Format jejak audit SQL Database
Berlaku untuk: 
Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics
Audit Azure SQL Database melacak peristiwa database dan menulisnya ke jejak audit di akun penyimpanan Azure Anda, atau mengirimkannya ke Pusat Aktivitas atau Catatan Analitik untuk pemrosesan dan analisis hilir.
Konvensi penamaan
Audit blob
Jejak audit yang disimpan dalam penyimpanan blob Azure disimpan dalam penyimpanan bernama sqldbauditlogs di akun Penyimpanan Azure. Hierarki direktori di dalam kontainer adalah pada formulir <ServerName>/<DatabaseName>/<AuditName>/<Date>/. Format nama file Blob adalah <CreationTime>_<FileNumberInSession>.xel, di mana CreationTime adalah dalam format UTC hh_mm_ss_ms, dan FileNumberInSession merupakan indeks yang berjalan jika catatan sesi mencakup beberapa file Blob.
Misalnya, untuk database Database1 pada Server1 berikut ini adalah jalur yang mungkin valid:
Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel
Log audit Replika baca-saja disimpan dalam kontainer yang sama. Hierarki direktori di dalam kontainer adalah pada formulir <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. Nama file Blob memiliki format yang sama. Jejak audit replika baca-saja disimpan dalam kontainer yang sama.
Pusat Aktivitas
Peristiwa audit ditulis ke namespace dan pusat aktivitas yang ditentukan selama konfigurasi audit, dan direkam dalam isi peristiwa Apache Avro dan disimpan menggunakan pemformatan JSON dengan pengkodean UTF-8. Untuk membaca log audit, Anda dapat menggunakan Alat Avro atau alat serupa yang memproses format ini.
Log Analytics
Peristiwa audit ditulis ke ruang kerja Analitik Log yang ditentukan selama konfigurasi audit, ke AzureDiagnostics tabel dengan kategori SQLSecurityAuditEvents, dan tabel dengan kategori DevOpsOperationsAudit untuk Operasi Dukungan Microsoft. Untuk informasi bermanfaat lainnya tentang bahasa dan perintah pencarian Analitik Log, lihat Referensi pencarian Analitik Log.
Bidang log audit
| Nama (blob) | Nama (Pusat Aktivitas/Catatan Analitik) | Deskripsi | Jenis blob | Pusat Aktivitas/Jenis Catatan Analitik |
|---|---|---|---|---|
| action_id | id_tindakan_s | ID tindakan | varchar(4) | string |
| nama_tindakan | nama_tindakan_s | Nama tindakan | T/A | string |
| informasi_tambahan | informasi_tambahan_s | Setiap informasi tambahan tentang peristiwa, disimpan sebagai XML | nvarchar(4000) | string |
| baris_terpengaruh | baris_terpengaruh_d | Jumlah baris yang dipengaruhi oleh kueri | bigint | int |
| nama_aplikasi | nama_aplikasi_s | Nama aplikasi klien | nvarchar(128) | string |
| audit_versi_skema | audit_versi_skema_d | Selalu 1 | int | int |
| jenis_kelas | jenis_kelas_s | Jenis entitas yang dapat diaudit di mana audit terjadi | varchar(2) | string |
| desk_jenis_kelas | deskripsi_jenis_kelas_s | Deskripsi entitas yang dapat diaudit di mana audit terjadi | T/A | string |
| ip_klien | ip_klien_s | IP sumber aplikasi klien | nvarchar(128) | string |
| id_koneksi | T/A | ID sambungan di server | GUID | T/A |
| informasi_sensitivitas_data | informasi_sensitivitas_data_s | Jenis informasi dan label sensitivitas yang dikembalikan oleh kueri yang diaudit, berdasarkan kolom yang diklasifikasikan dalam database. Pelajari selengkapnya tentang temuan dan klasifikasi data Azure SQL Database | nvarchar(4000) | string |
| database_name | nama_database_s | Konteks database di mana tindakan terjadi | namasistem | string |
| id_prinsipal_database | id_prinsipal_database_d | ID konteks pengguna database di mana tindakan dilakukan | int | int |
| nama_prinsipal_database | nama_prinsipal_database_s | Nama konteks pengguna database di mana tindakan dilakukan | namasistem | string |
| durasi_milidetik | durasi_milidetik_d | Durasi eksekusi kueri dalam milidetik | bigint | int |
| waktu_peristiwa | waktu_peristiwa_t | Tanggal dan waktu ketika tindakan yang dapat diaudit diaktifkan | tanggalwaktu2 | datetime |
| nama_host | T/A | Nama host klien | string | T/A |
| adalah_izin_kolom | adalah_izin_kolom_s | Bendera menunjukkan apakah ini adalah izin tingkat kolom. 1 = true, 0 = false | bit | string |
| T/A | adalah_audit_level_server_s | Bendera menunjukkan apakah audit ini berada pada tingkat server | T/A | string |
