Share via

Esercitazione: Configurare i log di controllo usando Database di Azure per MySQL - Server flessibile

  • Articolo

SI APPLICA A: Database di Azure per MySQL - Server flessibile

È possibile usare Database di Azure per MySQL server flessibile per configurare i log di controllo. I log di controllo possono essere usati per tenere traccia delle attività a livello di database, inclusi gli eventi DML (Connection, Administration, Data Definition Language) e Data Manipulation Language (DML). Questi tipi di log vengono comunemente usati per finalità di conformità. In genere si usa il controllo del database per:

  • Tenere conto di tutte le azioni eseguite all'interno di uno schema, una tabella o una riga specifici o che influiscono su contenuto specifico.
  • Impedire agli utenti (o ad altri) di eseguire azioni inappropriate in base alla responsabilità.
  • Analizzare le attività sospette.
  • Monitorare e raccogliere dati sulle attività specifiche del database.

Questo articolo illustra come usare i log di controllo mySQL, gli strumenti di Log Analytics o un modello di cartella di lavoro per visualizzare le informazioni di controllo per Database di Azure per MySQL server flessibile.

Questa esercitazione illustra come:

  • Configurare il controllo usando il portale di Azure o l'interfaccia della riga di comando di Azure
  • Configurare la diagnostica
  • Visualizzare i log di controllo con Log Analytics
  • Visualizzare i log di controllo usando cartelle di lavoro

Prerequisiti

Configurare il controllo usando il portale di Azure

  1. Accedere al portale di Azure.

  2. Selezionare l'istanza del server flessibile.

  3. Nel riquadro sinistro, in Impostazioni selezionare Parametri del server.

    Screenshot showing the 'Server parameters' list.

  4. Per il parametro audit_log_enabled selezionare ON.

    Screenshot showing the 'audit_log_enabled' parameter switched to 'ON'.

  5. Per il parametro audit_log_events , nell'elenco a discesa selezionare i tipi di evento da registrare.

    Screenshot of the event options in the 'audit_log_events' dropdown list.

  6. Per i parametri audit_log_exclude_users e audit_log_include_users , specificare gli utenti mySQL da includere o escludere dalla registrazione specificando i propri nomi utente MySQL.

    Screenshot showing the MySQL usernames to be included or excluded from logging.

  7. Seleziona Salva.

    Screenshot of the 'Save' button for saving changes in the parameter values.

Configurare il controllo usando l'interfaccia della riga di comando di Azure

In alternativa, è possibile abilitare e configurare il controllo per il server flessibile dall'interfaccia della riga di comando di Azure eseguendo il comando seguente:

# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON

Configurare la diagnostica

I log di controllo sono integrati con le impostazioni di diagnostica di Monitoraggio di Azure per consentire di inviare i log a uno dei tre sink di dati seguenti:

  • Un'area di lavoro Log Analytics
  • Un hub eventi
  • Un account di archiviazione

Nota

È necessario creare i sink di dati prima di configurare le impostazioni di diagnostica. È possibile accedere ai log di controllo nei sink di dati configurati. La visualizzazione dei log può richiedere fino a 10 minuti.

  1. Nel riquadro sinistro, in Monitoraggio, selezionare Impostazioni di diagnostica.

  2. Nel riquadro Impostazioni di diagnostica selezionare Aggiungi impostazione di diagnostica.

    Screenshot of the 'Add diagnostic setting' link on the 'Diagnostic settings' pane.

  3. Nella casella Nome immettere un nome per l'impostazione di diagnostica.

    Screenshot of the 'Diagnostics settings' pane for selecting configuration options.

  4. Specificare le destinazioni (area di lavoro Log Analytics, un hub eventi o un account di archiviazione) a cui inviare i log di controllo selezionando le relative caselle di controllo corrispondenti.

    Nota

    Per questa esercitazione si invieranno i log di controllo a un'area di lavoro Log Analytics.

