok használata kiszolgálókhoz