Usare il controllo per analizzare i log di controllo e i report

  • Articolo

Si applica a:database SQL di Azure Azure Synapse Analytics

Questo articolo offre una panoramica dell'analisi dei log di controllo tramite il controllo per database SQL di Azure e Azure Synapse Analytics. È possibile usare Il controllo per analizzare i log di controllo archiviati in:

  • Log Analytics
  • Hub eventi
  • Archiviazione di Azure

Analizzare i log con Log Analytics

Se si sceglie di scrivere i log di controllo su Log Analytics:

  1. Usare il portale di Azure.

  2. Passare alla risorsa di database pertinente.

  3. Nella parte superiore della pagina Controllo del database selezionare Visualizza log di controllo .

    Screenshot of the Auditing menu in the Azure portal where you can select the View audit logs option.

Sono disponibili due modi per visualizzare i log:

  • Selezionando Log Analytics nella parte superiore della pagina Record di controllo si apre la visualizzazione log nell'area di lavoro Log Analytics, in cui è possibile personalizzare l'intervallo di tempo e la query di ricerca.

    Screenshot of selecting Log Analytics in the Audit records menu in the Azure portal.

  • Selezionando Visualizza dashboard nella parte superiore della pagina Record di controllo viene aperto un dashboard che visualizza le informazioni sui log di controllo, in cui è possibile eseguire il drill-down in Informazioni dettagliate sulla sicurezza o Accesso ai dati sensibili. Questo dashboard è progettato per fornire informazioni dettagliate sulla sicurezza per i dati. È anche possibile personalizzare l'intervallo di tempo e la query di ricerca.

    Screenshot of selecting view dashboard in the Audit records menu in the Azure portal.

    Screenshot of the Auditing dashboard.

  • In alternativa, è anche possibile accedere ai log di controllo dal menu Log Analytics . Aprire l'area di lavoro Log Analytics e nella sezione Generale e selezionare Log. È possibile iniziare con una query semplice, ad esempio: cercare "SQLSecurityAuditEvents" per visualizzare i log di controllo. Da qui è anche possibile usare i log di Monitoraggio di Azure per eseguire ricerche avanzate sui dati dei log di controllo. Log di Monitoraggio di Azure consente di ottenere informazioni operative in tempo reale tramite funzionalità di ricerca integrate e dashboard personalizzati per analizzare rapidamente milioni di record in tutti i carichi di lavoro e i server. Per informazioni utili aggiuntive sul linguaggio e i comandi di ricerca dei log di Monitoraggio di Azure, vedere Informazioni di riferimento sulla ricerca dei log di Monitoraggio di Azure.

Analizzare i log con Hub eventi

Se si sceglie di scrivere log di controllo in Hub eventi:

  • Per usare i dati dei log di controllo da Hub eventi, è necessario configurare un flusso per utilizzare gli eventi e scriverli in una destinazione. Per altre informazioni, vedere la documentazione di Hub eventi di Azure.
  • I log di controllo in Hub eventi vengono acquisiti nel corpo degli eventi Apache Avro e archiviati usando la formattazione JSON con codifica UTF-8. Per leggere i log di controllo, è possibile usare Strumenti Avro, flussi di eventi di Microsoft Fabric o strumenti simili che elaborano questo formato.

Analizzare i log usando i log in un account di archiviazione di Azure

Se si sceglie di scrivere i log di controllo in un account di archiviazione di Azure, esistono diversi metodi che è possibile usare per visualizzare i log:

  • I log di controllo vengono aggregati nell'account selezionato durante la configurazione. È possibile esplorare i log di controllo con uno strumento come Azure Storage Explorer. Nell'archiviazione di Azure, i log del controllo vengono salvati come raccolta di file BLOB in un contenitore denominato sqldbauditlogs. Per altre informazioni sulla gerarchia delle cartelle di archiviazione, sulle convenzioni di denominazione e sul formato di log, vedere database SQL Formato log di controllo.

    1. Usare il portale di Azure.

    2. Aprire la risorsa di database pertinente.

    3. Nella parte superiore della pagina Controllo del database selezionare Visualizza log di controllo .

      Screenshot showing how to view audit logs.

      Verrà visualizzata la pagina Record di controllo e sarà possibile visualizzare i log.

    4. È possibile visualizzare date specifiche selezionando Filtro nella parte superiore della pagina Record di controllo.

    5. È possibile passare da un record di controllo all'altro creato dai criteri di controllo del server e dai criteri di controllo del database attivando o disattivando Origine controllo.

      Screenshot that shows the options for viewing the audit records.

  • Usare la funzione di sistema sys.fn_get_audit_file (T-SQL) per restituire i dati dei log di controllo in formato tabulare. Per altre informazioni su questa funzione, vedere sys.fn_get_audit_file.

  • Usare Unisci file di controllo in SQL Server Management Studio (a partire da SSMS 17):

    1. Dalla barra dei menu di SSMS selezionare File>Apri>Unisci file di controllo.

      Screenshot that shows the Merge Audit Files menu option.

    2. Verrà visualizzata la finestra di dialogo Aggiunti file di controllo. Selezionare una delle opzioni Aggiungi per scegliere se unire i file di controllo da un disco locale oppure importarli da Archiviazione di Azure. È necessario specificare i dettagli Archiviazione di Azure e la chiave dell'account.

    3. Dopo aver aggiunto tutti i file da unire, selezionare OK per completare l'operazione di unione.

    4. Il file unito verrà aperto in SSMS, dove potrà essere visualizzato, analizzato ed esportato in un file XEL o CSV o in una tabella.

  • Usare Power BI. È possibile visualizzare e analizzare i dati dei log di controllo in Power BI. Per altre informazioni e per accedere a un modello scaricabile, vedere Analyze audit log data in Power BI (Analizzare i dati di log di controllo in Power BI).

  • Scaricare i file di log dal contenitore BLOB del servizio di archiviazione di Azure tramite il portale o con uno strumento come Azure Storage Explorer.

    • Dopo aver scaricato un file di log in locale, fare doppio clic sul file per aprire, visualizzare e analizzare i log in SSMS.
    • È anche possibile scaricare più file contemporaneamente in Archiviazione di Azure Explorer. Per farlo, fare clic con il pulsante destro del mouse su una sottocartella specifica e scegliere Salva con nome per salvarla in una cartella locale.

  • Altri metodi:

    • Dopo avere scaricato diversi file o una sottocartella contenente i file di log, è possibile unirli in locale come descritto nelle istruzioni relative all'unione di file di controllo in SSMS riportate in precedenza.
    • Visualizzare i log di controllo BLOB a livello di codice: eseguire query sui file degli eventi estesi tramite PowerShell.

Vedi anche