A felügyelt Azure SQL-példányok naplózásának első lépései

A következőkre vonatkozik:Azure SQL Managed Instance

A felügyelt Azure SQL-példány naplózása nyomon követi az adatbázis-eseményeket, és egy naplóba írja őket az Azure Storage-fiókjában.

Auditálás is:

• Segít a jogszabályi megfelelőség fenntartásában, az adatbázis-tevékenységek megértésében, valamint olyan eltérések és rendellenességek megismerésében, amelyek üzleti aggodalmakat vagy feltételezett biztonsági jogsértéseket jelezhetnek.
• Engedélyezi és megkönnyíti a megfelelőségi szabványok betartását, bár nem garantálja a megfelelőséget. További információt a Microsoft Azure Adatvédelmi központban talál, ahol megtalálhatja a felügyelt SQL-példányok megfelelőségi tanúsítványainak legfrissebb listáját.

Fontos

A felügyelt Azure SQL-példány naplózása a rendelkezésre álláshoz és a teljesítményhez van optimalizálva. A nagy tevékenység vagy a magas hálózati terhelés során az Azure SQL Managed Instance lehetővé teszi a műveletek folytatását, és előfordulhat, hogy nem rögzít néhány naplózott eseményt.

A példány naplózásának beállítása az Azure Storage-ban

A következő szakasz a felügyelt SQL-példány naplózásának konfigurációját ismerteti.

1. Nyissa meg az Azure Portalt.

2. Hozzon létre egy Azure Storage-tárolót , amelyben naplók vannak tárolva.

   1. Lépjen arra az Azure Storage-fiókra, ahol tárolni szeretné az auditnaplókat.

      • Használjon egy tárfiókot ugyanabban a régióban, mint a felügyelt SQL-példány, így elkerülheti a régiók közötti olvasást/írást.
      • Ha a tárfiók virtuális hálózat vagy tűzfal mögött található, olvassa el a Hozzáférés engedélyezése virtuális hálózatról című témakört.
      • Ha a megőrzési időtartamot 0-ról (korlátlan megőrzés) bármely más értékre módosítja, a megőrzés csak a megőrzési érték módosítása után írt naplókra lesz érvényes. A korlátlan megőrzési idő alatt írt naplók megmaradnak, még a megőrzés engedélyezése után is.

   2. A tárfiókban nyissa meg az Áttekintés lehetőséget, és válassza a Blobok lehetőséget.

      

   3. A felső menüben válassza a + Tároló lehetőséget egy új tároló létrehozásához.

      

   4. Adjon meg egy tárolónevet, állítsa be a nyilvános hozzáférési szintetprivátra, majd kattintson az OK gombra.

      

   Fontos

   Azoknak az ügyfeleknek, akik nem módosítható naplótárolót szeretnének konfigurálni a kiszolgálói vagy adatbázisszintű naplózási eseményeikhez, az Azure Storage utasításait kell követniük. (Győződjön meg arról, hogy a nem módosítható blobtároló konfigurálásakor a További hozzáfűzések engedélyezése lehetőséget választja.)

3. Miután létrehozta a naplók tárolóját, kétféleképpen konfigurálhatja azt a naplók célként: a T-SQL vagyaz SQL Server Management Studio (SSMS) felhasználói felületének használatával:

• Blob Storage konfigurálása naplózási naplókhoz a T-SQL használatával:

  1. A tárolók listájában válassza ki az újonnan létrehozott tárolót, majd válassza a Tároló tulajdonságai lehetőséget.

     

  2. Másolja ki a tároló URL-címét a másolás ikon kiválasztásával, és mentse az URL-címet (például a Jegyzettömbben) későbbi használatra. A tároló URL-formátumának https://<StorageName>.blob.core.windows.net/<ContainerName>

     

  3. Hozzon létre egy Azure Storage SAS-jogkivonatot , amely hozzáférést biztosít a felügyelt SQL-példányok számára a tárfiókhoz:

     • Lépjen arra az Azure Storage-fiókra, ahol az előző lépésben létrehozta a tárolót.

     • Válassza a Megosztott hozzáférésű jogosultságkód lehetőséget a Tárolási beállítások menüben.

       

     • Konfigurálja az SAS-t az alábbiak szerint:

       • Engedélyezett szolgáltatások: Blob

       • Kezdési dátum: az időzónával kapcsolatos problémák elkerülése érdekében használja a tegnapi dátumot

       • Befejezési dátum: válassza ki azt a dátumot, amelyen ez az SAS-jogkivonat lejár

         Megjegyzés:

         A naplózási hibák elkerülése érdekében a lejáratkor újítsa meg a jogkivonatot.

       • Válassza az SAS létrehozása lehetőséget.

         

     • Az SAS-jogkivonat alul jelenik meg. Másolja a jogkivonatot a másolás ikonra kattintva, és mentse (például a Jegyzettömbben) későbbi használatra.

