Bagikan melalui

Mulai mengaudit Azure SQL Managed Instance

Berlaku untuk:Azure SQL Managed Instance

Audit Azure SQL Managed Instance melacak peristiwa database dan menulisnya ke log audit di akun penyimpanan Azure Anda.

Pengauditan juga:

  • Membantu menjaga kepatuhan terhadap peraturan, memahami aktivitas database, dan memperoleh wawasan tentang adanya perbedaan dan anomali yang dapat menunjukkan masalah bisnis atau dugaan pelanggaran keamanan.
  • Mengaktifkan dan memfasilitasi kepatuhan terhadap standar kepatuhan, meskipun tidak menjamin kepatuhan. Untuk informasi selengkapnya, lihat Pusat Kepercayaan Microsoft Azure tempat Anda dapat menemukan daftar sertifikasi kepatuhan SQL Managed Instance terbaru.

Penting

Audit Azure SQL Managed Instance dioptimalkan untuk ketersediaan dan performa. Selama aktivitas tinggi, atau beban jaringan tinggi, Azure SQL Managed Instance memungkinkan operasi untuk melanjutkan dan mungkin tidak merekam beberapa peristiwa yang diaudit.

Menyiapkan audit untuk instans Anda ke Azure Storage

Bagian berikut menjelaskan konfigurasi audit pada instans terkelola SQL Anda.

  1. Buka portal Azure.

  2. Buat kontainer Microsoft Azure Storage, tempat log audit disimpan.

    1. Arahkan ke akun penyimpanan Azure, tempat Anda ingin menyimpan log audit.

      • Gunakan akun penyimpanan di wilayah yang sama dengan instans terkelola SQL sehingga Anda dapat menghindari baca/tulis lintas wilayah.
      • Jika akun penyimpanan Anda berada di belakang Virtual Network atau Firewall, lihat Memberikan akses dari jaringan virtual.
      • Jika Anda mengubah periode retensi dari 0 (retensi tidak terbatas) ke nilai lain, retensi hanya akan berlaku untuk log yang ditulis setelah nilai retensi diubah. Log yang ditulis selama periode ketika retensi diatur pada tidak terbatas dipertahankan, bahkan setelah retensi diaktifkan.

    2. Di akun penyimpanan, buka Gambaran Umum dan pilih Blob.

      Cuplikan layar memperlihatkan widget Azure Blobs.

    3. Di menu atas, pilih + Kontainer untuk membuat kontainer baru.

      Cuplikan layar memperlihatkan ikon Buat kontainer blob.

    4. Berikan Nama kontainer, atur Tingkat akses publik ke Privat, lalu pilih OK.

      Cuplikan layar memperlihatkan konfigurasi Buat kontainer blob.

    Penting

    Pelanggan yang ingin mengonfigurasi penyimpanan log yang tidak dapat diubah untuk acara audit tingkat server atau database harus mengikuti instruksi yang disediakan oleh Azure Storage. (Pastikan Anda memilih Izinkan penambahan tambahan saat mengonfigurasi penyimpanan blob yang tidak dapat diubah.)

  3. Setelah Anda membuat kontainer untuk log audit, ada dua cara untuk mengonfigurasikannya sebagai target untuk log audit: menggunakan T-SQL atau menggunakan antarmuka pengguna SQL Server Management Studio (SSMS):

  • Konfigurasikan penyimpanan blob untuk log audit menggunakan T-SQL:

    1. Dalam daftar kontainer, pilih kontainer yang baru dibuat lalu pilih Properti kontainer.

      Cuplikan layar memperlihatkan tombol properti kontainer Blob.

    2. Salin URL kontainer dengan memilih ikon salin dan simpan URL (misalnya, di Notepad) untuk digunakan di masa mendatang. Format URL kontainer harus https://<StorageName>.blob.core.windows.net/<ContainerName>

      Cuplikan layar memperlihatkan URL salinan kontainer Blob.

    3. Hasilkan token SAS Azure Storage untuk memberikan hak akses audit instans terkelola SQL ke akun penyimpanan:

      • Arahkan ke akun penyimpanan Azure tempat Anda membuat kontainer di langkah sebelumnya.

      • Pilih Tanda tangan akses bersama di menu Pengaturan Penyimpanan.

        Ikon tanda tangan akses bersama di menu pengaturan penyimpanan.

      • Konfigurasikan SAS sebagai berikut:

        • Layanan yang diizinkan: Blob

        • Tanggal mulai: untuk menghindari masalah terkait zona waktu, gunakan tanggal kemarin

        • Tanggal berakhir: pilih tanggal kedaluwarsa token SAS ini

          Catatan

          Untuk menghindari kegagalan audit, perbarui token setelah kedaluwarsa.

