Memverifikasi tabel ledger untuk mendeteksi perubahan

Berlaku untuk: SQL Server 2022 (16.x) Azure SQL DatabaseAzure SQL Managed Instance

Dalam artikel ini, Anda akan memverifikasi integritas data dalam tabel ledger Anda. Jika Anda telah mengonfigurasi penyimpanan Hash otomatis pada database Anda, ikuti T-SQL menggunakan bagian penyimpanan hash otomatis. Jika tidak, ikuti T-SQL menggunakan bagian hash yang dihasilkan secara manual.

Prasyarat

• Memiliki langganan Azure aktif jika Anda menggunakan Azure SQL Database atau Azure SQL Managed Instance. Jika Anda tidak memilikinya, buat akun gratis.
• Buat dan gunakan tabel ledger yang dapat diperbarui atau buat dan gunakan tabel ledger khusus tambahan.
• SQL Server Management Studio atau Azure Data Studio.
• Opsi database ALLOW_SNAPSHOT_ISOLATION harus diaktifkan pada database sebelum Anda bisa menjalankan prosedur tersimpan verifikasi.

Menjalankan verifikasi ledger untuk database

Transact-SQL menggunakan penyimpanan digest otomatis

1. Sambungkan ke database Anda menggunakan SQL Server Management Studio atau Azure Data Studio.

2. Buat kueri baru dengan pernyataan Transact-SQL berikut:

   DECLARE @digest_locations NVARCHAR(MAX) = (SELECT * FROM sys.database_ledger_digest_locations FOR JSON AUTO, INCLUDE_NULL_VALUES);SELECT @digest_locations as digest_locations;
   BEGIN TRY
       EXEC sys.sp_verify_database_ledger_from_digest_storage @digest_locations;
       SELECT 'Ledger verification succeeded.' AS Result;
   END TRY
   BEGIN CATCH
       THROW;
   END CATCH
   

   Catatan

   Skrip verifikasi juga dapat ditemukan di portal Azure. Buka portal Azure dan temukan database yang ingin Anda verifikasi. Di Keamanan, pilih opsi Ledger. Di panel Ledger , pilih </> Verifikasi database.

3. Mengeksekusi kueri. Anda akan melihat bahwa digest_locations mengembalikan lokasi saat ini di mana digest database Anda disimpan dan juga lokasi-lokasi sebelumnya. Hasil mengembalikan keberhasilan atau kegagalan verifikasi ledger.

   

4. Buka hasil digest_locations yang diset untuk melihat lokasi digest Anda. Contoh berikut menunjukkan dua lokasi penyimpanan digest untuk database ini:

   • jalur menunjukkan lokasi digest.

   • last_digest_block_id menunjukkan ID blok dari digest terakhir yang disimpan di lokasi jalur.

   • is_current menunjukkan apakah lokasi di jalur adalah lokasi saat ini (benar) atau sebelumnya (salah).

     [
      {
          "path": "https:\/\/digest1.blob.core.windows.net\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 10016,
          "is_current": true
      },
      {
          "path": "https:\/\/jandersneweracl.confidential-ledger.azure.com\/sqldbledgerdigests\/janderstestportal2server\/jandersnewdb\/2021-05-20T04:39:47.6570000",
          "last_digest_block_id": 1704,
          "is_current": false
      }
     ]
     

   Penting

   Saat Anda menjalankan verifikasi ledger, periksa lokasi digest_locations untuk memastikan digest yang digunakan dalam verifikasi diambil dari lokasi yang Anda harapkan. Anda ingin memastikan bahwa pengguna istimewa belum mengubah lokasi penyimpanan hash ke lokasi penyimpanan yang tidak terlindungi, seperti Azure Storage, tanpa kebijakan kekekalan yang dikonfigurasi dan dikunci.

5. Verifikasi mengembalikan pesan berikut di jendela Hasil.

   • Jika tidak ada pengubahan dalam database Anda, pesannya adalah:

     Ledger verification successful
     

   • Jika ada perubahan dalam database Anda, kesalahan berikut akan muncul di jendela Pesan:

     Failed to execute query. Error: The hash of block xxxx in the database ledger doesn't match the hash provided in the digest for this block.
     

T-SQL menggunakan hash yang dihasilkan manual

1. Sambungkan ke database Anda menggunakan SQL Server Management Studio atau Azure Data Studio.

2. Buat kueri baru dengan pernyataan Transact-SQL berikut:

   EXECUTE sp_generate_database_ledger_digest;
   

3. Mengeksekusi kueri. Hasilnya berisi digest database terbaru dan mewakili hash database pada titik waktu saat ini. Salin konten hasil yang akan digunakan pada langkah berikutnya.

   

4. Buat kueri baru dengan pernyataan T-SQL berikut. Ganti <YOUR DATABASE DIGEST> dengan hash yang Anda salin di langkah sebelumnya.

   EXECUTE sp_verify_database_ledger N'
   <YOUR DATABASE DIGEST>
   ';
   

5. Mengeksekusi kueri. Jendela Pesan berisi pesan sukses berikut.

   

   Tip

   Menjalankan verifikasi ledger dengan hash terbaru hanya akan memverifikasi database sejak hash dibuat sampai waktu verifikasi dijalankan. Untuk memverifikasi bahwa data historis di database Anda tidak diubah, jalankan verifikasi dengan menggunakan beberapa file digest database. Mulailah dengan titik waktu di mana Anda ingin memverifikasi database. Contoh verifikasi yang melewati beberapa digest akan terlihat mirip dengan kueri berikut.

   EXECUTE sp_verify_database_ledger N'
   [
       {
           "database_name":  "ledgerdb",
           "block_id":  0,
           "hash":  "0xDC160697D823C51377F97020796486A59047EBDBF77C3E8F94EEE0FFF7B38A6A",
           "last_transaction_commit_time":  "2020-11-12T18:01:56.6200000",
           "digest_time":  "2020-11-12T18:39:27.7385724"
       },
       {
           "database_name":  "ledgerdb",
           "block_id":  1,
           "hash":  "0xE5BE97FDFFA4A16ADF7301C8B2BEBC4BAE5895CD76785D699B815ED2653D9EF8",
           "last_transaction_commit_time":  "2020-11-12T18:39:35.6633333",
           "digest_time":  "2020-11-12T18:43:30.4701575"
       }
   ]';
   

Catatan

Dalam contoh ini, kami memanggil prosedur tersimpan sp_generate_database_ledger_digest untuk menghasilkan hash dan menggunakannya segera untuk verifikasi. Namun, ketika pelanggan menggunakan penyimpanan tepercaya kustom, mereka dapat menyimpan hash dalam penyimpanan tepercaya untuk verifikasi selanjutnya.

Konten terkait

• Gambaran umum ledger
• sys.database_ledger_digest_locations
• sp_verify_database_ledger_from_digest_storage
• sp_verify_database_ledger
• sp_generate_database_ledger_digest