Azure SQL Database 및 Azure Synapse Analytics에 대한 감사 설정

  • 아티클

적용 대상:Azure SQL DatabaseAzure Synapse Analytics

이 문서에서는 Azure SQL DatabaseAzure Synapse Analytics에서 논리 서버 또는 데이터베이스에 대한 감사 설정을 진행합니다.

서버에 대한 감사 구성

기본 감사 정책에는 데이터베이스에 대해 실행된 모든 쿼리 및 저장 프로시저와 로그인 성공 및 실패를 감사하는 다음 작업 그룹 세트가 포함됩니다.

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

PowerShell을 사용하여 다양한 형식의 작업 및 작업 그룹에 대한 감사를 구성하려면 Azure SQL Database 감사 관리를 참조하세요.

Azure SQL Database 및 Azure Synapse 감사는 감사 레코드 문자 필드에 4,000자의 데이터를 저장할 수 있습니다. 감사가 가능한 작업에서 반환된 또는 data_sensitivity_information 값에 4000자가 넘게 포함되면 처음 4000자를 초과하는 문자는 잘리고 감사되지 않습니다.

다음 섹션에서는 Azure Portal을 사용하여 감사 구성하는 방법을 설명합니다.

참고 항목

일시 중지된 전용 SQL 풀에서는 감사를 사용하도록 설정할 수 없습니다. 감사를 사용하도록 설정하려면 전용 SQL 풀의 일시 중지를 해제합니다. 자세한 내용은 전용 SQL 풀을 참조하세요.

감사가 Azure Portal 또는 PowerShell cmdlet을 통해 Log Analytics 작업 영역 또는 Event Hubs 대상으로 구성되면 SQLSecurityAuditEvents 범주가 활성화된 진단 설정이 만들어집니다.

  1. Azure Portal로 이동합니다.

  2. SQL 데이터베이스 또는 SQL 서버 창의 보안 제목 아래에 있는 감사로 이동합니다.

  3. 서버 감사 정책을 설정하는 것을 선호하면 데이터베이스 감사 페이지에서 서버 설정 보기 링크를 선택할 수 있습니다. 그런 다음 서버 감사 설정을 보거나 수정할 수 있습니다. 서버 감사 정책은 이 서버의 모든 기존 및 새로 만든 데이터베이스에 적용됩니다.

    Screenshot that shows the View server settings link highlighted on the database auditing page.

  4. 데이터베이스 수준에서 감사를 사용하도록 설정하려면 감사켜짐으로 전환합니다. 서버 감사가 활성화된 경우, 데이터베이스 구성 감사가 서버 감사와 나란히 존재합니다.

  5. 감사 로그가 작성될 위치의 구성에는 여러 가지 옵션이 있습니다. Azure Storage 계정, Azure Monitor 로그에서 사용하는 경우 Log Analytics 작업 영역 또는 이벤트 허브를 통해 사용하는 경우 이벤트 허브에 로그를 작성할 수 있습니다. 이러한 옵션을 조합하여 구성할 수 있으며, 감사 로그는 각각에 대해 작성됩니다.

    Screenshot that shows the storage options for Auditing.

스토리지 대상에 감사 작성

스토리지 계정에 감사 로그를 작성하도록 구성하려면 감사 섹션으로 이동하여 스토리지를 선택합니다. 로그를 저장할 Azure Storage 계정을 선택합니다. 두 가지 스토리지 인증 유형(관리 ID스토리지 액세스 키)을 사용할 수 있습니다. 시스템 할당 관리 ID와 사용자 할당 관리 ID 모두 지원됩니다. 기본적으로 서버에 할당된 기본 사용자 ID가 선택됩니다. 사용자 ID가 없는 경우, 시스템 할당 관리 ID가 생성되어 인증 목적으로 사용됩니다. 인증 유형을 선택한 다음, 고급 속성을 열고 저장을 선택하여 보존 기간을 선택합니다. 보존 기간 보다 오래된 로그는 삭제됩니다.

Screenshot that shows storage account authentication types for Auditing.

참고 항목

Azure Portal에서 배포하는 경우, 스토리지 계정이 데이터베이스 및 서버와 동일한 지역에 있는지 확인합니다. 다른 방법을 통해 배포하는 경우 스토리지 계정은 모든 지역에 있을 수 있습니다.

  • 보존 기간의 기본값은 0(무제한 보존)입니다. 감사를 위해 스토리지 계정을 구성할 때 고급 속성에서 보존(일) 슬라이더를 이동하여 이 값을 변경할 수 있습니다.
    • 보존 기간을 0(무제한 보존)에서 다른 값으로 변경하는 경우, 보존 값이 변경된 후에 작성된 로그에만 보존이 적용됩니다. 보존 일이 무제한 보존으로 설정된 기간 동안 기록된 로그는 보존을 활성화한 후에도 유지됩니다.

Log Analytics 대상에 감사 작성

Log Analytics 작업 영역에 감사 로그를 작성하도록 구성하려면 Log Analytics를 선택하고 Log Analytics 세부 정보를 엽니다. 로그를 저장할 Log Analytics 작업 영역을 선택한 다음 확인을 선택합니다. Log Analytics 작업 영역을 만들지 않았다면 Azure Portal에서 Log Analytics 작업 영역 만들기를 참조하세요.

Screenshot showing the Log Analytics workspace.

이벤트 허브 대상 감사

이벤트 허브에 감사 로그 작성을 구성하려면 Event Hub를 선택하세요. 로그를 저장할 이벤트 허브를 선택한 다음 저장을 선택합니다. 이벤트 허브는 데이터베이스 및 서버와 동일한 지역에 있어야 합니다.

Screenshot showing the Event hub.

참고 항목

스토리지 계정, 로그 분석 또는 이벤트 허브와 같은 여러 대상을 사용하는 경우, 모든 대상에 대한 설정을 저장하려고 시도하므로 감사 구성을 저장하는 다른 모든 대상에 대한 권한이 있는지 확인합니다.

다음 단계

감사를 사용하여 감사 로그 및 보고서 분석하기

참고 항목