Naplózás írása egy tárfiókba a virtuális hálózat és a tűzfal mögött
A következőre vonatkozik: Azure SQL DatabaseAzure Synapse Analytics
Az Azure SQL Database és az Azure Synapse Analytics naplózása támogatja az adatbázis-események írását egy Azure Storage-fiókba egy virtuális hálózat és tűzfal mögött.
Ez a cikk az Azure SQL Database és az Azure Storage-fiók konfigurálásának két módját ismerteti ehhez a beállításhoz. Az első az Azure Portalt, a második a REST-et használja.
Background
Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat számos Típusú Azure-erőforrást tesz lehetővé, például azure-beli virtuális gépeket (VM) az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációhoz. A virtuális hálózat hasonló a saját adatközpontja hagyományos hálózatához, de az Azure-infrastruktúra további előnyeit, például a skálázást, a rendelkezésre állást és az elkülönítést is magában hordozza.
A virtuális hálózatokra vonatkozó fogalmakról, az ajánlott eljárásokról és még sok másról további információt az Azure Virtual Network ismertetése nyújt.
A virtuális hálózat létrehozásával kapcsolatos további információkért tekintse meg a rövid útmutatót: Virtuális hálózat létrehozása az Azure Portal használatával.
Előfeltételek
A virtuális hálózat vagy tűzfal mögötti tárfiókba való írás naplózásához a következő előfeltételek szükségesek:
- Általános célú v2-tárfiók. Ha általános célú v1- vagy blobtároló-fiókkal rendelkezik, frissítsen egy általános célú v2-tárfiókra. További információ: Tárfiókok típusai.
- A BlockBlobStorage prémium szintű tárhelye támogatott
- A tárfióknak ugyanazon a bérlőn és a logikai SQL-kiszolgálóval azonos helyen kell lennie (nem baj, ha különböző előfizetéseken van).
- Az Azure Storage-fiókhoz szükséges
Allow trusted Microsoft services to access this storage account
. Ezt állítsa be a tárfiók tűzfalai és virtuális hálózatai között. - A kijelölt tárfiókhoz engedély szükséges
Microsoft.Authorization/roleAssignments/write
. For more information, see Azure built-in roles.
Megjegyzés:
Ha a tárfiókba való naplózás már engedélyezve van egy kiszolgálón/adatbázison, és ha a céltárfiók tűzfal mögött van áthelyezve, akkor elveszíti az írási hozzáférést a tárfiókhoz, és a naplók nem lesznek megírva hozzá. Ahhoz, hogy a naplózás működjön, újra meg kell mentenünk a naplózási beállításokat a portálról.
Konfigurálás az Azure Portalon
CsatlakozásAzure Portal az előfizetésével. Lépjen az erőforráscsoportra és a kiszolgálóra.
Kattintson a Naplózás gombra a Biztonság fejléc alatt. Válassza a Be lehetőséget.
Válassza a Storage lehetőséget. Válassza ki azt a tárfiókot, ahol a naplók mentésre kerülnek. A tárfióknak meg kell felelnie az előfeltételekben felsorolt követelményeknek.
Tárterület részleteinek megnyitása
Megjegyzés:
Ha a kijelölt Tárfiók a virtuális hálózat mögött található, a következő üzenet jelenik meg:
You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.
Ha nem látja ezt az üzenetet, akkor a tárfiók nem áll virtuális hálózat mögött.
Adja meg a megőrzési időszak napjainak számát. Ezután kattintson az OK gombra. A megőrzési időnél régebbi naplók törlődnek.
Válassza a Mentés a naplózási beállítások között lehetőséget.
Sikeresen konfigurálta a naplózást úgy, hogy vNet vagy tűzfal mögötti tárfiókba írjon.
Konfigurálás REST-parancsokkal
Az Azure Portal használata helyett REST-parancsokkal konfigurálhatja a naplózást úgy, hogy adatbázis-eseményeket írjon egy virtuális hálózat és tűzfal mögötti tárfiókon.
Az ebben a szakaszban szereplő példaszkriptekhez a szkript futtatásához frissítenie kell a szkriptet. Cserélje le a következő értékeket a szkriptekben:
Mintaérték | Minta leírása |
---|---|
<subscriptionId> |
Azure-előfizetés azonosítója |
<resource group> |
Erőforráscsoport |
<logical SQL Server> |
Kiszolgálónév |
<administrator login> |
Rendszergazdai fiók |
<complex password> |
Összetett jelszó a rendszergazdai fiókhoz |
Ha úgy szeretné konfigurálni az SQL Auditot, hogy eseményeket írjon egy virtuális hálózat vagy tűzfal mögötti tárfiókba:
Regisztrálja a kiszolgálót a Microsoft Entra-azonosítóval (korábban Azure Active Directory). Használja a PowerShellt vagy a REST API-t.
PowerShell
Connect-AzAccount Select-AzSubscription -SubscriptionId <subscriptionId> Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
Mintakérés
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
Kérés törzse
{ "identity": { "type": "SystemAssigned", }, "properties": { "fullyQualifiedDomainName": "<azure server name>.database.windows.net", "administratorLogin": "<administrator login>", "administratorLoginPassword": "<complex password>", "version": "12.0", "state": "Ready" } }
Rendelje hozzá a Storage Blob Data Contributor szerepkört ahhoz a kiszolgálóhoz, amely az előző lépésben regisztrálta a Microsoft Entra-azonosítóval regisztrált adatbázist.
A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Megjegyzés:
Ezt a lépést csak tulajdonosi jogosultsággal rendelkező tagok hajthatják végre. A különböző beépített Azure-szerepkörök esetében tekintse meg az Azure beépített szerepköröket.
Konfigurálja a kiszolgáló blobnaplózási szabályzatát a storageAccountAccessKey megadása nélkül:
Mintakérés
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
Kérés törzse
{ "properties": { "state": "Enabled", "storageEndpoint": "https://<storage account>.blob.core.windows.net" } }
Az Azure PowerShell használata
- Adatbázis-naplózási szabályzat létrehozása vagy frissítése (Set-AzSqlDatabaseAudit)
- Kiszolgálónaplózási szabályzat létrehozása vagy frissítése (Set-AzSqlServerAudit)
Az Azure Resource Manager-sablonok használata
A naplózást úgy konfigurálhatja, hogy adatbázis-eseményeket írjon egy virtuális hálózat és tűzfal mögötti tárfiókra az Azure Resource Manager-sablonnal, ahogyan az alábbi példában látható:
Fontos
A virtuális hálózat és tűzfal mögötti tárfiók használatához az isStorageBehindVnet paramétert igaz értékre kell állítania
Megjegyzés:
A csatolt minta egy külső nyilvános adattárban található, és "az adott módon" van megadva, garancia nélkül, és a Microsoft támogatási programja/szolgáltatása nem támogatja.