Introduzione al controllo di Istanza gestita di SQL di Azure

Si applica a: Istanza gestita di SQL di Azure

Istanza gestita di SQL di Azure il controllo tiene traccia degli eventi del database e li scrive in un log di controllo nell'account di archiviazione di Azure. Inoltre, il servizio di controllo:

  • Consente di gestire la conformità alle normative, ottenere informazioni sull'attività del database e rilevare discrepanze e anomalie che possono indicare problemi aziendali o possibili violazioni della sicurezza.
  • Supporta e facilita il rispetto degli standard di conformità, pur non garantendo la conformità. Per altre informazioni, vedere il Centro protezione di Microsoft Azure in cui è possibile trovare l'elenco più recente delle certificazioni di conformità Istanza gestita di SQL.

Importante

Il controllo per database Azure SQL, Azure Synapse e Istanza gestita di SQL di Azure è ottimizzato per la disponibilità e le prestazioni. Durante un'attività molto elevata o un carico di rete elevato, Azure SQL Database, Azure Synapse e Istanza gestita di SQL di Azure consentono alle operazioni di procedere e potrebbero non registrare alcuni eventi controllati.

Configurare il controllo per il server in Archiviazione di Azure

La sezione seguente descrive la configurazione del controllo per l'istanza gestita.

  1. Accedere al portale di Azure.

  2. Creare un contenitore di Archiviazione di Azure in cui archiviare i log di controllo.

    1. Passare all'account di archiviazione di Azure in cui archiviare i log di controllo.

      Importante

      • Usare un account di archiviazione nella stessa area dell'istanza gestita per evitare operazioni di lettura e scrittura tra aree diverse.
      • Se l'account di archiviazione si trova dietro una rete virtuale o un firewall, vedere Concedere l'accesso da una rete virtuale.
      • Se si modifica il periodo di conservazione da 0 (conservazione illimitata) a qualsiasi altro valore, tenere presente che la conservazione verrà applicata solo ai log scritti dopo la modifica del valore di conservazione (i log scritti durante il periodo in cui la conservazione è stata impostata su illimitata vengono conservati, anche dopo l'abilitazione della conservazione).
    2. Nell'account di archiviazione passare a Panoramica e fare clic su BLOB.

      Widget BLOB di Azure

    3. Nel menu in alto fare clic su + Contenitore per creare un nuovo contenitore.

      Icona per creare un contenitore BLOB

    4. Specificare un nome contenitore, impostare Livello di accesso pubblico su Privato e quindi fare clic su OK.

      Creare una configurazione del contenitore BLOB

    Importante

    I clienti che desiderano configurare un archivio log non modificabile per gli eventi di controllo a livello di server o di database devono seguire le istruzioni fornite da Archiviazione di Azure. Assicurarsi di aver selezionato Consenti aggiunte aggiuntive quando si configura l'archiviazione BLOB non modificabile.

  3. Dopo aver creato il contenitore per i log di controllo, è possibile configurarlo come destinazione per i log di controllo: usando T-SQL o usando l'interfaccia utente di SQL Server Management Studio (SSMS):

    • Configurare l'archiviazione BLOB per i log di controllo usando T-SQL:

      1. Nell'elenco dei contenitori fare clic sul contenitore appena creato e quindi fare clic su Proprietà del contenitore.

        Pulsante delle proprietà del contenitore BLOB

      2. Copiare l'URL del contenitore facendo clic sull'icona di copia e salvarlo (ad esempio, in Blocco note) per uso futuro. Il formato dell'URL del contenitore deve essere https://<StorageName>.blob.core.windows.net/<ContainerName>

        URL da copiare del contenitore BLOB

      3. Generare un token di firma di accesso condiviso di Archiviazione di Azure per concedere diritti di accesso di controllo dell'istanza gestita all'account di archiviazione:

        • Passare all'account di archiviazione di Azure in cui è stato creato il contenitore nel passaggio precedente.

        • Fare clic su Firma di accesso condiviso nel menu Impostazioni di archiviazione .

          Icona Firma di accesso condiviso nel menu Impostazioni di archiviazione

        • Configurare SAS come segue:

          • Servizi consentiti: BLOB

          • Data di inizio: per evitare problemi relativi al fuso orario, usare la data di ieri

          • Data di fine: scegliere la data in cui scade il token di firma di accesso condiviso

            Nota

            Rinnovare il token alla scadenza per evitare errori di controllo.

