Memverifikasi tabel ledger untuk mendeteksi perubahan

Berlaku untuk: SQL Server 2022 (16.x) dan versi yang lebih baru Azure SQL DatabaseAzure SQL Managed Instance

Dalam artikel ini, Anda akan memverifikasi integritas data dalam tabel ledger Anda. Jika Anda telah mengonfigurasi penyimpanan ringkasan otomatis pada database Anda, ikuti bagian T-SQL menggunakan penyimpanan ringkasan otomatis. Jika tidak, ikuti bagian T-SQL yang menggunakan digest yang dihasilkan secara manual.

Prasyarat

• Memiliki langganan Azure aktif jika Anda menggunakan Azure SQL Database atau Azure SQL Managed Instance. Jika Anda tidak memilikinya, buat akun gratis.
• Buat dan gunakan tabel ledger yang dapat diperbarui atau buat dan gunakan tabel ledger khusus tambahan.
• SQL Server Management Studio.
• Opsi ALLOW_SNAPSHOT_ISOLATION harus diaktifkan pada database sebelum Anda dapat menjalankan prosedur tersimpan verifikasi.

Menjalankan verifikasi ledger untuk database

Transact-SQL menggunakan penyimpanan digest otomatis

1. Sambungkan ke database Anda dengan menggunakan SQL Server Management Studio.

2. Buat kueri baru dengan pernyataan Transact-SQL berikut:

   DECLARE @digest_locations NVARCHAR(MAX) = (SELECT * FROM sys.database_ledger_digest_locations FOR JSON AUTO, INCLUDE_NULL_VALUES);SELECT @digest_locations as digest_locations;
   BEGIN TRY
       EXEC sys.sp_verify_database_ledger_from_digest_storage @digest_locations;
       SELECT 'Ledger verification succeeded.' AS Result;
   END TRY
   BEGIN CATCH
       THROW;
   END CATCH
   

   Catatan

   Skrip verifikasi juga dapat ditemukan di portal Azure. Buka portal Azure dan temukan database yang ingin Anda verifikasi. Di Keamanan, pilih opsi Ledger. Di panel Ledger , pilih </> Verifikasi database.

3. Mengeksekusi kueri. Anda akan melihat bahwa digest_locations mengembalikan lokasi saat ini di mana digest database Anda disimpan dan juga lokasi-lokasi sebelumnya. Hasil mengembalikan keberhasilan atau kegagalan verifikasi ledger.

   

4. Buka hasil digest_locations yang diset untuk melihat lokasi digest Anda. Contoh berikut menunjukkan dua lokasi penyimpanan digest untuk database ini:

   • jalur menunjukkan lokasi ringkasan.

   • last_digest_block_id menandakan ID blok dari digest terakhir yang disimpan di lokasi path.

   • is_current menunjukkan apakah lokasi di jalur adalah lokasi saat ini (benar) atau sebelumnya (salah).

     [
      {
          "path": "https:\/\/digest1.blob.core.windows.net\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 10016,
          "is_current": true
      },
      {
          "path": "https:\/\/jandersneweracl.confidential-ledger.azure.com\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 1704,
          "is_current": false
      }
     ]
     

   Penting

   Saat Anda menjalankan verifikasi ledger, periksa lokasi lokasi_ringkasan untuk memastikan ringkasan yang digunakan dalam verifikasi diambil dari lokasi yang Anda harapkan. Anda ingin memastikan bahwa pengguna istimewa belum mengubah lokasi penyimpanan ringkasan ke lokasi penyimpanan yang tidak terlindungi, seperti Azure Storage, tanpa adanya kebijakan kekekalan yang sudah dikonfigurasi dan dikunci.

5. Verifikasi mengembalikan pesan berikut di jendela Hasil.

   • Jika tidak ada pengubahan dalam database Anda, pesannya adalah:

     Ledger verification successful
     

   • Jika ada perubahan dalam database Anda, kesalahan berikut akan muncul di jendela Pesan:

     Failed to execute query. Error: The hash of block xxxx in the database ledger doesn't match the hash provided in the digest for this block.
     

T-SQL menggunakan digest yang dihasilkan secara manual

1. Sambungkan ke database Anda dengan menggunakan SQL Server Management Studio.

2. Buat kueri baru dengan pernyataan Transact-SQL berikut:

   EXECUTE sp_generate_database_ledger_digest;
   

3. Mengeksekusi kueri. Hasilnya berisi digest database terbaru dan mewakili hash database pada titik waktu saat ini. Salin konten hasil yang akan digunakan pada langkah berikutnya.

   

4. Buat kueri baru dengan pernyataan T-SQL berikut. Ganti <YOUR DATABASE DIGEST> dengan digest yang Anda salin di langkah sebelumnya.

   EXECUTE sp_verify_database_ledger N'
   <YOUR DATABASE DIGEST>
   ';
   

5. Mengeksekusi kueri. Jendela Pesan berisi pesan sukses berikut.

   

   Tips

   Melakukan verifikasi ledger dengan digest terbaru hanya akan memverifikasi database sejak digest dibuat sampai waktu verifikasi dijalankan. Untuk memverifikasi bahwa data historis di database Anda tidak diubah, jalankan verifikasi dengan menggunakan beberapa file digest database. Mulailah dengan titik waktu di mana Anda ingin memverifikasi database. Contoh verifikasi yang melewati beberapa digest akan terlihat mirip dengan kueri berikut.

   EXECUTE sp_verify_database_ledger N'
   [
       {
           "database_name":  "ledgerdb",
           "block_id":  0,
           "hash":  "0xDC160697D823C51377F97020796486A59047EBDBF77C3E8F94EEE0FFF7B38A6A",
           "last_transaction_commit_time":  "2020-11-12T18:01:56.6200000",
           "digest_time":  "2020-11-12T18:39:27.7385724"
       },
       {
           "database_name":  "ledgerdb",
           "block_id":  1,
           "hash":  "0xE5BE97FDFFA4A16ADF7301C8B2BEBC4BAE5895CD76785D699B815ED2653D9EF8",
           "last_transaction_commit_time":  "2020-11-12T18:39:35.6633333",
           "digest_time":  "2020-11-12T18:43:30.4701575"
       }
   ]';
   

Catatan

Dalam contoh ini, kami memanggil prosedur tersimpan sp_generate_database_ledger_digest untuk menghasilkan hash dan menggunakannya segera untuk verifikasi. Namun, ketika pelanggan menggunakan penyimpanan tepercaya kustom, mereka dapat menyimpan digest dalam penyimpanan tepercaya untuk verifikasi selanjutnya.

Konten terkait

• Gambaran umum ledger
• sys.database_ledger_digest_locations
• sp_verify_database_ledger_from_digest_storage
• sp_verify_database_ledger
• sp_generate_database_ledger_digest