Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
Azure SQL DatabaseAzure Synapse Analytics
Az Azure SQL Database és az Azure Synapse Analytics naplózása támogatja az adatbázis-események írását egy Azure Storage-fiókba egy virtuális hálózat és tűzfal mögött.
Ez a cikk az Azure SQL Database és az Azure Storage-fiók konfigurálásának két módját ismerteti ehhez a beállításhoz. Az első az Azure Portalt, a második a REST-et használja.
Fontos
Ha egy tárfiók egy virtuális hálózat vagy tűzfal mögött található, felügyelt identitáshitelesítést (Storage Blob Data Közreműködői szerepkört) kell használnia, nem pedig tárelérési kulcsokat. Az Azure Portal ezt automatikusan konfigurálja a naplózási beállítások mentésekor. Ha REST API-val vagy PowerShell-lel konfigurálja a naplózást, ne adjon meg storageAccountAccessKey, mivel ehelyett a kiszolgáló felügyelt identitása autentikálja a tárfiókot.
Háttér
Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A VNet lehetővé teszi, hogy számos típusú Azure-erőforrás, például Azure-beli virtuális gépek (VM), biztonságosan kommunikáljanak egymással, az internettel és a helyszíni hálózatokkal. A virtuális hálózat hasonló a saját adatközpontja hagyományos hálózatához, de az Azure-infrastruktúra további előnyeit, például a skálázást, a rendelkezésre állást és az elkülönítést is magában hordozza.
A virtuális hálózatokra vonatkozó fogalmakról, az ajánlott eljárásokról és még sok másról további információt az Azure Virtual Network ismertetése nyújt.
A virtuális hálózat létrehozásával kapcsolatos további információkért tekintse meg a rövid útmutatót: Virtuális hálózat létrehozása az Azure Portal használatával.
Előfeltételek
A tárfiókhoz való naplózás virtuális hálózat vagy tűzfal mögött, a következő előfeltételek szükségesek:
- Általános célú v2-tárfiók. Ha általános célú v1- vagy blobtároló-fiókkal rendelkezik, frissítsen egy általános célú v2-tárfiókra. Az Tárfiókok típusaipontban talál további információt.
- A BlockBlobStorage prémium szintű tárhelye támogatott
- A tárfióknak ugyanazon a bérlőn és a logikai SQL-kiszolgálóval azonos helyen kell lennie (nem baj, ha különböző előfizetéseken van).
- Az Azure Storage-fiókhoz szükséges
Allow trusted Microsoft services to access this storage account. Ezt állítsa be a tárfiók tűzfalai és virtuális hálózatai között. - A kijelölt tárfiókhoz engedély szükséges
Microsoft.Authorization/roleAssignments/write. További információ: Beépített Azure-szerepkörök.
Megjegyzés:
Ha a tárfiókba való naplózás már engedélyezve van egy kiszolgálón vagy adatbázisban, és ha a céltárfiók tűzfal mögött van áthelyezve, a naplók elveszítik a tárfiók írási hozzáférését. A naplózás folytatásához újból mentenie kell a naplózási beállításokat az Azure Portalról.
Konfigurálás az Azure Portalon
Csatlakozzon az Azure Portalhoz az előfizetésével. Lépjen az erőforráscsoportra és a kiszolgálóra.
Válassza az Ellenőrzés lehetőséget a Biztonság címsor alatt. Válassza a Be lehetőséget.
Válassza a Storage lehetőséget. Válassza ki azt a tárfiókot, ahol a naplók mentésre kerülnek. A tárfióknak meg kell felelnie az előfeltételekben felsorolt követelményeknek.
Tárterület részleteinek megnyitása
Megjegyzés:
Ha a kijelölt tárfiók a virtuális hálózat mögött található, a következő üzenet jelenik meg:
You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.Ha nem látja ezt az üzenetet, akkor a tárfiók nincs VNet mögött.
Adja meg a megőrzési időszak napjainak számát. Ezután válassza OKlehetőséget. A megőrzési időnél régebbi naplók törlődnek.
Válassza a Mentés a naplózási beállítások között lehetőséget.
Sikeresen konfigurálta az auditálást úgy, hogy egy vNet vagy tűzfal mögötti tárfiókba írjon.
Konfigurálás REST-parancsokkal
Az Azure Portal használata helyett REST-parancsokkal konfigurálhatja a naplózást úgy, hogy adatbázis-eseményeket írjon egy virtuális hálózat és tűzfal mögötti tárfiókon.
Az ebben a szakaszban található példaszkriptek futtatása előtt frissítenie kell őket. Cserélje le a következő értékeket a szkriptekben:
| Mintaérték | Minta leírása |
|---|---|
<subscriptionId> |
Azure-előfizetés azonosítója |
<resource group> |
Erőforráscsoport |
<logical SQL Server> |
Kiszolgáló neve |
<administrator login> |
Rendszergazdai fiók |
<complex password> |
Összetett jelszó a rendszergazdai fiókhoz |
Ha úgy szeretné konfigurálni az SQL Auditot, hogy eseményeket írjon egy virtuális hálózat vagy tűzfal mögötti tárfiókba:
Regisztrálja a kiszolgálót a Microsoft Entra-azonosítóval (korábban Azure Active Directory). Használja a PowerShellt vagy a REST API-t.
PowerShell
Connect-AzAccount Select-AzSubscription -SubscriptionId <subscriptionId> Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentityMintakérés
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-previewA kérés tartalma
{ "identity": { "type": "SystemAssigned", }, "properties": { "fullyQualifiedDomainName": "<azure server name>.database.windows.net", "administratorLogin": "<administrator login>", "administratorLoginPassword": "<complex password>", "version": "12.0", "state": "Ready" } }Rendelje hozzá a Storage Blob Data Contributor szerepkört ahhoz a kiszolgálóhoz, amelyen az előző lépésben a Microsoft Entra ID-vel regisztrált adatbázis található.
A részletes lépésekért lásd: Azure-szerepkörök hozzárendelése az Azure Portal használatával.
Megjegyzés:
Ezt a lépést csak tulajdonosi jogosultsággal rendelkező tagok hajthatják végre. A különböző beépített Azure-szerepkörök esetében tekintse meg az Azure beépített szerepköröket.
Konfigurálja a kiszolgáló blobnaplózási szabályzatáta storageAccountAccessKey megadása nélkül:
Mintakérés
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-previewA kérés tartalma
{ "properties": { "state": "Enabled", "storageEndpoint": "https://<storage account>.blob.core.windows.net" } }
Az Azure PowerShell használata
- Adatbázis-naplózási szabályzat létrehozása vagy frissítése (Set-AzSqlDatabaseAudit)
- Kiszolgálónaplózási szabályzat létrehozása vagy frissítése (Set-AzSqlServerAudit)
Azure Resource Manager-sablon használata
A naplózást úgy konfigurálhatja, hogy adatbázis-eseményeket írjon egy virtuális hálózat és tűzfal mögötti tárfiókra az Azure Resource Manager-sablonnal , ahogyan az alábbi példában látható:
Fontos
A virtuális hálózat és tűzfal mögötti tárfiók használatához az isStorageBehindVnet paramétert igaz értékre kell állítania
Megjegyzés:
A csatolt minta egy külső nyilvános adattárban található, és "az adott módon" van megadva, garancia nélkül, és a Microsoft támogatási programja/szolgáltatása nem támogatja.