          • Fare clic su Genera firma di accesso condiviso.

            Configurazione della firma di accesso condiviso

        • Il token di firma di accesso condiviso viene visualizzato nella parte inferiore. Copiare il token facendo clic sull'icona di copia e salvarlo (ad esempio, in Blocco note) per uso futuro.

          Copiare il token di accesso condiviso

          Importante

          Rimuovere il carattere punto interrogativo (?) dall'inizio del token.

      4. Connettersi all'istanza gestita tramite SQL Server Management Studio o qualsiasi altro strumento supportato.

      5. Eseguire l'istruzione T-SQL seguente per creare una nuova credenziale usando l'URL del contenitore e il token di firma di accesso condiviso creati nei passaggi precedenti:

        CREATE CREDENTIAL [<container_url>]
        WITH IDENTITY='SHARED ACCESS SIGNATURE',
        SECRET = '<SAS KEY>'
        GO
        
      6. Eseguire l'istruzione T-SQL seguente per creare un nuovo controllo server (scegliere il proprio nome di controllo e usare l'URL del contenitore creato nei passaggi precedenti). Se non specificato, il RETENTION_DAYS valore predefinito è 0 (conservazione illimitata):

        CREATE SERVER AUDIT [<your_audit_name>]
        TO URL ( PATH ='<container_url>' , RETENTION_DAYS =  integer )
        GO
        
      7. Continuare creando una specifica del controllo del server o una specifica del controllo del database.

    • Configurare l'archiviazione BLOB per i log di controllo usando SQL Server Management Studio 18:

      1. Connettersi all'istanza gestita usando l'interfaccia utente di SQL Server Management Studio.

      2. Espandere la nota radice di Esplora oggetti.

      3. Espandere il nodo Sicurezza , fare clic con il pulsante destro del mouse sul nodo Controlli e scegliere Nuovo controllo:

        Espandere i nodi Sicurezza e Controlli

      4. Assicurarsi che l'URL sia selezionato in Destinazione di controllo e fare clic su Sfoglia:

        Sfogliare Archiviazione di Azure

      5. (Facoltativo) Accedere all'account di Azure:

        Accedere ad Azure

      6. Selezionare una sottoscrizione, un account di archiviazione e un contenitore BLOB dall'elenco a discesa oppure creare un contenitore personalizzato facendo clic su Crea. Al termine, fare clic su OK:

        Selezionare la sottoscrizione di Azure, l'account di archiviazione e il contenitore BLOB

      7. Fare clic su OK nella finestra di dialogo Crea controllo .

        Nota

        Quando si usa SQL Server Management Studio'interfaccia utente per creare il controllo, verrà creata automaticamente una credenziale per il contenitore con chiave di firma di accesso condiviso.

      8. Dopo aver configurato il contenitore BLOB come destinazione per i log di controllo, creare e abilitare una specifica di controllo del server o una specifica di controllo del database come si farebbe per SQL Server:

    • Guida T-SQL per la creazione della specifica del controllo server

    • Guida T-SQL per la creazione della specifica di controllo del database

  4. Abilitare il controllo server creato nel passaggio 3:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE=ON);
    GO
    

Per altre informazioni:

Controllo delle operazioni di supporto tecnico Microsoft

Il controllo delle operazioni di supporto tecnico Microsoft per Istanza gestita di SQL consente di controllare le operazioni dei tecnici del supporto Microsoft quando devono accedere al server durante una richiesta di supporto. L'uso di questa funzionalità, insieme al controllo, consente una maggiore trasparenza nella forza lavoro e consente il rilevamento anomalie, la visualizzazione delle tendenze e la prevenzione della perdita dei dati.

Per abilitare il controllo delle operazioni di supporto tecnico Microsoft, passare a Crea controllo inControllodi sicurezza> nell'istanza di gestione SQL e selezionare Operazioni di supporto Microsoft.

Icona crea controllo

Configurare il controllo per il server in Hub eventi o nei log di Monitoraggio di Azure

I log di controllo da un'istanza gestita possono essere inviati a Hub eventi di Azure o ai log di Monitoraggio di Azure. Questa sezione illustra come configurarli:

  1. Passare al portale di Azure all'istanza gestita.

  2. Fare clic su Impostazioni di diagnostica.

  3. Fare clic su Attiva diagnostica. Se la diagnostica è già abilitata, verrà invece visualizzata l'impostazione +Aggiungi diagnostica .