        • Pilih Hasilkan SAS.

          Cuplikan layar memperlihatkan konfigurasi SAS.

      • Token SAS muncul di bagian bawah. Salin token dengan memilih ikon salin, dan simpan (misalnya, di Notepad) untuk digunakan di masa mendatang.

        Cuplikan layar memperlihatkan cara menyalin token SAS.

        Penting

        Hapus karakter tanda tanya (?) dari awal token.

    4. Sambungkan ke instans terkelola SQL Anda melalui SQL Server Management Studio atau alat lain yang didukung.

    5. Jalankan pernyataan T-SQL berikut untuk membuat informasi masuk baru menggunakan URL kontainer dan token SAS yang Anda buat di langkah-langkah sebelumnya:

      CREATE CREDENTIAL [<container_url>]
WITH IDENTITY='SHARED ACCESS SIGNATURE',
SECRET = '<SAS KEY>'
GO

    6. Jalankan pernyataan T-SQL berikut untuk membuat audit server baru (pilih nama audit Anda sendiri, lalu gunakan URL kontainer yang Anda buat di langkah-langkah sebelumnya). Jika tidak ditentukan, default RETENTION_DAYS adalah 0 (retensi tak terbatas):

      CREATE SERVER AUDIT [<your_audit_name>]
TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
GO

    7. Lanjutkan dengan membuat spesifikasi audit server atau spesifikasi audit database.

  • Konfigurasikan penyimpanan blob untuk log audit, menggunakan SQL Server Management Studio 18 dan versi yang lebih baru:

    1. Sambungkan ke instans terkelola SQL menggunakan antarmuka pengguna SQL Server Management Studio.

    2. Perluas catatan akar Object Explorer.

    3. Perluas node Keamanan , klik kanan pada simpul Audit , dan pilih Audit Baru:

      Cuplikan layar memperlihatkan cara Memperluas simpul keamanan dan audit.

    4. Pastikan URL dipilih di tujuan Audit dan pilih Telusuri:

      Cuplikan layar memperlihatkan cara Menelusuri Azure Storage.

    5. (Opsional) Masuk ke akun Azure Anda:

      Cuplikan layar memperlihatkan cara Masuk ke Azure.

    6. Pilih langganan, akun penyimpanan, dan kontainer blob dari menu dropdown, atau buat kontainer Anda sendiri dengan memilih Buat. Setelah selesai, pilih OK:

      Pilih langganan Azure, akun penyimpanan, dan kontainer blob.

    7. Pilih OK dalam dialog Buat Audit .

      Catatan

      Saat menggunakan antarmuka pengguna SQL Server Management Studio untuk membuat audit, kredensial ke kontainer dengan kunci SAS dibuat secara otomatis.

Setelah Anda mengonfigurasi kontainer blob sebagai target untuk log audit, buat dan aktifkan spesifikasi audit server atau spesifikasi audit database seperti yang Anda lakukan untuk SQL Server:

Gunakan pernyataan T-SQL berikut untuk mengaktifkan audit server:

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE = ON);
GO

Untuk informasi tambahan:

Audit operasi Dukungan Microsoft

Audit operasi Dukungan Microsoft untuk SQL Managed Instance memungkinkan Anda untuk mengaudit operasi teknisi dukungan Microsoft ketika mereka perlu mengakses server Anda selama permintaan dukungan. Penggunaan kemampuan ini, bersama dengan audit Anda, memungkinkan lebih banyak transparansi ke dalam tenaga kerja Anda dan memungkinkan deteksi anomali, visualisasi tren, dan pencegahan kehilangan data.

Untuk mengaktifkan audit operasi Dukungan Microsoft, navigasikan ke Buat Audit pada Keamanan>Auditdi SQL Manage Instance Anda, dan pilih operasi dukungan Microsoft.

Cuplikan layar memperlihatkan ikon Buat audit.

Catatan

Anda harus membuat audit server terpisah untuk mengaudit operasi Microsoft. Jika Anda mengaktifkan kotak centang ini untuk audit yang ada, maka itu menimpa audit dan hanya log yang mendukung operasi.

Menyiapkan audit untuk server Anda ke Azure Event Hubs atau log Azure Monitor

Log audit dari instans terkelola SQL dapat dikirim ke Azure Event Hubs atau log Azure Monitor. Bagian ini menjelaskan cara membuat konfigurasi ini:

  1. Navigasikan di portal Microsoft Azure ke instans terkelola SQL.

  2. Pilih Pengaturan diagnostik.

  3. Pilih Aktifkan diagnostik. Jika diagnostik sudah diaktifkan, +Tambahkan pengaturan diagnostik tersedia sebagai gantinya.

