Naplók és jelentések elemzése naplózással
A következőre vonatkozik: Azure SQL DatabaseAzure Synapse Analytics
Ez a cikk áttekintést nyújt az auditnaplók elemzéséről az Azure SQL Database és az Azure Synapse Analytics naplózásával. A naplózással elemezheti a következő helyen tárolt naplókat:
- Log Analytics
- Event Hubs
- Azure-tárhely
Naplók elemzése a Log Analytics használatával
Ha úgy döntött, hogy naplókat ír a Log Analyticsbe:
Használja az Azure Portalt.
Lépjen a megfelelő adatbázis-erőforrásra.
Válassza az adatbázis Naplózás oldalának a tetején található Naplók megtekintése elemet.
A naplók kétféleképpen tekinthetők meg:
Ha a Naplóelemzés lehetőséget választja a Naplórekordok lap tetején, megnyílik a naplónézet a Log Analytics-munkaterületen, ahol testre szabhatja az időtartományt és a keresési lekérdezést.
Ha az Irányítópult megtekintése lehetőséget választja a Naplózási rekordok lap tetején, megnyit egy irányítópultot, amely naplóadatokat jelenít meg, ahol részletezheti a Security Insightst vagy a bizalmas adatokhoz való hozzáférést. Ezt az irányítópultot úgy tervezték, hogy biztonsági megállapításokat szerezzen az adatokról. Testre is szabhatja az időtartományt és a keresési lekérdezést.
Az auditnaplókat a Log Analytics menüből is elérheti. Nyissa meg a Log Analytics-munkaterületet az Általános szakaszban, és válassza a Naplók lehetőséget. Kezdje egy egyszerű lekérdezéssel, például: keressen az "SQLSecurityAuditEvents" kifejezésre az auditnaplók megtekintéséhez. Innen az Azure Monitor-naplók használatával speciális kereséseket is futtathat az auditnapló adatain. Az Azure Monitor-naplók valós idejű üzemeltetési elemzéseket nyújtanak integrált keresési és egyéni irányítópultok használatával, így több millió rekordot elemezhet az összes számítási feladat és kiszolgáló között. Az Azure Monitor-naplók keresési nyelvéről és parancsairól további információt az Azure Monitor naplóinak keresési referenciájában talál.
Naplók elemzése az Event Hubs használatával
Ha úgy döntött, hogy naplókat ír az Event Hubsba:
- Az Event Hubs naplózási naplóinak felhasználásához be kell állítania egy streamet az események felhasználásához és egy célba való írásához. További információkért tekintse meg az Azure Event Hubs dokumentációját.
- Az Event Hubs naplózási naplói az Apache Avro-események törzsében vannak rögzítve, és JSON-formázással, UTF-8 kódolással vannak tárolva. A naplók olvasásához Avro-eszközöket vagy a formátum feldolgozására képes hasonló eszközöket használhat.
Naplók elemzése naplókkal egy Azure Storage-fiókban
Ha úgy döntött, hogy naplókat ír egy Azure Storage-fiókba, a naplók megtekintéséhez több módszer is használható:
A naplózási naplók a beállítás során kiválasztott fiókban vannak összesítve. Az auditnaplókat egy olyan eszközzel vizsgálhatja meg, mint az Azure Storage Explorer. Az Azure Storage-ban a naplók blobfájlok gyűjteményeként vannak mentve egy sqldbauditlogs nevű tárolóban. A tárolási mappák hierarchiájáról, az elnevezési konvenciókról és a naplóformátumról az SQL Database naplózási naplóformátumában talál további információt.
Használja az Azure Portalt.
Nyissa meg a megfelelő adatbázis-erőforrást.
Válassza az adatbázis Naplózás oldalának a tetején található Naplók megtekintése elemet.
Megnyílik a Naplórekordok lap, és megtekintheti a naplókat.
Az egyes dátumokat a Rekordok naplózása lap tetején található Szűrés gombra kattintva tekintheti meg.
A kiszolgálói naplózási szabályzat és az adatbázis-naplózási szabályzat által létrehozott naplózási rekordok között a naplózási forrást összesítő beállítással válthat.
A rendszerfüggvény
sys.fn_get_audit_file
(T-SQL) használatával táblázatos formátumban adja vissza a naplóadatokat. A függvény használatáról további információt a sys.fn_get_audit_file talál.A naplózási fájlok egyesítése az SQL Server Management Studióban (az SSMS 17-től kezdve):
Az SSMS menüben válassza a Fájlegyesítési>naplózási fájlok megnyitása>lehetőséget.
Megnyílik a Naplózási fájlok hozzáadása párbeszédpanel. Válassza a Hozzáadás lehetőséget, ha meg szeretné adni, hogy egyesítse-e a naplózási fájlokat egy helyi lemezről, vagy importálja őket az Azure Storage-ból. Meg kell adnia az Azure Storage adatait és fiókkulcsát.
Az összes egyesítendő fájl hozzáadása után az OK gombra kattintva fejezheti be az egyesítési műveletet.
Az egyesített fájl megnyílik az SSMS-ben, ahol megtekintheti és elemezheti, valamint exportálhatja egy XEL- vagy CSV-fájlba vagy egy táblába.
Használja a Power BI-t. Az auditnaplók adatait a Power BI-ban tekintheti meg és elemezheti. További információ és letölthető sablon elérése: Auditnapló-adatok elemzése a Power BI-ban.
Naplófájlokat tölthet le az Azure Storage-blobtárolóból a portálon keresztül vagy egy olyan eszközzel, mint az Azure Storage Explorer.
- Miután letöltött egy naplófájlt helyileg, kattintson duplán a fájlra a naplók SSMS-ben való megnyitásához, megtekintéséhez és elemzéséhez.
- Egyszerre több fájlt is letölthet az Azure Storage Explorerben. Ehhez kattintson a jobb gombbal egy adott almappára, és válassza a Mentés másként lehetőséget a helyi mappába való mentéshez.
További módszerek:
- Miután letöltött több fájlt vagy egy naplófájlokat tartalmazó almappát, helyileg egyesítheti őket az SSMS Merge Audit Files korábban ismertetett utasításainak megfelelően.
- Blobnaplózási naplók programozott megtekintése: Bővített események fájljainak lekérdezése a PowerShell használatával.
Kapcsolódó információk
- Naplózás áttekintése
- Az Azure SQL Auditing újdonságai az adathozzáadási epizódban
- Felügyelt SQL-példány naplózása
- Naplózás az SQL Serverhez
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: