Kezdje el az Azure SQL Managed Instance auditálását.

A következőre vonatkozik: :Azure SQL Managed Instance

Ebből a cikkből megtudhatja, hogyan konfigurálhatja a auditingot SQL Server Audittal a Azure SQL Managed Instance. A naplózás nyomon követi az adatbázis-eseményeket, és egy naplóba írja őket a Azure tárfiókjában.

Az instansz auditálásának beállítása az Azure Storage-ra

A következő szakasz a felügyelt SQL-példány naplózásának konfigurációját ismerteti.

1. Menjen a Azure portálra.

2. Hozzon létre egy Azure Storage konténert, ahol a naplók tárolásra kerülnek.

   1. Lépjen a Azure tárfiókra, ahol tárolni szeretné az auditnaplókat.

      • Használjon egy tárfiókot ugyanabban a régióban, mint a felügyelt SQL-példány, így elkerülheti a régiók közötti olvasást/írást.
      • Ha a tárfiók-fiók egy virtuális hálózat vagy tűzfal mögött található, tekintse meg az Engedélyezze a hozzáférést egy virtuális hálózatról dokumentumot.
      • Ha a megőrzési időtartamot 0-ról (korlátlan megőrzés) bármely más értékre módosítja, a megőrzés csak a megőrzési érték módosítása után írt naplókra lesz érvényes. A korlátlan megőrzési idő alatt írt naplók megmaradnak, még a megőrzés engedélyezése után is.

   2. A tárfiókban nyissa meg az Áttekintés lehetőséget, és válassza a Blobok lehetőséget.

      

   3. A felső menüben válassza a + Tároló lehetőséget egy új tároló létrehozásához.

      

   4. Adjon meg egy tárolónevet, állítsa be a nyilvános hozzáférési szintetprivátra, majd kattintson az OK gombra.

      

   Fontos

   A kiszolgáló- vagy adatbázisszintű naplózási eseményekhez módosíthatatlan naplótárolót konfigurálni kívánó ügyfeleknek a a Azure Storage által biztosított szerkezeteket kell követniük. (Győződjön meg arról, hogy a nem módosítható blobtároló konfigurálásakor a További hozzáfűzések engedélyezése lehetőséget választja.)

3. Miután létrehozta az auditnaplók tárolóját, kétféleképpen konfigurálhatja azt a naplók célként: A T-SQL vagy a SQL Server Management Studio (SSMS) felhasználói felületének használata:

• Blob Storage konfigurálása naplózási naplókhoz a T-SQL használatával:

  1. A tárolók listájában válassza ki az újonnan létrehozott tárolót, majd válassza a Tároló tulajdonságai lehetőséget.

     

  2. Másolja ki a tároló URL-címét a másolás ikon kiválasztásával, és mentse az URL-címet (például a Jegyzettömbben) későbbi használatra. A tároló URL formátumának ilyen https://<StorageName>.blob.core.windows.net/<ContainerName> kell lennie.

     

  3. Hozzon létre egy Azure Storage SAS-jogkivonatot, amely hozzáférést biztosít a tárfiókhoz felügyelt SQL-példány naplózásához:

     • Lépjen arra a Azure tárfiókra, ahol az előző lépésben létrehozta a tárolót.

     • Válassza a Megosztott hozzáférésű jogosultságkód lehetőséget a Tárolási beállítások menüben.

       

     • Konfigurálja az SAS-t az alábbiak szerint:

       • Engedélyezett szolgáltatások: Blob

       • Kezdési dátum: az időzónával kapcsolatos problémák elkerülése érdekében használja a tegnapi dátumot

       • Befejezési dátum: válassza ki azt a dátumot, amelyen ez az SAS-jogkivonat lejár

         Megjegyzés:

         Az ellenőrzési hibák elkerülése érdekében a lejáratkor újítsa meg a jogkivonatot.

       • Válassza az SAS létrehozása lehetőséget.

         

     • Az SAS-jogkivonat alul jelenik meg. Másolja ki a jogkivonatot a másolás ikon kiválasztásával, és mentse (például a Jegyzettömbben) későbbi használatra.

       

       Fontos

       Távolítsa el a "?" kérdőjel karaktert a token elejéről.

  4. Csatlakozzon a felügyelt SQL-példányhoz SQL Server Management Studio vagy bármely más támogatott eszközzel.

  5. Hajtsa végre a következő T-SQL-utasítást egy új hitelesítő adat létrehozásához az előző lépésekben létrehozott tároló URL-címével és SAS-jogkivonatával:

     CREATE CREDENTIAL [<container_url>]
     WITH IDENTITY='SHARED ACCESS SIGNATURE',
     SECRET = '<SAS KEY>'
     GO
     

  6. Hajtsa végre a következő T-SQL-utasítást egy új kiszolgálónapló létrehozásához (válassza ki a saját naplózási nevét, és használja az előző lépésekben létrehozott tároló URL-címét). Ha nincs megadva, az RETENTION_DAYS alapértelmezett érték 0 (korlátlan megőrzés):

     CREATE SERVER AUDIT [<your_audit_name>]
     TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
     GO
     

  7. Folytassa egy kiszolgálói naplózási specifikáció vagy adatbázis-naplózási specifikáció létrehozásával.

• Blobtár konfigurálása naplókhoz az SQL Server Management Studio 18 és újabb verzióival:

  1. Csatlakozzon a felügyelt SQL-példányhoz a SQL Server Management Studio felhasználói felületen.

  2. Bontsa ki a Object Explorer gyökérjegyzetét.

  3. Bontsa ki a Biztonsági csomópontot, kattintson a jobb gombbal a Naplózás csomópontra , és válassza az Új naplózás lehetőséget:

     

  4. Győződjön meg arról, hogy az URL-cím ki van jelölve az ellenőrzési célhelyen, és válassza a Tallózás-t.

     

  5. (Nem kötelező) Jelentkezzen be Azure fiókjába:

     

  6. Válasszon ki egy előfizetést, tárfiókot és blobtárolót a legördülő listából, vagy hozzon létre saját tárolót a Létrehozás gombra kattintva. Ha végzett, válassza az OK elemet:

     

  7. Válassza az OK gombot a Naplózás létrehozása párbeszédpanelen.

     Megjegyzés:

     Ha SQL Server Management Studio felhasználói felületet használ egy naplózás létrehozásához, a rendszer automatikusan létrehoz egy SAS-kulccsal rendelkező hitelesítő adatokat a tárolóhoz.

Miután a blobtárolót célként konfigurálta a naplófájlokhoz, hozzon létre és engedélyezze a kiszolgálói audit specifikációt vagy az adatbázis-audit specifikációt, ahogyan azt az SQL Server esetében tenné.

• Kiszolgálói naplózási specifikáció létrehozása – T-SQL-útmutató
• Adatbázis-naplózási specifikáció létrehozása – T-SQL-útmutató

A kiszolgálói naplózás engedélyezéséhez használja a következő T-SQL-utasítást:

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE = ON);
GO

További információ:

• A Azure SQL Managed Instance és a SQL Server
• SZERVER ELLENŐRZÉS LÉTREHOZÁSA
• ALTER SERVER AUDIT

Microsoft Support műveletek naplózása

A SQL Managed Instance Microsoft Support műveleteinek naplózása lehetővé teszi Microsoft support mérnökök műveleteinek naplózását, amikor egy támogatási kérés során hozzá kell férniük a kiszolgálóhoz. Ennek a funkciónak a használata a naplózással együtt nagyobb átláthatóságot tesz lehetővé a munkaerő számára, és lehetővé teszi az anomáliadetektálást, trendvizualizációt és adatveszteség-megelőzést.

A Microsoft támogatási műveletek naplózásának engedélyezéséhez lépjen a Create Audit elemre a Security>Audit területen, és válassza ki a Microsoft támogatási műveleteket.

Megjegyzés:

Külön szerverauditot kell létrehoznia a Microsoft műveletek ellenőrzéséhez. Ha engedélyezi ezt a jelölőnégyzetet egy meglévő audithoz, akkor felülírja az auditot, és csak a támogatási műveleteket jegyzi fel.

Állítsa be a kiszolgálója auditálását az Event Hubs vagy az Azure Monitor naplókhoz.