  4. Pilih SQLSecurityAuditEvents di dalam daftar log.

  5. Jika Anda mengonfigurasi operasi dukungan Microsoft, pilih Operasi DevOps Log Audit dalam daftar log.

  6. Pilih tujuan untuk acara audit: Azure Event Hubs, log Azure Monitor, atau keduanya. Konfigurasikan untuk setiap target parameter yang diperlukan (misalnya, ruang kerja Analitik Log).

  7. Pilih Simpan.

    Cuplikan layar memperlihatkan cara mengonfigurasi pengaturan diagnostik.

  8. Sambungkan ke instans terkelola SQL menggunakan SQL Server Management Studio (SSMS) atau klien lain yang didukung.

  9. Jalankan pernyataan T-SQL berikut untuk melakukan audit server:

    CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
GO

  10. Buat dan aktifkan spesifikasi audit server atau spesifikasi audit database seperti yang Anda lakukan pada SQL Server:

  11. Aktifkan audit server yang dibuat di langkah 8:

    ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE = ON);
GO

Menyiapkan audit menggunakan T-SQL

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Menggunakan log audit

Menggunakan log yang disimpan di Microsoft Azure Storage

Ada beberapa metode yang dapat Anda gunakan untuk menampilkan log audit blob.

  • Anda dapat menggunakan fungsi sistem sys.fn_get_audit_file (T-SQL) untuk mengembalikan data log audit dalam format tabular.

  • Anda dapat menjelajahi log audit dengan menggunakan alat seperti Azure Storage Explorer. Di Microsoft Azure Storage, log audit disimpan sebagai kumpulan file blob dalam kontainer yang ditetapkan untuk menyimpan log audit. Untuk informasi selengkapnya tentang hierarki folder penyimpanan, konvensi penamaan, dan format log, lihat Referensi Format Log Audit Blob.

  • Untuk daftar lengkap metode penggunaan log audit, lihat Mulai dengan audit Microsoft Azure SQL Database.

Menggunakan log yang disimpan di Azure Event Hubs

Untuk menggunakan data log audit dari Azure Event Hubs, Anda perlu menyiapkan aliran untuk mengonsumsi peristiwa dan menulisnya ke target. Untuk informasi selengkapnya, lihat dokumentasi Azure Event Hubs.

Menggunakan dan menganalisis log yang disimpan di log Azure Monitor

Jika log audit ditulis ke log Azure Monitor, log tersebut tersedia di ruang kerja Analitik Log, tempat Anda dapat menjalankan pencarian tingkat lanjut pada data audit. Sebagai titik awal, buka ruang kerja Analitik Log. Di bawah bagian Umum , pilih Log dan masukkan kueri dasar, seperti: search "SQLSecurityAuditEvents" untuk menampilkan log audit.

Log Azure Monitor memberi Anda insight operasional real time menggunakan penelusuran terintegrasi dan dasbor khusus untuk menganalisis jutaan data dengan mudah di semua beban kerja dan server Anda. Untuk informasi selengkapnya tentang bahasa dan perintah pencarian log Azure Monitor, lihat Referensi pencarian log Azure Monitor.

Perbedaan audit antara database di Azure SQL Managed Instance dan database di SQL Server

Perbedaan utama antara audit database di Azure SQL Managed Instance dan database di Microsoft SQL Server adalah:

  • Dengan Azure SQL Managed Instance, audit bekerja di tingkat server dan menyimpan file log .xel di penyimpanan Azure Blob.
  • Di SQL Server, audit berfungsi di tingkat server, tetapi menyimpan peristiwa di log sistem file dan peristiwa windows.

Audit XEvent dalam instans terkelola mendukung target penyimpanan Azure Blob. Log file dan Windows tidak didukung.

Perbedaan utama dalam sintaksis CREATE AUDIT untuk mengaudit ke penyimpanan Azure Blob adalah:

  • Sintaksis baru TO URL disediakan dan memungkinkan Anda menentukan URL kontainer penyimpanan Blob Azure tempat .xel file ditempatkan.
  • Sintaksis baru TO EXTERNAL MONITOR disediakan untuk mengaktifkan Azure Event Hubs dan target log Azure Monitor.
  • Sintaks TO FILE tidak didukung karena Azure SQL Managed Instance tidak dapat mengakses berbagi file Windows.
  • Opsi matikan tidak didukung.
  • queue_delay dari 0 tidak didukung.

Langkah selanjutnya

Pengauditan untuk Azure SQL Database dan Azure Synapse Analytics

  • Last updated on