Bagikan melalui

Menggunakan Audit untuk menganalisis log dan laporan audit

Berlaku untuk:Azure SQL DatabaseAzure Synapse Analytics

Artikel ini memberikan gambaran umum tentang menganalisis log audit menggunakan Audit untuk Azure SQL Database dan Azure Synapse Analytics. Anda dapat menggunakan Audit untuk menganalisis log audit yang disimpan di:

  • Analitik Log
  • Pusat Aktivitas
  • Penyimpanan Azure

Menganalisis log menggunakan Analitik Log

Jika Anda memilih untuk menulis log audit ke Analitik Log:

  1. Gunakan portal Azure.

  2. Buka sumber daya database yang relevan.

  3. Di bagian atas halaman Audit database, pilih Tampilkan log audit untuk menampilkan sampel log audit dengan serangkaian bidang terbatas yang mencakup aktivitas hingga 2 jam sebelum Waktu Akhir yang dipilih (yang default ke 'sekarang'):

    Cuplikan layar menu Audit di portal Microsoft Azure tempat Anda dapat memilih opsi Tampilkan log audit.

Anda memiliki dua cara untuk melihat log:

  • Pilih Analitik Log di bagian atas halaman Catatan audit untuk membuka tampilan log di ruang kerja Analitik Log, tempat Anda dapat menyesuaikan rentang waktu dan kueri pencarian.

  • Pilih Tampilkan dasbor di bagian atas halaman Catatan audit untuk membuka dasbor yang menampilkan informasi log audit, tempat Anda dapat menelusuri paling detail Wawasan Keamanan atau Akses ke Data Sensitif. Dasbor ini dirancang untuk membantu Anda mendapatkan insight keamanan untuk data Anda. Anda juga bisa menyesuaikan rentang waktu dan kueri pencarian.

  • Atau Anda juga dapat mengakses log audit dari menu Log Analitik. Buka ruang kerja Analitik Log Anda dan di bawah bagian Umum, pilih Log. Anda dapat memulai dengan kueri sederhana, seperti: cari "SQLSecurityAuditEvents" untuk melihat log audit. Dari sini, Anda juga dapat menggunakan log Azure Monitor untuk menjalankan pencarian tingkat lanjut pada data log audit Anda. Log di Azure Monitor memberikan Anda wawasan operasional secara real-time menggunakan penelusuran terintegrasi dan dasbor khusus untuk menganalisis jutaan catatan dengan mudah di semua beban kerja dan server Anda. Untuk informasi tambahan yang berguna tentang bahasa dan perintah pencarian log Azure Monitor, lihat Referensi pencarian log Azure Monitor.

Menganalisis log menggunakan Azure Event Hubs

Jika Anda memilih untuk menulis log audit ke Azure Event Hubs:

  • Untuk menggunakan data log audit dari Azure Event Hubs, Anda perlu menyiapkan aliran untuk mengonsumsi peristiwa dan menulisnya ke target. Untuk informasi selengkapnya, lihat Dokumentasi Azure Event Hubs.
  • Log audit di Azure Event Hubs diambil dalam isi peristiwa Apache Avro dan disimpan menggunakan pemformatan JSON dengan pengodean UTF-8. Untuk membaca log audit, Anda dapat menggunakan Alat Avro, aliran peristiwa Microsoft Fabric, atau alat serupa yang memproses format ini.

Menganalisis log menggunakan log di akun penyimpanan Azure

Jika Anda memilih untuk menulis log audit ke akun penyimpanan Azure, ada beberapa metode yang dapat Anda gunakan untuk melihat log:

  • Log audit dikumpulkan dalam akun yang Anda pilih selama penyiapan. Anda dapat menjelajahi log audit dengan menggunakan alat seperti Azure Storage Explorer. Di penyimpanan Azure, log audit disimpan sebagai kumpulan file blob dalam kontainer bernama sqldbauditlogs. Untuk informasi selengkapnya tentang hierarki folder penyimpanan, konvensi penamaan, dan format log, lihat format log audit SQL Database.

    1. Gunakan portal Azure.
    2. Buka sumber daya database yang relevan.
    3. Di bagian atas halaman Audit database, pilih Tampilkan log audit . Halaman Catatan audit terbuka, dan Anda dapat melihat log.
    4. Anda bisa melihat tanggal tertentu dengan memilih Filter di bagian atas halaman Catatan audit.
    5. Anda dapat beralih antara catatan audit yang dibuat oleh kebijakan audit server dan kebijakan audit database dengan beralih ke Audit Sumber.

  • Gunakan fungsi sistem sys.fn_get_audit_file (T-SQL) untuk mengembalikan data log audit dalam format tabel. Untuk informasi selengkapnya tentang penggunaan fungsi ini, lihat sys.fn_get_audit_file.

  • Gunakan Gabungkan File Audit di SQL Server Management Studio (dimulai dengan SSMS 17):

    1. Dari menu SSMS, pilih File>Buka>Gabungkan File Audit.

      Cuplikan layar yang memperlihatkan opsi menu Gabungkan File Audit.

    2. Kotak dialog Tambahkan File Audit terbuka. Pilih salah satu opsi Tambahkan untuk memilih apakah akan menggabungkan file audit dari disk lokal atau mengimpornya dari Microsoft Azure Storage. Anda diharuskan untuk memberikan detail Azure Storage dan kunci akun Anda.

    3. Setelah semua file yang akan digabungkan telah ditambahkan, pilih OK untuk menyelesaikan operasi penggabungan.

    4. File yang digabungkan terbuka di SSMS, di mana Anda dapat melihat dan menganalisisnya, serta mengekspornya ke file XEL atau CSV, atau ke tabel.

  • Gunakan Power BI. Anda bisa menampilkan dan menganalisis data log audit di Power BI. Untuk informasi selengkapnya dan untuk mengakses templat yang dapat diunduh, lihat Blog: Menganalisis data log audit di Power BI.

  • Unduh file log dari kontainer blob Azure Storage Anda melalui portal atau dengan menggunakan alat seperti Azure Storage Explorer.

    • Setelah Anda mengunduh file log secara lokal, klik dua kali file untuk membuka, melihat, dan menganalisis log di SSMS.
    • Anda juga dapat mengunduh beberapa file secara bersamaan di Azure Storage Explorer. Untuk melakukannya, klik kanan subfolder tertentu dan pilih Simpan sebagai untuk menyimpan di folder lokal.

  • Metode lainnya:

    • Setelah mengunduh beberapa file atau subfolder yang berisi file log, Anda dapat menggabungkannya secara lokal seperti yang dijelaskan dalam instruksi File Audit Gabungan SSMS yang dijelaskan sebelumnya.
    • Menampilkan log audit blob menggunakan pemrograman: Memeriksa File Kejadian Diperluas dengan PowerShell.

Konten terkait