  4. Selezionare SQLSecurityAuditEvents nell'elenco dei log.

  5. Selezionare una destinazione per gli eventi di controllo: Hub eventi, log di Monitoraggio di Azure o entrambi. Configurare per ogni destinazione i parametri obbligatori (ad esempio Log Analytics dell'area di lavoro).

  6. Fare clic su Salva.

    Configurare le impostazioni di diagnostica

  7. Connettersi all'istanza gestita usando SQL Server Management Studio (SSMS) o qualsiasi altro client supportato.

  8. Eseguire l'istruzione T-SQL seguente per creare un controllo del server:

    CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
    GO
    
  9. Creare e abilitare una specifica di controllo server o di controllo database come si farebbe per SQL Server:

  10. Abilitare il controllo server creato nel passaggio 8:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE=ON);
    GO
    

Utilizzo di log di controllo

Utilizzo dei log archiviati in Archiviazione di Azure

Per visualizzare i log di controllo dei BLOB sono disponibili diversi metodi.

Usare i log archiviati in Hub eventi

Per usare i dati dei log di controllo da Hub eventi, è necessario configurare un flusso per usare gli eventi e scriverli in una destinazione. Per altre informazioni, vedere la documentazione di Hub eventi di Azure.

Usare e analizzare i log archiviati nei log di Monitoraggio di Azure

Se i log di controllo vengono scritti in Log di Monitoraggio di Azure, saranno disponibili nell'area di lavoro Log Analytics, in cui è possibile eseguire ricerche avanzate sui dati di controllo. Come punto di partenza passare all'area di lavoro Log Analytics. Nella sezione Generale fare clic su Log e immettere una semplice query, ad esempio: search "SQLSecurityAuditEvents" per visualizzare i log di controllo.

Log di Monitoraggio di Azure consente di ottenere informazioni operative in tempo reale tramite funzionalità di ricerca integrate e dashboard personalizzati per analizzare rapidamente milioni di record in tutti i carichi di lavoro e i server. Per altre informazioni utili sul linguaggio di ricerca e i comandi di Log di Monitoraggio di Azure, vedere Guida di riferimento alla ricerca in Log di Monitoraggio di Azure.

Nota

Questo articolo è stato aggiornato di recente in modo da usare il termine log di Monitoraggio di Azure anziché Log Analytics. I dati di log vengono comunque archiviati in un'area di lavoro Log Analytics e vengano ancora raccolti e analizzati dallo stesso servizio Log Analytics. Si sta procedendo a un aggiornamento della terminologia per riflettere meglio il ruolo dei log in Monitoraggio di Azure. Per informazioni dettagliate, vedere Modifiche della terminologia di Monitoraggio di Azure.

Controllo delle differenze tra database in Istanza gestita di SQL di Azure e database in SQL Server

Le differenze principali tra il controllo nei database in Istanza gestita di SQL di Azure e i database in SQL Server sono:

  • Con Istanza gestita di SQL di Azure, il controllo funziona a livello di server e archivia .xel i file di log nell'archiviazione BLOB di Azure.
  • In SQL Server il controllo funziona a livello di server, ma archivia gli eventi nel file system e nei log eventi di Windows.

Il controllo XEvent nelle istanze gestite supporta le destinazioni di archiviazione BLOB di Azure. I log di File e Windows non sono supportati.

Le principali differenze nella sintassi CREATE AUDIT per il controllo in Archivio BLOB di Azure sono le seguenti:

  • Viene fornita una nuova sintassi TO URL e consente di specificare l'URL del contenitore di archiviazione BLOB di Azure in cui vengono inseriti i .xel file.
  • Viene fornita una nuova sintassi TO EXTERNAL MONITOR per abilitare hub eventi e destinazioni di log di Monitoraggio di Azure.
  • La sintassi non è supportata perché Istanza gestita di SQL di Azure non è in grado di accedere alle condivisioni TO FILE file di Windows.
  • L'opzione Shutdown non è supportata.
  • Un valore di queue_delay uguale a 0 non è supportato.

Passaggi successivi

  • Per un elenco completo dei metodi di utilizzo del log di controllo, vedere Introduzione al controllo del database Azure SQL.
  • Per altre informazioni sui programmi di Azure che supportano la conformità degli standard, vedere Centro protezione di Azure, in cui è possibile trovare l'elenco più recente delle certificazioni di conformità.