A felügyelt SQL-példány ellenőrzési naplói elküldhetők az Azure Event Hubsba vagy az Azure Monitor naplókba. Ez a szakasz a konfiguráció létrehozásának módját ismerteti:

1. Navigáljon a Azure portálon a felügyelt SQL-példányra.

2. Válassza a Diagnosztikai beállítások lehetőséget.

3. Válassza a Diagnosztika bekapcsolása lehetőséget. Ha a diagnosztika már engedélyezve van, akkor +Diagnosztikai beállítás hozzáadása elérhető.

4. Válassza az SQLSecurityAuditEvents lehetőséget a naplók listájában.

5. Ha Microsoft támogatási műveleteket konfigurál, a naplók listájában válassza a DevOps operations Audit Logs lehetőséget.

6. Válassza ki a naplózási események célhelyét: Event Hubs, Azure Monitor naplók vagy mindkettő. Minden célhoz konfigurálja a szükséges paramétereket (például Log Analytics munkaterületet).

7. Válassza az Mentésgombot.

   

8. Csatlakozzon a felügyelt SQL-példányhoz SQL Server Management Studio (SSMS) vagy bármely más támogatott ügyfél használatával.

9. Kiszolgálói naplózás létrehozásához hajtsa végre a következő T-SQL-utasítást:

   CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
   GO
   

10. Hozzon létre és engedélyezze a kiszolgálónaplózási vagy adatbázis-naplózási specifikációt úgy, mint az SQL Server esetében.

    • A kiszolgáló naplózási specifikációjának T-SQL-útmutatójának létrehozása
    • Adatbázis-naplózási specifikáció létrehozása – T-SQL-útmutató

11. Engedélyezze a 8. lépésben létrehozott kiszolgálói naplózást:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Auditálás beállítása T-SQL használatával

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Ellenőrzési naplók felhasználása

A Azure Storage tárolt naplók felhasználása

Számos módszer van a blob ellenőrzési naplók megtekintésére.

• A rendszerfüggvény sys.fn_get_audit_file (T-SQL) használatával táblázatos formátumban adja vissza a naplóadatokat.

• Az auditnaplókat egy olyan eszközzel vizsgálhatja meg, mint a Azure Storage Explorer. Az Azure Storage a naplók blobfájlok gyűjteményeként vannak mentve egy tárolóban, amely az auditnaplók tárolására lett meghatározva. A tármappa hierarchiájáról, az elnevezési konvenciókról és a naplóformátumról további információt a Blob Audit Log Format Reference című témakörben talál.

• A naplófogyasztási módok teljes listájáért tekintse meg a Azure SQL Database audit naplózásának kezdete című témakört.

Az Event Hubsban tárolt naplók felhasználása

Az Event Hubs naplók adatainak fogyasztásához be kell állítania egy streamet az események fogyasztásához és azok írásához egy célhelyre. További információt a Azure Event Hubs dokumentációjában talál.

A Azure Monitor naplókban tárolt naplók felhasználása és elemzése

Ha a naplók Azure Monitor naplókba vannak írva, azok elérhetők a Log Analytics munkaterületen, ahol speciális kereséseket futtathat az auditadatokon. Kiindulópontként keresse meg a Log Analytics munkaterületet. Az Általános szakaszban válassza a Naplók lehetőséget, és adjon meg egy alapszintű lekérdezést, például: search "SQLSecurityAuditEvents" a naplók megtekintéséhez.

Azure Monitor naplók valós idejű működési elemzéseket nyújtanak az integrált keresési és egyéni irányítópultok használatával, így több millió rekordot elemezhet az összes számítási feladat és kiszolgáló között. A Azure Monitor naplók keresési nyelvéről és parancsairól további információt a Azure Monitor naplók keresési referenciájában talál.

Kapcsolódó tartalom

• SQL Server auditálás az Azure SQL Managed Instance
• Kiszolgálói naplózás létrehozása
• Kiszolgálónaplózási és adatbázis-naplózási specifikáció létrehozása
• A SQL Server audit napló vizsgálata
• Írja az SQL Server naplózási eseményeket a Biztonsági naplóba