Azure SQL Database および Azure Synapse Analytics の監査を設定する
適用対象:Azure SQL データベースAzure Synapse Analytics
この記事では、Azure SQL Database と Azure Synapse Analytics での論理サーバーまたはデータベースの監査の設定について説明します。
サーバーの監査を構成する
既定の監査ポリシーには、次のアクション グループのセットが含まれます。これにより、データベースに対して実行されたすべてのクエリとストアド プロシージャに加えて、成功および失敗したログインが監査されます。
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
PowerShell を使用してさまざまな種類のアクションとアクション グループの監査を構成する場合は、Azure SQL Database 監査の管理に関するページを参照してください。
Azure SQL Database および Azure Synapse Analytics の監査では、監査レコードの文字フィールドに 4,000 文字のデータを格納できます。 監査可能なアクションから返された、statement または data_sensitivity_information 値に 4,000 を超える文字が含まれる場合、最初の 4,000 文字以降のすべてのデータは、切り捨てられ、監査されません。
以下のセクションでは、Azure portal を使用した監査の構成について説明します。
Note
一時停止している専用 SQL プールで監査を有効にすることはできません。 監査を有効にするには、専用 SQL プールの一時停止を解除します。 詳細については、専用 SQL プールに関するページを参照してください。
Azure portal または PowerShell コマンドレットで Log Analytics ワークスペースまたはイベント ハブの宛先に対して監査が構成されている場合、診断設定は SQLSecurityAuditEvents
カテゴリが有効の状態で作成されます。
Azure ポータルにアクセスします。
[SQL データベース] または [SQL サーバー] ペインの [セキュリティ] 見出しの下にある [監査] に移動します。
サーバーの監査ポリシーを設定する場合は、データベース監査ページの [サーバー設定を表示] リンクを選択できます。 そうすると、サーバー監査設定を表示または修正することができます。 サーバー監視ポリシーは、このサーバー上にある既存のデータベースと新規作成されたデータベースのすべてに適用されます。
データベース レベルで監査を有効にする場合は、 [監査] を [ON](オン) に切り替えます。 サーバーの監査が有効になっている場合、データベース構成監査とサーバー監査が並行して存在します。
監査ログを格納する場所を構成するときに、複数のオプションから選択できます。 ログは、Azure ストレージ アカウント、Log Analytics ワークスペース (Azure Monitor ログで使用)、イベント ハブ (イベント ハブで使用) に書き込むことができます。 これらのオプションは組み合わせて構成でき、それぞれの場所に監査ログが書き込まれます。
ストレージ保存先への監査
監査ログをストレージ アカウントに書き込むように構成するには、 [監査] セクションが表示されたら、 [ストレージ] を選択します。 ログを保存する Azure ストレージ アカウントを選びます。 マネージド ID とストレージ アクセス キーの 2 種類のストレージ認証を使用できます。 マネージド ID の場合、システム割り当ておよびユーザー割り当てマネージド ID がサポートされます。 既定では、サーバーに割り当てられているプライマリ ユーザー ID が選択されます。 ユーザー ID がない場合は、システム割り当てマネージド ID が作成され、認証のために使われます。 認証の種類を選んだ後、[詳細プロパティ] を開き、[保存] を選択して、保持期間を選びます。 保持期間よりも古いログは削除されます。
注意
Azure portal からデプロイする場合は、ストレージ アカウントがデータベースおよびサーバーと同じリージョンにあることを確認してください。 他の方法でデプロイする場合は、ストレージ アカウントはどのリージョンでもかまいません。
- リテンション期間の既定値は 0 (無制限のリテンション期間) です。 この値は、ストレージ アカウントを監査用に構成するときに [詳細プロパティ] の [保有期間 (日)] スライダーを移動して変更できます。
- 保持期間を 0 (無制限の保持期間) から他の値に変更した場合、保持期間は、保持期間の値が変更された後に書き込まれたログにのみ適用されます。 保持期間が無制限に設定されている間に書き込まれたログは、保持期間が有効になった後も保持されます。
Log Analytics 保存先への監査
Log Analytics ワークスペースへの監査ログの書き込みを構成するには、 [Log Analytics] を選択して [Log Analytics の詳細] を開きます。 ログを格納する Log Analytics ワークスペースを選んでから、[OK] を選択します。 Log Analytics ワークスペースを作成していない場合は、Azure portal での Log Analytics ワークスペースの作成に関するページを参照してください。
イベント ハブ保存先への監査
イベント ハブへの監査ログの書き込みを構成するには、 [イベント ハブ] を選択します。 ログを格納するイベント ハブを選んでから、[保存] を選択します。 イベント ハブがお使いのデータベースおよびサーバーと同じリージョンにあることを確認します。
注意
ストレージ アカウント、ログ分析、イベント ハブなどの複数のターゲットを使用している場合は、すべてのターゲットに対するアクセス許可があることを確認してください。すべてのターゲットの設定を保存しようとすると、監査構成が失敗します。
次のステップ
関連項目
- 監査の概要
- Data Exposed エピソード「Azure SQL 監査の新機能」
- SQL Managed Instance の監査
- SQL Server の監査
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示