Azure SQL Database および Azure Synapse Analytics の監査

適用対象:Azure SQL DatabasAzure Synapse Analytics

Azure SQL Database および Azure Synapse Analytics の監査では、データベース イベントが追跡され、Azure ストレージ アカウント、Log Analytics ワークスペース、または Event Hubs の監査ログに書き込まれます。

また、監査によって以下を行うことができます。

  • 規定コンプライアンスの維持、データベース活動の理解、およびビジネス上の懸念やセキュリティ違犯の疑いを示す差異や異常に対する洞察が容易になります。

  • コンプライアンスを保証するものではありませんが、標準へのコンプライアンスを強化します。 詳細については、Microsoft Azure Trust Centerに関するページを参照してください。ここから最新の SQL Database コンプライアンス証明書の一覧を入手できます。

注意

Azure SQL Managed Instance 監査については、SQL Managed Instance 監査を始めるについてをご覧ください

概要

SQL Database 監査を使用して、以下を行うことができます。

  • 保持 。 監査するデータベース活動のカテゴリを定義できます。
  • レポート 。 事前に構成したレポートとダッシュボードを使用して、活動とイベントのレポートをすぐに使用できます。
  • 分析 。 疑わしいイベント、異常な活動、および傾向を発見できます。

重要

Azure SQL データベース、Azure Synapse Analytics SQL プール、Azure SQL Managed Instance の監査は、監査対象のデータベースまたはインスタンスの可用性とパフォーマンスに合わせて最適化されます。 アクティビティが非常に高い、またはネットワーク負荷が高い期間中、監査機能は、監査対象としてマークされたすべてのイベントを記録せずにトランザクションが続行するのを許可する場合があります。

監査の制限事項

  • 一時停止中のAzure Synapse SQLプール で監査を有効にすることはサポートされていません。 監査を有効にするには、Synapse SQL プールを再開します
  • ユーザー割り当てマネージド ID (UAMI) を使用した監査の有効化は、Azure Synapseではサポートされていません。
  • Azure Synapse SQL プールの監査では、既定の監査アクション グループのみがサポートされます。
  • AzureまたはAzure SQL データベースの論理サーバーで、認証 TYPEとしてストレージアクセスキーを使用して、ログ目的地をストレージアカウントとして監査を構成する場合、対象のストレージアカウントは、ストレージアカウントキーへのアクセスが有効になっている必要があります。 ストレージ アカウントが Azure AD 認証のみを使用するように構成されており、アクセス キーの使用について構成されていない場合、監査を構成できません。

解説

  • Premium ストレージBlockBlobStorage がサポートされています。 Standard ストレージがサポートされています。 ただし、VNet またはファイアウォールの内側にあるストレージ アカウントに書き込む監査の場合は、汎用 v2 ストレージ アカウントが必要です。 汎用 v1 または Blob ストレージ アカウントをお持ちの場合は、汎用v2ストレージアカウントにアップグレードしてください。 具体的な手順については、VNet とファイアウォールの背後にあるストレージ アカウントに監査を書き込む方法に関する記事を参照してください。 詳細については、「ストレージ アカウントの種類」を参照してください。
  • すべての種類の Standard ストレージ アカウントおよび Premium ストレージ アカウントと BlockBlobStorage に対する階層型名前空間がサポートされています。
  • 監査ログは Azure サブスクリプションの Azure Blob Storage 内にあるアペンド Blobs に書き込まれます
  • 監査ログは .xel 形式であり、SQL Server Management Studio (SSMS) を使用して開くことができます。
  • サーバー レベルまたはデータベース レベルの監査イベントに対して不変のログ ストアを構成するには、Azure Storage で提供される手順に従います。 不変 BLOB ストレージを構成するときに、 [さらに追加を許可する] を選択していることを確認します。
  • VNet またはファイアウォールの内側にある Azure ストレージ アカウントに監査ログを書き込むことができます。
  • ログの形式、ストレージ フォルダーの階層、および命名規則の詳しい内容については、Blob 監査ログ形式のリファレンスをご覧ください。
  • 読み取り専用レプリカでの監査は自動的に有効になります。 ストレージ フォルダーの階層、命名規則、ログ形式の詳細については、「SQL Database 監査ログの形式」を参照してください。
  • Azure AD Authentication を使用している場合は、失敗したログインのレコードは SQL 監査ログに表示 されません。 失敗したログインの監査レコードを表示するには、これらのイベントの詳細をログに記録している Azure Active Directory ポータルにアクセスする必要があります。
  • ログインはゲートウェイによって、データベースが置かれている特定のインスタンスにルーティングされます。 Azure AD ログインの場合、そのユーザーを使って要求されたデータベースへのログインが試行される前に、認証情報が検証されます。 不合格になった場合、要求されたデータベースがアクセスされることはなく、監査は行われません。 SQLログインでは、認証情報は要求されたデータ上で検証されるので、この場合は監査ができます。 ログイン成功 (明らかにデータベースにアクセスできる) は、いずれの場合も監査されます。
  • 監査設定を構成した後に、新しい脅威の検出機能をオンにし、電子メールを構成してセキュリティの警告を受信します。 脅威の検出を使用すると、セキュリティ上の脅威になる可能性がある異常なデータベース アクティビティに対するプロアクティブ アラートを受信できます。 詳細については、脅威の検出の概要に関するページを参照してください。
  • 監査が有効になっているデータベースが別の論理サーバーにコピーされた後、監査が失敗したことを通知するメールを受け取る場合があります。 これは既知の問題であり、監査は新しくコピーされたデータベースで想定どおりに機能するはずです。

次のステップ

関連項目