       

       Fontos

       Távolítsa el a kérdőjel (?) karaktert a jogkivonat elejéről.

  4. Csatlakozzon a felügyelt SQL-példányhoz az SQL Server Management Studióval vagy bármely más támogatott eszközzel.

  5. Hajtsa végre a következő T-SQL-utasítást egy új hitelesítő adat létrehozásához az előző lépésekben létrehozott tároló URL-címével és SAS-jogkivonatával:

     CREATE CREDENTIAL [<container_url>]
     WITH IDENTITY='SHARED ACCESS SIGNATURE',
     SECRET = '<SAS KEY>'
     GO
     

  6. Hajtsa végre a következő T-SQL-utasítást egy új kiszolgálónapló létrehozásához (válassza ki a saját naplózási nevét, és használja az előző lépésekben létrehozott tároló URL-címét). Ha nincs megadva, az RETENTION_DAYS alapértelmezett érték 0 (korlátlan megőrzés):

     CREATE SERVER AUDIT [<your_audit_name>]
     TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
     GO
     

  7. Folytassa egy kiszolgálói naplózási specifikáció vagy adatbázis-naplózási specifikáció létrehozásával.

• Blob Storage konfigurálása naplózási naplókhoz az SQL Server Management Studio 18 és újabb verzióival:

  1. Csatlakozzon a felügyelt SQL-példányhoz az SQL Server Management Studio felhasználói felületén.

  2. Bontsa ki az Object Explorer gyökérjegyzetét.

  3. Bontsa ki a Biztonsági csomópontot, kattintson a jobb gombbal a Naplózás csomópontra , és válassza az Új naplózás lehetőséget:

     

  4. Győződjön meg arról, hogy az URL-cím ki van jelölve a naplózási célhelyen , és válassza a Tallózás lehetőséget:

     

  5. (Nem kötelező) Jelentkezzen be az Azure-fiókjába:

     

  6. Válasszon ki egy előfizetést, tárfiókot és blobtárolót a legördülő listából, vagy hozzon létre egy saját tárolót a Létrehozás gombra kattintva. Ha végzett, válassza az OK elemet:

     

  7. Válassza az OK gombot a Naplózás létrehozása párbeszédpanelen.

     Megjegyzés:

     Ha az SQL Server Management Studio felhasználói felületét használja egy audit létrehozásához, a rendszer automatikusan létrehoz egy SAS-kulccsal rendelkező hitelesítő adatokat a tárolóhoz.

Miután a blobtárolót célként konfigurálta az auditnaplókhoz, hozzon létre és engedélyezze a kiszolgálói naplózási specifikációt vagy az adatbázis-naplózási specifikációt az SQL Serverhez hasonlóan:

• Kiszolgálói naplózási specifikáció létrehozása – T-SQL-útmutató
• Adatbázis-naplózási specifikáció létrehozása – T-SQL-útmutató

A kiszolgálói naplózás engedélyezéséhez használja a következő T-SQL-utasítást:

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE = ON);
GO

További információ:

• A felügyelt Azure SQL-példány és az SQL Server-adatbázis közötti különbségek naplózása
• KISZOLGÁLÓI NAPLÓZÁS LÉTREHOZÁSA
• ALTER SERVER AUDIT

A Microsoft támogatási műveleteinek naplózása

A felügyelt SQL-példány Microsoft támogatási műveleteinek naplózása lehetővé teszi a Microsoft támogatási mérnökeinek műveleteinek naplózását, amikor egy támogatási kérelem során hozzá kell férniük a kiszolgálóhoz. Ennek a funkciónak a használata a naplózással együtt nagyobb átláthatóságot tesz lehetővé a munkaerő számára, és lehetővé teszi az anomáliadetektálást, trendvizualizációt és adatveszteség-megelőzést.

A Microsoft támogatási műveleteinek naplózásának engedélyezéséhez lépjen a Naplózás létrehozásaa biztonsági>naplózás területen az SQL Manage Instanceben, és válassza ki a Microsoft támogatási műveleteit.

Megjegyzés:

Külön kiszolgálói naplózást kell létrehoznia a Microsoft-műveletek naplózásához. Ha engedélyezi ezt a jelölőnégyzetet egy meglévő naplózáshoz, felülírja a naplózást, és csak a naplók támogatják a műveleteket.

A kiszolgáló naplózásának beállítása az Event Hubsra vagy az Azure Monitor-naplókra

A felügyelt SQL-példány naplói elküldhetők az Azure Event Hubsba vagy az Azure Monitor-naplókba. Ez a szakasz a konfiguráció létrehozásának módját ismerteti:

1. Navigáljon az Azure Portalon a felügyelt SQL-példányhoz .

2. Válassza a Diagnosztikai beállítások lehetőséget.

3. Válassza a Diagnosztika bekapcsolása lehetőséget. Ha a diagnosztika már engedélyezve van, akkor a +Diagnosztikai beállítás hozzáadása lehetőség érhető el.

