Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
Azure SQL DatabaseAzure Synapse Analytics
Dalam artikel ini, kami membahas penyiapan Audit untuk server logis atau database Anda di Azure SQL Database dan Azure Synapse Analytics.
Mengonfigurasi Audit untuk server Anda
Kebijakan audit default mencakup sekumpulan grup tindakan berikut, yang mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal:
- KELOMPOK_BATAS_SELESAI
- Keberhasilan_Autentikasi_Database_Grup
- GAGAL_OTENTIKASI_DATABASE_GRUP
Untuk mengonfigurasi audit untuk berbagai jenis tindakan dan grup tindakan menggunakan PowerShell, lihat Mengelola Audit Azure SQL Database menggunakan API.
Bagian berikut menjelaskan konfigurasi Audit menggunakan portal Azure.
Catatan
Anda tidak dapat mengaktifkan pengauditan pada kumpulan SQL terdedikasi yang dihentikan sementara. Untuk mengaktifkan audit, mulai ulang kumpulan SQL khusus.
Saat Audit dikonfigurasi dalam Log Analytics workspace atau ke tujuan Event Hubs di portal Azure atau cmdlet PowerShell, Diagnostic Setting dibuat dengan kategori yang diaktifkan.
Buka portal Azure.
Navigasi ke Audit di bawah judul Keamanan di database SQL atau panel server SQL Anda.
Jika Anda memilih kebijakan pengauditan server, Anda bisa memilih tautan Tampilkan pengaturan server di halaman pengauditan database. Anda kemudian dapat melihat atau mengubah setelan audit server. Kebijakan audit server berlaku untuk semua database yang sudah ada dan yang baru dibuat pada server ini.
Jika Anda memilih mengaktifkan audit pada tingkat database, alihkan Audit ke AKTIF. Jika audit server diaktifkan, audit yang dikonfigurasi oleh database ada secara berdampingan dengan audit server.
Anda memiliki beberapa opsi untuk mengonfigurasi tempat log audit disimpan. Anda dapat menulis log ke akun penyimpanan Azure, ke workspace Log Analytics untuk dikonsumsi oleh log Azure Monitor, atau ke Event Hub untuk konsumsi melalui Event Hub. Anda dapat mengonfigurasi kombinasi opsi ini, dan log audit ditulis untuk masing-masing opsi.
Audit menuju tujuan penyimpanan
Untuk mengonfigurasi penulisan log audit ke akun penyimpanan, pilih Penyimpanan saat Anda masuk ke bagian Pengauditan. Pilih akun penyimpanan Azure tempat Anda ingin menyimpan log Anda. Anda dapat menggunakan dua jenis autentikasi penyimpanan berikut: Identitas Terkelola dan Kunci Akses Penyimpanan. Untuk identitas terkelola, identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna didukung. Secara default, identitas pengguna utama yang ditetapkan ke server dipilih. Jika tidak ada identitas pengguna, identitas terkelola yang ditetapkan sistem dibuat dan digunakan untuk tujuan autentikasi. Setelah Anda memilih jenis autentikasi, pilih periode retensi dengan membuka Properti tingkat lanjut dan memilih Simpan. Log yang lebih lama dari periode retensi akan dihapus.
Jika Anda menyebarkan dari portal Microsoft Azure, pastikan akun penyimpanan berada di wilayah yang sama dengan database dan server Anda. Jika Anda menyebarkan melalui metode lain, akun penyimpanan dapat berada di wilayah mana pun.
Peringatan
Untuk autentikasi penyimpanan, gunakan Identitas Terkelola. Kunci Akses Penyimpanan menimbulkan risiko keamanan karena jika mereka disusupi, individu yang tidak sah dapat memperoleh akses ke akun penyimpanan Anda, berpotensi membaca, menulis, atau menghapus data Anda. Untuk mengurangi risiko ini, penting untuk memutar kunci Anda secara teratur dan menggunakan Azure Key Vault untuk mengelola dan memutar kunci Anda dengan aman.
- Nilai default untuk periode retensi adalah 0 (retensi tak terbatas). Anda dapat mengubah nilai ini dengan memindahkan penggeser Retensi (Hari) di Properti tingkat lanjut saat mengonfigurasi audit akun penyimpanan.
- Jika Anda mengubah periode retensi dari 0 (retensi tidak terbatas) ke nilai lain, retensi hanya akan berlaku untuk log yang ditulis setelah nilai retensi diubah. Log yang ditulis selama periode ketika hari retensi diatur ke retensi tak terbatas dipertahankan, bahkan setelah retensi diaktifkan.
Audit menuju tujuan Log Analytics
Untuk mengonfigurasi penulisan log audit ke ruang kerja Analitik Log, pilih Analitik Log dan buka detail Analitik Log. Pilih ruang kerja Log Analytics di mana Anda ingin menyimpan log, lalu pilih OK. Jika Anda belum membuat ruang kerja Analitik Log, lihat Membuat ruang kerja Analitik Log di portal Azure.
Mengaudit ke tujuan Azure Event Hubs
Untuk mengonfigurasi penulisan log audit ke hub kejadian, pilih Hub Kejadian. Pilih pusat aktivitas tempat Anda ingin menyimpan log, lalu pilih Simpan. Pastikan bahwa hub peristiwa berada di wilayah yang sama dengan database dan server Anda.
Saat audit dikonfigurasi dengan monitor eksternal Azure (misalnya, Azure Event Hubs atau Log Analytics) sebagai target, sumber daya pengaturan diagnostik tambahan bernama SQLSecurityAuditEvents_XXXX-XXXX-XXX dibuat, yang sangat penting untuk berfungsinya audit.
Jika pengaturan diagnostik dihapus, baik dengan sengaja atau tidak sengaja, fungsi audit akan gagal diam-diam, dan log audit tidak akan dikirim ke lokasi target. Untuk mencegah hal ini, konfigurasikan pemberitahuan untuk penghapusan pengaturan diagnostik untuk memberi tahu pengguna dan mengambil tindakan yang diperlukan. Untuk informasi selengkapnya tentang membuat grup tindakan dan mengonfigurasi pemberitahuan, lihat Grup tindakan dan Membuat atau mengedit log aktivitas, kesehatan layanan, atau aturan pemberitahuan kesehatan sumber daya.
Catatan
Jika Anda menggunakan beberapa target seperti akun penyimpanan, Analitik Log, atau Pusat Aktivitas, pastikan Anda memiliki izin untuk semua target, atau menyimpan konfigurasi audit akan gagal karena mencoba menyimpan pengaturan untuk semua target.