  5. In Log selezionare la casella di controllo MySqlAuditLogs per il tipo di log.

  6. Dopo aver configurato i sink di dati per inviare tramite pipe i log di controllo a, selezionare Salva.

Visualizzare i log di controllo con Log Analytics

  1. In Log Analytics, nel riquadro sinistro, in Monitoraggio selezionare Log.

  2. Chiudere la finestra Query .

    Screenshot of the Log Analytics 'Queries' pane.

  3. Nella finestra della query è possibile scrivere la query da eseguire. Ad esempio, per trovare un riepilogo degli eventi controllati in un determinato server, è stata usata la query seguente:

    AzureDiagnostics
    |where Category =='MySqlAuditLogs' 
    |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s 
    |summarize count() by event_class_s,event_subclass_s 
    |order by event_class_s

    Screenshot of an example Log Analytics query seeking to find a summary of audited events on a particular server.

Visualizzare i log di controllo usando cartelle di lavoro

Il modello di cartella di lavoro usato per il controllo richiede la creazione di impostazioni di diagnostica per l'invio dei log della piattaforma.

  1. Nel riquadro sinistro di Monitoraggio di Azure selezionare Log attività e quindi impostazioni di diagnostica.

    Screenshot showing the 'Diagnostics settings' tab on the Azure Monitor 'Activity log' pane.

  2. Nel riquadro Impostazioni di diagnostica è possibile aggiungere una nuova impostazione o modificarne una esistente. Ogni impostazione non può avere più di un tipo di destinazione.

    Screenshot of the Azure Monitor 'Diagnostic setting' pane for selecting log destinations.

    Nota

    È possibile accedere ai log di query lente nei sink di dati (area di lavoro Log Analytics, account di archiviazione o hub eventi) già configurati. La visualizzazione dei log può richiedere fino a 10 minuti.

  3. Nel portale di Azure, nel riquadro sinistro, in Monitoraggio per l'istanza del server flessibile Database di Azure per MySQL selezionare Cartelle di lavoro.

  4. Selezionare la cartella di lavoro Controllo .

    Screenshot showing all workbooks in the workbook gallery.

Nella cartella di lavoro è possibile visualizzare le visualizzazioni seguenti:

  • azioni Amministrazione istrative nel servizio
  • Riepilogo controllo
  • Riepilogo degli eventi di controllo Connessione ion
  • Controlla eventi di Connessione ion
  • Riepilogo dell'accesso alle tabelle
  • Errori identificati

Screenshot of workbook template 'Administrative Actions on the service'.

Screenshot of workbook template 'Audit Connection Events'.

Nota

  • È anche possibile modificare questi modelli e personalizzarli in base alle esigenze. Per altre informazioni, vedere la sezione "Modalità di modifica" di Cartelle di lavoro di Azure.
  • Per una visualizzazione rapida, è anche possibile aggiungere le cartelle di lavoro o la query di Log Analytics al dashboard. Per altre informazioni, vedere Creare un dashboard nel portale di Azure.

Le azioni Amministrazione istrative nella visualizzazione del servizio offrono informazioni dettagliate sull'attività eseguita sul servizio. Consente di determinare cosa , chi e quando per qualsiasi operazione di scrittura (PUT, POST, DELETE) eseguita sulle risorse nella sottoscrizione.

È possibile usare altre visualizzazioni per comprendere i dettagli dell'attività del database. La sicurezza del database ha quattro parti:

  • Sicurezza del server: responsabile della prevenzione dell'accesso al database da parte del personale non autorizzato.
  • Connessione al database: l'amministratore deve verificare se gli aggiornamenti del database sono stati eseguiti dal personale autorizzato.
  • Controllo di accesso alle tabelle: mostra le chiavi di accesso degli utenti autorizzati e le tabelle all'interno del database che ognuno è autorizzato a gestire.
  • Restrizione dell'accesso al database: particolarmente importante per coloro che hanno caricato un database in Internet e impedisce alle origini esterne di accedere al database.

Passaggi successivi