4. Válassza az SQLSecurityAuditEvents lehetőséget a naplók listájában.

5. Ha a Microsoft támogatási műveleteit konfigurálja, válassza a DevOps-műveletek naplózási naplóit a naplók listájában.

6. Válassza ki a naplózási események célhelyét: Event Hubs, Azure Monitor-naplók vagy mindkettő. Minden célhoz konfigurálja a szükséges paramétereket (például Log Analytics-munkaterületet).

7. Válassza az Mentésgombot.

   

8. Csatlakozzon a felügyelt SQL-példányhoz az SQL Server Management Studio (SSMS) vagy bármely más támogatott ügyfél használatával.

9. Kiszolgálói naplózás létrehozásához hajtsa végre a következő T-SQL-utasítást:

   CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
   GO
   

10. Hozzon létre és engedélyezze a kiszolgáló naplózási specifikációját vagy adatbázis-naplózási specifikációját az SQL Serverhez hasonlóan:

    • A kiszolgáló naplózási specifikációjának T-SQL-útmutatójának létrehozása
    • Adatbázis-naplózási specifikáció létrehozása – T-SQL-útmutató

11. Engedélyezze a 8. lépésben létrehozott kiszolgálói naplózást:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Naplózás beállítása a T-SQL használatával

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Naplózási naplók felhasználása

Az Azure Storage-ban tárolt naplók felhasználása

A blobnaplók megtekintéséhez számos módszer használható.

• A rendszerfüggvény sys.fn_get_audit_file (T-SQL) használatával táblázatos formátumban adja vissza a naplóadatokat.

• Az auditnaplókat egy olyan eszközzel vizsgálhatja meg, mint az Azure Storage Explorer. Az Azure Storage-ban a naplózási naplók blobfájlok gyűjteményeként vannak mentve egy olyan tárolóban, amely az auditnaplók tárolására lett meghatározva. A tármappa hierarchiájáról, az elnevezési konvenciókról és a naplóformátumról további információt a Blob Audit Log Format Reference című témakörben talál.

• Az auditnapló-használati módszerek teljes listájáért tekintse meg az Azure SQL Database naplózásának első lépéseit.

Az Event Hubsban tárolt naplók felhasználása

Az Event Hubs naplózási naplóinak felhasználásához be kell állítania egy streamet az események felhasználásához és egy célba való írásához. További információkért tekintse meg az Azure Event Hubs dokumentációját.

Az Azure Monitor-naplókban tárolt naplók felhasználása és elemzése

Ha az auditnaplók az Azure Monitor-naplókba vannak írva, azok a Log Analytics-munkaterületen érhetők el, ahol speciális kereséseket futtathat a naplózási adatokon. Kiindulópontként lépjen a Log Analytics-munkaterületre. Az Általános szakaszban válassza a Naplók lehetőséget, és adjon meg egy alapszintű lekérdezést, például: search "SQLSecurityAuditEvents" a naplók megtekintéséhez.

Az Azure Monitor-naplók valós idejű üzemeltetési elemzéseket nyújtanak integrált keresési és egyéni irányítópultok használatával, így több millió rekordot elemezhet az összes számítási feladat és kiszolgáló között. Az Azure Monitor-naplók keresési nyelvéről és parancsairól további információt az Azure Monitor naplóinak keresési referenciájában talál.

A felügyelt Azure SQL-példányban lévő adatbázisok és az SQL Server-adatbázisok közötti különbségek naplózása

A felügyelt Azure SQL-példányban lévő adatbázisok és az SQL Server-adatbázisok naplózása közötti fő különbségek a következők:

• A felügyelt Azure SQL-példány esetében a naplózás kiszolgálószinten működik, és naplófájlokat tárol .xel az Azure Blob Storage-ban.
• Az SQL Serverben a naplózás kiszolgálószinten működik, de az eseményeket a fájlrendszerben és a Windows-eseménynaplókban tárolja.

A felügyelt példányok XEvent-naplózása támogatja az Azure Blob Storage-célokat. A fájl- és Windows-naplók nem támogatottak.

Az Azure Blob Storage-ba történő naplózás szintaxisának főbb különbségei CREATE AUDIT a következők:

• A rendszer új szintaxist TO URL ad meg, és lehetővé teszi annak az Azure Blob Storage-tárolónak az URL-címét, amelybe a .xel fájlok kerülnek.
• A rendszer új szintaxist TO EXTERNAL MONITOR biztosít az Event Hubs és az Azure Monitor naplócéljainak engedélyezéséhez.
• A szintaxis TO FILEnem támogatott , mert a felügyelt Azure SQL-példány nem fér hozzá a Windows-fájlmegosztásokhoz.
• A leállítási beállítás nem támogatott.
• queue_delay a (0) nem támogatott.

Következő lépés

Ellenőrzés az Azure SQL Database és az Azure Synapse Analytics