| id_ objek | id_ objek_d | ID entitas tempat audit terjadi. Ini termasuk objek server, database, objek database, dan objek skema. 0 jika entitas adalah server itu sendiri atau jika audit tidak dilakukan pada tingkat objek | int | int |
| nama_objek | nama_objek_s | Nama entitas tempat audit terjadi. Ini termasuk objek server, database, objek database, dan objek skema. 0 jika entitas adalah server itu sendiri atau jika audit tidak dilakukan pada tingkat objek | namasistem | string |
| obo_middle_tier_app_id | obo_middle_tier_app_id_s | Id aplikasi aplikasi tingkat menengah yang terhubung ke SQL Database menggunakan akses OBO. | varchar(120) | string |
| bitmask_izin | bitmask_izin_s | Jika bisa diberlakukan, memperlihatkan izin yang diberikan, ditolak, atau dicabut | varbinary(16) | string |
| baris_respons | baris_respons_d | Jumlah baris yang dikembalikan dalam tataan hasil | bigint | int |
| nama_skema | nama_skema_s | Konteks skema di mana tindakan terjadi. NULL untuk audit yang terjadi di luar skema | namasistem | string |
| T/A | jenis_kelas_dapatdiamankan_s | Objek yang dapat diamankan yang memetakan ke jenis_kelas yang diaudit | T/A | string |
| urutan_id_grup | urutan_id_grup_g | Pengidentifikasi unik | varbinary | GUID |
| nomor_urutan | nomor_urutan_d | Melacak urutan rekaman dalam satu catatan audit yang terlalu besar agar pas di buffer tulis untuk audit. Perhatikan bahwa Azure SQL Database dan Audit Azure Synapse menyimpan 4000 karakter data untuk bidang karakter dalam catatan audit. Ketika ada lebih dari 4000 karakter, data apa pun di luar 4000 karakter pertama akan dipotong | int | int |
| nama_instans_server | nama_instans_server_s | Nama instans server tempat audit terjadi | namasistem | string |
| id_prinsipal_server | id_prinsipal_server_d | ID dari konteks masuk di mana tindakan dilakukan | int | int |
| nama_prinsipal_server | nama_prinsipal_server_s | Masuk saat ini | namasistem | string |
| sid_prinsipal_server | sid_prinsipal_server_s | SID masuk saat ini | varbinary | string |
| id_sesi | id_sesi_d | ID sesi di mana peristiwa terjadi | smallint | int |
| nama_prinsipal_server_sesi | nama_prinsipal_server_sesi_s | Server prinsipal untuk sesi | namasistem | string |
| statement | pernyataan_s | Pernyataan T-SQL yang dijalankan (jika ada) | nvarchar(4000) | string |
| berhasil | berhasil_s | Menunjukkan apakah tindakan yang memicu peristiwa berhasil. Untuk peristiwa selain masuk dan batch, ini hanya melaporkan apakah pemeriksaan izin berhasil atau gagal, bukan operasi. 1 = sukses, 0 = gagal | bit | string |
| id_prinsipal_database_target | id_prinsipal_database_target_d | Pokok database operasi IZINKAN/TOLAK/HAPUS dijalankan pada. 0 jika tidak berlaku | int | int |
| nama_prinsipal_database_target | nama_prinsipal_database_target_s | Targetkan pengguna tindakan. NULL jika tidak berlaku | string | string |
| id_prinsipal_server_target | id_prinsipal_server_target_d | Server mewakilkan bahwa operasi IZINKAN/TOLAK/HAPUS dilakukan. Mengembalikan 0 jika tidak berlaku | int | int |
| nama_prinsipal_server_target | nama_prinsipal_server_target_s | Target masuk tindakan. NULL jika tidak berlaku | namasistem | string |
| sid_prinsipal_server_target | sid_prinsipal_server_target_s | SID dari target masuk. NULL jika tidak berlaku | varbinary | string |
| id_transaksi | id_transaksi_d | Hanya SQL Server (dimulai dengan 2016) - 0 untuk Azure SQL Database | bigint | int |
| id_peristiwa_ditentukan_pengguna | id_peristiwa_ditentukan_pengguna_d | ID peristiwa yang ditentukan pengguna diteruskan sebagai argumen untuk sp_audit_write. NULL untuk peristiwa sistem (default) dan bukan nol untuk peristiwa yang ditentukan pengguna. Untuk informasi selengkapnya, lihat sp_audit_write (T-SQL) | smallint | int |
| informasi_ditentukan_pengguna | informasi_ditentukan_pengguna_s | Informasi yang ditentukan pengguna diteruskan sebagai argumen untuk sp_audit_write. NULL untuk peristiwa sistem (default) dan bukan nol untuk peristiwa yang ditentukan pengguna. Untuk informasi selengkapnya, lihat sp_audit_write (T-SQL) | nvarchar(4000) | string |
Langkah berikutnya
Pelajari selengkapnya tentang Mengaudit Azure SQL Database.