Bagikan melalui

Menyiapkan Audit untuk Azure SQL Database dan Azure Synapse Analytics

  • Artikel

Berlaku untuk: Azure SQL Database Azure Synapse Analytics

Dalam artikel ini, kami membahas penyiapan Audit untuk server logis atau database Anda di Azure SQL Database dan Azure Synapse Analytics.

Mengonfigurasi Audit untuk server Anda

Kebijakan audit default mencakup sekumpulan grup tindakan berikut, yang mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Untuk mengonfigurasi audit untuk berbagai jenis tindakan dan grup tindakan menggunakan PowerShell, lihat Mengelola Audit Azure SQL Database menggunakan API.

Azure SQL Database dan Audit Azure Synapse Analytics dapat menyimpan 4.000 karakter data untuk bidang karakter dalam catatan audit. Ketika pernyataan atau nilai data_sensitivity_information yang dikembalikan dari tindakan yang dapat diaudit berisi lebih dari 4000 karakter, data apa pun di luar 4000 karakter pertama dipotong dan tidak diaudit.

Bagian berikut menjelaskan konfigurasi Audit menggunakan portal Azure.

Catatan

Anda tidak dapat mengaktifkan audit pada kumpulan SQL khusus yang dijeda. Untuk mengaktifkan audit, lanjutkan kumpulan SQL khusus.

Saat Audit dikonfigurasi ke ruang kerja Analitik Log atau ke tujuan Azure Event Hubs di cmdlet portal Azure atau PowerShell, Pengaturan Diagnostik dibuat dengan SQLSecurityAuditEvents kategori diaktifkan.

  1. Buka portal Azure.

  2. Navigasi ke Audit di bawah judul Keamanan di database SQL atau panel server SQL Anda.

  3. Jika Anda memilih kebijakan pengauditan server, Anda bisa memilih tautan Tampilkan pengaturan server di halaman pengauditan database. Anda kemudian dapat melihat atau mengubah setelan audit server. Kebijakan audit server berlaku untuk semua database yang sudah ada dan yang baru dibuat pada server ini.

    Cuplikan layar yang memperlihatkan link Tampilkan pengaturan server disorot pada halaman audit database

  4. Jika Anda memilih mengaktifkan audit pada tingkat database, alihkan Audit ke AKTIF. Jika audit server diaktifkan, audit yang dikonfigurasi database ada secara berdampingan dengan audit server.

  5. Anda memiliki beberapa opsi untuk mengonfigurasi tempat log audit disimpan. Anda dapat menulis log ke akun penyimpanan Azure, ke ruang kerja Analitik Log untuk dikonsumsi oleh log Azure Monitor, atau ke hub peristiwa untuk dikonsumsi menggunakan hub peristiwa. Anda dapat mengonfigurasi kombinasi opsi ini, dan log audit ditulis untuk masing-masing opsi.

    Cuplikan layar yang memperlihatkan opsi penyimpanan untuk Audit.

Audit ke tujuan penyimpanan

Untuk mengonfigurasi penulisan log audit ke akun penyimpanan, pilih Penyimpanan saat Anda masuk ke bagian Pengauditan. Pilih akun penyimpanan Azure tempat Anda ingin menyimpan log Anda. Anda dapat menggunakan dua jenis autentikasi penyimpanan berikut: Identitas Terkelola dan Kunci Akses Penyimpanan. Untuk identitas terkelola, identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna didukung. Secara default, identitas pengguna utama yang ditetapkan ke server dipilih. Jika tidak ada identitas pengguna, identitas terkelola yang ditetapkan sistem dibuat dan digunakan untuk tujuan autentikasi. Setelah Anda memilih jenis autentikasi, pilih periode retensi dengan membuka Properti tingkat lanjut dan memilih Simpan. Log yang lebih lama dari periode retensi akan dihapus.

Cuplikan layar yang memperlihatkan jenis autentikasi akun penyimpanan untuk Audit.

Catatan

Jika Anda menyebarkan dari portal Azure, pastikan akun penyimpanan berada di wilayah yang sama dengan database dan server Anda. Jika Anda menyebarkan melalui metode lain, akun penyimpanan dapat berada di wilayah mana pun.

  • Nilai default untuk periode retensi adalah 0 (retensi tak terbatas). Anda dapat mengubah nilai ini dengan memindahkan penggeser Retensi (Hari) di Properti tingkat lanjut saat mengonfigurasi audit akun penyimpanan.
    • Jika Anda mengubah periode retensi dari 0 (retensi tidak terbatas) ke nilai lain, retensi hanya akan berlaku untuk log yang ditulis setelah nilai retensi diubah. Log yang ditulis selama periode ketika hari retensi diatur ke retensi tak terbatas dipertahankan, bahkan setelah retensi diaktifkan.

Audit ke tujuan Log Analytics

Untuk mengonfigurasi penulisan log audit ke ruang kerja Analitik Log, pilih Analitik Log dan buka detail Analitik Log. Pilih ruang kerja Analitik Log tempat log yang ingin Anda simpan, lalu pilih OK. Jika Anda belum membuat ruang kerja Analitik Log, lihat Membuat ruang kerja Analitik Log di portal Azure.

Cuplikan layar memperlihatkan ruang kerja yang dipilih Analitik Log.

Mengaudit ke tujuan Azure Event Hubs

Untuk mengonfigurasi penulisan log audit ke hub kejadian, pilih Hub Kejadian. Pilih pusat aktivitas tempat Anda ingin menyimpan log, lalu pilih Simpan. Pastikan bahwa hub peristiwa berada di wilayah yang sama dengan database dan server Anda.

Cuplikan layar memperlihatkan hub Peristiwa.

Catatan

Jika Anda menggunakan beberapa target seperti akun penyimpanan, analitik log, atau hub peristiwa, pastikan Anda memiliki izin untuk semua target yang menyimpan konfigurasi audit akan gagal karena akan mencoba menyimpan pengaturan untuk semua target.

Langkah berikutnya

Menggunakan Audit untuk menganalisis log dan laporan audit

Konten terkait