Naplók és jelentések elemzése naplózással

  • Cikk

A következőre vonatkozik: Azure SQL DatabaseAzure Synapse Analytics

Ez a cikk áttekintést nyújt az auditnaplók elemzéséről az Azure SQL Database és az Azure Synapse Analytics naplózásával. A naplózással elemezheti a következő helyen tárolt naplókat:

  • Log Analytics
  • Event Hubs
  • Azure-tárhely

Naplók elemzése a Log Analytics használatával

Ha úgy döntött, hogy naplókat ír a Log Analyticsbe:

  1. Használja az Azure Portalt.

  2. Lépjen a megfelelő adatbázis-erőforrásra.

  3. Válassza az adatbázis Naplózás oldalának a tetején található Naplók megtekintése elemet.

    Screenshot of the Auditing menu in the Azure portal where you can select the View audit logs option.

A naplók kétféleképpen tekinthetők meg:

  • Ha a Naplóelemzés lehetőséget választja a Naplórekordok lap tetején, megnyílik a naplónézet a Log Analytics-munkaterületen, ahol testre szabhatja az időtartományt és a keresési lekérdezést.

    Screenshot of selecting Log Analytics in the Audit records menu in the Azure portal.

  • Ha az Irányítópult megtekintése lehetőséget választja a Naplózási rekordok lap tetején, megnyit egy irányítópultot, amely naplóadatokat jelenít meg, ahol részletezheti a Security Insightst vagy a bizalmas adatokhoz való hozzáférést. Ezt az irányítópultot úgy tervezték, hogy biztonsági megállapításokat szerezzen az adatokról. Testre is szabhatja az időtartományt és a keresési lekérdezést.

    Screenshot of selecting view dashboard in the Audit records menu in the Azure portal.

    Screenshot of the Auditing dashboard.

  • Az auditnaplókat a Log Analytics menüből is elérheti. Nyissa meg a Log Analytics-munkaterületet az Általános szakaszban, és válassza a Naplók lehetőséget. Kezdje egy egyszerű lekérdezéssel, például: keressen az "SQLSecurityAuditEvents" kifejezésre az auditnaplók megtekintéséhez. Innen az Azure Monitor-naplók használatával speciális kereséseket is futtathat az auditnapló adatain. Az Azure Monitor-naplók valós idejű üzemeltetési elemzéseket nyújtanak integrált keresési és egyéni irányítópultok használatával, így több millió rekordot elemezhet az összes számítási feladat és kiszolgáló között. Az Azure Monitor-naplók keresési nyelvéről és parancsairól további információt az Azure Monitor naplóinak keresési referenciájában talál.

Naplók elemzése az Event Hubs használatával

Ha úgy döntött, hogy naplókat ír az Event Hubsba:

  • Az Event Hubs naplózási naplóinak felhasználásához be kell állítania egy streamet az események felhasználásához és egy célba való írásához. További információkért tekintse meg az Azure Event Hubs dokumentációját.
  • Az Event Hubs naplózási naplói az Apache Avro-események törzsében vannak rögzítve, és JSON-formázással, UTF-8 kódolással vannak tárolva. A naplók olvasásához Avro-eszközöket vagy a formátum feldolgozására képes hasonló eszközöket használhat.

Naplók elemzése naplókkal egy Azure Storage-fiókban

Ha úgy döntött, hogy naplókat ír egy Azure Storage-fiókba, a naplók megtekintéséhez több módszer is használható:

  • A naplózási naplók a beállítás során kiválasztott fiókban vannak összesítve. Az auditnaplókat egy olyan eszközzel vizsgálhatja meg, mint az Azure Storage Explorer. Az Azure Storage-ban a naplók blobfájlok gyűjteményeként vannak mentve egy sqldbauditlogs nevű tárolóban. A tárolási mappák hierarchiájáról, az elnevezési konvenciókról és a naplóformátumról az SQL Database naplózási naplóformátumában talál további információt.

    1. Használja az Azure Portalt.

    2. Nyissa meg a megfelelő adatbázis-erőforrást.

    3. Válassza az adatbázis Naplózás oldalának a tetején található Naplók megtekintése elemet.

      Screenshot showing how to view audit logs.

      Megnyílik a Naplórekordok lap, és megtekintheti a naplókat.

    4. Az egyes dátumokat a Rekordok naplózása lap tetején található Szűrés gombra kattintva tekintheti meg.

    5. A kiszolgálói naplózási szabályzat és az adatbázis-naplózási szabályzat által létrehozott naplózási rekordok között a naplózási forrást összesítő beállítással válthat.

      Screenshot that shows the options for viewing the audit records.

  • A rendszerfüggvény sys.fn_get_audit_file (T-SQL) használatával táblázatos formátumban adja vissza a naplóadatokat. A függvény használatáról további információt a sys.fn_get_audit_file talál.

  • A naplózási fájlok egyesítése az SQL Server Management Studióban (az SSMS 17-től kezdve):

    1. Az SSMS menüben válassza a Fájlegyesítési>naplózási fájlok megnyitása>lehetőséget.

      Screenshot that shows the Merge Audit Files menu option.

    2. Megnyílik a Naplózási fájlok hozzáadása párbeszédpanel. Válassza a Hozzáadás lehetőséget, ha meg szeretné adni, hogy egyesítse-e a naplózási fájlokat egy helyi lemezről, vagy importálja őket az Azure Storage-ból. Meg kell adnia az Azure Storage adatait és fiókkulcsát.

    3. Az összes egyesítendő fájl hozzáadása után az OK gombra kattintva fejezheti be az egyesítési műveletet.

    4. Az egyesített fájl megnyílik az SSMS-ben, ahol megtekintheti és elemezheti, valamint exportálhatja egy XEL- vagy CSV-fájlba vagy egy táblába.

  • Használja a Power BI-t. Az auditnaplók adatait a Power BI-ban tekintheti meg és elemezheti. További információ és letölthető sablon elérése: Auditnapló-adatok elemzése a Power BI-ban.

  • Naplófájlokat tölthet le az Azure Storage-blobtárolóból a portálon keresztül vagy egy olyan eszközzel, mint az Azure Storage Explorer.

    • Miután letöltött egy naplófájlt helyileg, kattintson duplán a fájlra a naplók SSMS-ben való megnyitásához, megtekintéséhez és elemzéséhez.
    • Egyszerre több fájlt is letölthet az Azure Storage Explorerben. Ehhez kattintson a jobb gombbal egy adott almappára, és válassza a Mentés másként lehetőséget a helyi mappába való mentéshez.

  • További módszerek:

    • Miután letöltött több fájlt vagy egy naplófájlokat tartalmazó almappát, helyileg egyesítheti őket az SSMS Merge Audit Files korábban ismertetett utasításainak megfelelően.
    • Blobnaplózási naplók programozott megtekintése: Bővített események fájljainak lekérdezése a PowerShell használatával.

Kapcsolódó információk