Menyiapkan Audit untuk Azure SQL Database dan Azure Synapse Analytics

  • Artikel

Berlaku untuk:Azure SQL DatabaseAzure Synapse Analytics

Dalam artikel ini, kami membahas penyiapan Audit untuk server logis atau database Anda di Azure SQL Database dan Azure Synapse Analytics.

Mengonfigurasi Audit untuk server Anda

Kebijakan audit default mencakup sekumpulan grup tindakan berikut, yang mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Untuk mengonfigurasi audit untuk berbagai jenis tindakan dan grup tindakan menggunakan PowerShell, lihat Mengelola Audit Azure SQL Database.

Azure SQL Database dan Audit Azure Synapse Analytics dapat menyimpan 4000 karakter data untuk bidang karakter dalam catatan audit. Ketika pernyataan atau nilai data_sensitivity_information yang dikembalikan dari tindakan yang dapat diaudit berisi lebih dari 4000 karakter, data apa pun di luar 4000 karakter pertama dipotong dan tidak diaudit.

Bagian berikut menjelaskan konfigurasi Audit menggunakan portal Microsoft Azure.

Catatan

Tidak memungkinkan untuk mengaktifkan audit pada kumpulan dedicated SQL yang dijeda. Untuk mengaktifkan audit, batalkan jeda kumpulan SQL khusus. Untuk informasi selengkapnya, lihat Kumpulan SQL Khusus.

Saat Audit dikonfigurasi ke ruang kerja Analitik Log atau ke tujuan Azure Event Hubs di portal Microsoft Azure atau cmdlet PowerShell, Pengaturan Diagnostik dibuat dengan SQLSecurityAuditEvents kategori diaktifkan.

  1. Buka portal Microsoft Azure.

  2. Navigasi ke Audit di bawah judul Keamanan di database SQL atau panel server SQL Anda.

  3. Jika Anda memilih kebijakan pengauditan server, Anda bisa memilih tautan Tampilkan pengaturan server di halaman pengauditan database. Anda kemudian dapat melihat atau mengubah setelan audit server. Kebijakan audit server berlaku untuk semua database yang sudah ada dan yang baru dibuat pada server ini.

    Screenshot that shows the View server settings link highlighted on the database auditing page.

  4. Jika Anda memilih mengaktifkan audit pada tingkat database, alihkan Audit ke AKTIF. Jika audit server diaktifkan, audit yang dikonfigurasi database ada secara berdampingan dengan audit server.

  5. Anda memiliki beberapa opsi untuk mengonfigurasi tempat log audit disimpan. Anda dapat menulis log ke akun penyimpanan Azure, ke ruang kerja Analitik Log untuk dikonsumsi oleh log Azure Monitor, atau ke hub peristiwa untuk dikonsumsi menggunakan hub peristiwa. Anda dapat mengonfigurasi kombinasi opsi ini, dan log audit ditulis untuk masing-masing opsi.

    Screenshot that shows the storage options for Auditing.

Audit ke tujuan penyimpanan

Untuk mengonfigurasi penulisan log audit ke akun penyimpanan, pilih Penyimpanan saat Anda masuk ke bagian Pengauditan. Pilih akun penyimpanan Azure tempat Anda ingin menyimpan log Anda. Anda dapat menggunakan dua jenis autentikasi penyimpanan berikut: Identitas Terkelola dan Kunci Akses Penyimpanan. Untuk identitas terkelola, identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna didukung. Secara default, identitas pengguna utama yang ditetapkan ke server dipilih. Jika tidak ada identitas pengguna, identitas terkelola yang ditetapkan sistem dibuat dan digunakan untuk tujuan autentikasi. Setelah Anda memilih jenis autentikasi, pilih periode retensi dengan membuka Properti tingkat lanjut dan memilih Simpan. Log yang lebih lama dari periode retensi akan dihapus.

Screenshot that shows storage account authentication types for Auditing.

Catatan

Jika Anda menyebarkan dari portal Microsoft Azure, pastikan akun penyimpanan berada di wilayah yang sama dengan database dan server Anda. Jika Anda menyebarkan melalui metode lain, akun penyimpanan dapat berada di wilayah mana pun.

  • Nilai default untuk periode retensi adalah 0 (retensi tak terbatas). Anda dapat mengubah nilai ini dengan memindahkan penggeser Retensi (Hari) di Properti tingkat lanjut saat mengonfigurasi audit akun penyimpanan.
    • Jika Anda mengubah periode retensi dari 0 (retensi tidak terbatas) ke nilai lain, retensi hanya akan berlaku untuk log yang ditulis setelah nilai retensi diubah. Log yang ditulis selama periode ketika hari retensi diatur ke retensi tak terbatas dipertahankan, bahkan setelah retensi diaktifkan.

Audit ke tujuan Log Analytics

Untuk mengonfigurasi penulisan log audit ke ruang kerja Analitik Log, pilih Analitik Log dan buka detail Analitik Log. Pilih ruang kerja Analitik Log tempat log yang ingin Anda simpan, lalu pilih OK. Jika Anda belum membuat ruang kerja Analitik Log, lihat Membuat ruang kerja Analitik Log di portal Microsoft Azure.

Screenshot showing the Log Analytics workspace.

Mengaudit ke tujuan Azure Event Hubs

Untuk mengonfigurasi penulisan log audit ke hub kejadian, pilih Hub Kejadian. Pilih pusat aktivitas tempat Anda ingin menyimpan log, lalu pilih Simpan. Pastikan bahwa hub peristiwa berada di wilayah yang sama dengan database dan server Anda.

Screenshot showing the Event hub.

Catatan

Jika Anda menggunakan beberapa target seperti akun penyimpanan, analitik log, atau hub peristiwa, pastikan Anda memiliki izin untuk semua target yang menyimpan konfigurasi audit akan gagal karena akan mencoba menyimpan pengaturan untuk semua target.

Langkah berikutnya

Menggunakan Audit untuk menganalisis log dan laporan audit

Baca juga