Share via

Menggunakan Audit untuk menganalisis log dan laporan audit

  • Artikel

Berlaku untuk:Azure SQL DatabaseAzure Synapse Analytics

Artikel ini memberikan gambaran umum tentang menganalisis log audit menggunakan Audit untuk Azure SQL Database dan Azure Synapse Analytics. Anda dapat menggunakan Audit untuk menganalisis log audit yang disimpan di:

  • Log Analytics
  • Event Hubs
  • Penyimpanan Azure

Menganalisis log menggunakan Analitik Log

Jika Anda memilih untuk menulis log audit ke Analitik Log:

  1. Gunakan portal Azure.

  2. Buka sumber daya database yang relevan.

  3. Di bagian atas halaman Audit database, pilih Tampilkan log audit .

    Screenshot of the Auditing menu in the Azure portal where you can select the View audit logs option.

Anda memiliki dua cara untuk melihat log:

  • Memilih Analitik Log di bagian atas halaman Catatan audit akan membuka tampilan log di ruang kerja Analitik Log, tempat Anda dapat menyesuaikan rentang waktu dan kueri pencarian.

    Screenshot of selecting Log Analytics in the Audit records menu in the Azure portal.

  • Memilih Tampilkan dasbor di bagian atas halaman Catatan audit membuka dasbor yang menampilkan informasi log audit, tempat Anda dapat menelusuri paling detail Wawasan Keamanan atau Akses ke Data Sensitif. Dasbor ini dirancang untuk membantu Anda mendapatkan insight keamanan untuk data Anda. Anda juga bisa menyesuaikan rentang waktu dan kueri pencarian.

    Screenshot of selecting view dashboard in the Audit records menu in the Azure portal.

    Screenshot of the Auditing dashboard.

  • Atau, Anda juga dapat mengakses log audit dari menu Analitik Log. Buka ruang kerja Analitik Log Anda dan di bawah bagian Umum, dan pilih Log. Anda dapat memulai dengan kueri sederhana, seperti: cari "SQLSecurityAuditEvents" untuk melihat log audit. Dari sini, Anda juga dapat menggunakan log Azure Monitor untuk menjalankan pencarian tingkat lanjut pada data log audit Anda. Log Azure Monitor memberi Anda insight operasional real time menggunakan penelusuran terintegrasi dan dasbor khusus untuk menganalisis jutaan data dengan mudah di semua beban kerja dan server Anda. Untuk informasi tambahan yang berguna tentang bahasa dan perintah pencarian log Azure Monitor, lihat Referensi pencarian log Azure Monitor.

Menganalisis log menggunakan Azure Event Hubs

Jika Anda memilih untuk menulis log audit ke Azure Event Hubs:

  • Untuk menggunakan data log audit dari Azure Event Hubs, Anda perlu menyiapkan aliran untuk mengonsumsi peristiwa dan menulisnya ke target. Untuk informasi selengkapnya, lihat Dokumentasi Azure Event Hubs.
  • Log audit di Azure Event Hubs diambil dalam isi peristiwa Apache Avro dan disimpan menggunakan pemformatan JSON dengan pengodean UTF-8. Untuk membaca log audit, Anda dapat menggunakan Alat Avro, aliran peristiwa Microsoft Fabric, atau alat serupa yang memproses format ini.

Menganalisis log menggunakan log di akun penyimpanan Azure

Jika Anda memilih untuk menulis log audit ke akun penyimpanan Azure, ada beberapa metode yang dapat Anda gunakan untuk melihat log:

  • Log audit diagregasi dalam akun yang Anda pilih selama penyiapan. Anda dapat menjelajahi log audit dengan menggunakan alat seperti Azure Storage Explorer. Di penyimpanan Azure, log audit disimpan sebagai kumpulan file blob dalam kontainer bernama sqldbauditlogs. Untuk informasi selengkapnya tentang hierarki folder penyimpanan, konvensi penamaan, dan format log, lihat Format Log Audit Database SQL.

    1. Gunakan portal Azure.

    2. Buka sumber daya database yang relevan.

    3. Di bagian atas halaman Audit database, pilih Tampilkan log audit .

      Screenshot showing how to view audit logs.

      Halaman Catatan audit terbuka, dan Anda dapat melihat log.

    4. Anda bisa melihat tanggal tertentu dengan memilih Filter di bagian atas halaman Catatan audit.

    5. Anda dapat beralih antara catatan audit yang dibuat oleh kebijakan audit server dan kebijakan audit database dengan beralih ke Audit Sumber.

      Screenshot that shows the options for viewing the audit records.

  • Gunakan fungsi sistem sys.fn_get_audit_file (T-SQL) untuk mengembalikan data log audit dalam format tabel. Untuk informasi selengkapnya tentang penggunaan fungsi ini, lihat sys.fn_get_audit_file.

  • Gunakan Gabungkan File Audit di SQL Server Management Studio (dimulai dengan SSMS 17):

    1. Dari menu SSMS, pilih File>Buka>Gabungkan File Audit.

      Screenshot that shows the Merge Audit Files menu option.

    2. Kotak dialog Tambahkan File Audit terbuka. Pilih salah satu opsi Tambahkan untuk memilih apakah akan menggabungkan file audit dari disk lokal atau mengimpornya dari Microsoft Azure Storage. Anda diharuskan untuk memberikan detail Azure Storage dan kunci akun Anda.

    3. Setelah semua file yang akan digabungkan telah ditambahkan, pilih OK untuk menyelesaikan operasi penggabungan.

    4. File yang digabungkan terbuka di SSMS, di mana Anda dapat melihat dan menganalisisnya, serta mengekspornya ke file XEL atau CSV, atau ke tabel.

  • Gunakan Power BI. Anda bisa menampilkan dan menganalisis data log audit di Power BI. Untuk informasi selengkapnya dan untuk mengakses templat yang dapat diunduh, lihat Menganalisis data log audit di Power BI.

  • Unduh file log dari kontainer blob Azure Storage Anda melalui portal atau dengan menggunakan alat seperti Azure Storage Explorer.

    • Setelah Anda mengunduh file log secara lokal, klik dua kali file untuk membuka, melihat, dan menganalisis log di SSMS.
    • Anda juga dapat mengunduh beberapa file secara bersamaan di Azure Storage Explorer. Untuk melakukannya, klik kanan subfolder tertentu dan pilih Simpan sebagai untuk menyimpan di folder lokal.

  • Metode lainnya:

    • Setelah mengunduh beberapa file atau subfolder yang berisi file log, Anda dapat menggabungkannya secara lokal seperti yang dijelaskan dalam instruksi File Audit Gabungan SSMS yang dijelaskan sebelumnya.
    • Menampilkan log audit blob secara terprogram: Kueri File Kejadian Diperluas menggunakan PowerShell.

Lihat juga