Delen via


Indeling van auditlogboeken SQL Database

Van toepassing op: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Met Azure SQL Database-controle worden databasegebeurtenissen bijgehouden en naar een auditlogboek in uw Azure-opslagaccount geschreven, of verzonden naar Event Hub of Log Analytics voor downstreamverwerking en analyse.

Naamconventies

Blobcontrole

Auditlogboeken die zijn opgeslagen in Azure Blob Storage, worden opgeslagen in een container met de naam sqldbauditlogs in het Azure-opslagaccount. De maphiërarchie binnen de container is van het formulier <ServerName>/<DatabaseName>/<AuditName>/<Date>/. De indeling van de blob-bestandsnaam is <CreationTime>_<FileNumberInSession>.xel, waar CreationTime de UTC-indeling hh_mm_ss_ms zich bevindt en FileNumberInSession een actieve index is voor het geval sessielogboeken meerdere Blob-bestanden omvatten.

Voor de database Database1 op Server1 het volgende is bijvoorbeeld een mogelijk geldig pad:

Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel

Auditlogboeken met het kenmerk Alleen-lezen replica's worden opgeslagen in dezelfde container. De maphiërarchie binnen de container is van het formulier <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. De blobbestandsnaam deelt dezelfde indeling. De auditlogboeken van alleen-lezen replica's worden opgeslagen in dezelfde container.

Event Hub

Controlegebeurtenissen worden geschreven naar de naamruimte en Event Hub die tijdens de controleconfiguratie zijn gedefinieerd. Ze worden vastgelegd in de hoofdtekst van Apache Avro-gebeurtenissen en opgeslagen met behulp van een JSON-indeling met UTF-8-codering. Als u de auditlogboeken wilt lezen, kunt u Avro-hulpprogramma's of gelijksoortige hulpmiddelen gebruiken waarmee deze indeling wordt verwerkt.

Log Analytics

Controlegebeurtenissen worden tijdens de controleconfiguratie naar de Log Analytics-werkruimte geschreven, naar de AzureDiagnostics tabel met de categorie SQLSecurityAuditEventsen tabel met de categorie DevOpsOperationsAudit voor Microsoft Ondersteuning Bewerkingen. Zie Naslag voor Log Analytics voor meer nuttige informatie over de zoektaal en -opdrachten in Log Analytics.

Auditlogboekvelden

Naam (blob) Naam (Event Hubs/Log Analytics) Omschrijving Blob-type Event Hubs/Log Analytics-type
action_id action_id_s Id van de actie varchar(4) tekenreeks
action_name action_name_s Naam van de actie N.v.t. tekenreeks
additional_information additional_information_s Eventuele aanvullende informatie over de gebeurtenis, opgeslagen als XML nvarchar(4000) tekenreeks
affected_rows affected_rows_d Aantal rijen dat wordt beïnvloed door de query bigint geheel getal (int)
application_name application_name_s Naam van clienttoepassing nvarchar(128) tekenreeks
audit_schema_version audit_schema_version_d Altijd 1 geheel getal (int) geheel getal (int)
class_type class_type_s Type controleerbare entiteit waarop de controle plaatsvindt varchar(2) tekenreeks
class_type_desc class_type_description_s Beschrijving van controleerbare entiteit waarop de controle plaatsvindt N.v.t. tekenreeks
client_ip client_ip_s Bron-IP van de clienttoepassing nvarchar(128) tekenreeks
connection_id N.v.t. Id van de verbinding op de server GUID N.v.t.
data_sensitivity_information data_sensitivity_information_s Informatietypen en vertrouwelijkheidslabels die worden geretourneerd door de gecontroleerde query, op basis van de geclassificeerde kolommen in de database. Meer informatie over het detecteren en classificeren van Azure SQL Database-gegevens nvarchar(4000) tekenreeks
Database_name database_name_s De databasecontext waarin de actie heeft plaatsgevonden sysname tekenreeks
database_principal_id database_principal_id_d Id van de databasegebruikerscontext waarin de actie wordt uitgevoerd geheel getal (int) geheel getal (int)
database_principal_name database_principal_name_s Naam van de databasegebruikerscontext waarin de actie wordt uitgevoerd sysname tekenreeks
duration_milliseconds duration_milliseconds_d Uitvoeringsduur van query's in milliseconden bigint geheel getal (int)
event_time event_time_t Datum en tijd waarop de controleerbare actie wordt geactiveerd datetime2 datum/tijd
host_name N.v.t. Hostnaam van client tekenreeks N.v.t.
is_column_permission is_column_permission_s Vlag die aangeeft of dit een machtiging op kolomniveau is. 1 = waar, 0 = onwaar bit tekenreeks
N.v.t. is_server_level_audit_s Vlag die aangeeft of deze controle zich op serverniveau bevindt N.v.t. tekenreeks
object_-id object_id_d De id van de entiteit waarop de controle heeft plaatsgevonden. Dit omvat: serverobjecten, databases, databaseobjecten en schemaobjecten. 0 als de entiteit de server zelf is of als de controle niet wordt uitgevoerd op objectniveau geheel getal (int) geheel getal (int)
object_name object_name_s De naam van de entiteit waarop de controle heeft plaatsgevonden. Dit omvat: serverobjecten, databases, databaseobjecten en schemaobjecten. 0 als de entiteit de server zelf is of als de controle niet wordt uitgevoerd op objectniveau sysname tekenreeks
obo_middle_tier_app_id obo_middle_tier_app_id_s De toepassings-id van de middelste laag die is verbonden met SQL Database met behulp van OBO-toegang. varchar(120) tekenreeks
permission_bitmask permission_bitmask_s Toont, indien van toepassing, de machtigingen die zijn verleend, geweigerd of ingetrokken varbinary(16) tekenreeks
response_rows response_rows_d Aantal rijen dat wordt geretourneerd in de resultatenset bigint geheel getal (int)
schema_name schema_name_s De schemacontext waarin de actie heeft plaatsgevonden. NULL voor controles die buiten een schema plaatsvinden sysname tekenreeks
N.v.t. securable_class_type_s Beveiligbaar object dat wordt toegewezen aan de class_type die wordt gecontroleerd N.v.t. tekenreeks
sequence_group_id sequence_group_id_g Unieke id varbinary GUID
sequence_number sequence_number_d Houdt de reeks records in één controlerecord bij die te groot was om in de schrijfbuffer voor controles te passen. Houd er rekening mee dat In Azure SQL Database en Azure Synapse Audit 4000 tekens aan gegevens voor tekenvelden in een auditrecord worden opgeslagen. Als er meer dan 4000 tekens zijn, worden alle gegevens buiten de eerste 4000 tekens afgekapt geheel getal (int) geheel getal (int)
server_instance_name server_instance_name_s Naam van het serverexemplaren waarop de controle heeft plaatsgevonden sysname tekenreeks
server_principal_id server_principal_id_d Id van de aanmeldingscontext waarin de actie wordt uitgevoerd geheel getal (int) geheel getal (int)
server_principal_name server_principal_name_s Huidige aanmelding sysname tekenreeks
server_principal_sid server_principal_sid_s Huidige aanmeldings-SID varbinary tekenreeks
session_id session_id_d Id van de sessie waarop de gebeurtenis heeft plaatsgevonden smallint geheel getal (int)
session_server_principal_name session_server_principal_name_s Server-principal voor sessie sysname tekenreeks
instructie statement_s T-SQL-instructie die is uitgevoerd (indien aanwezig) nvarchar(4000) tekenreeks
Geslaagd succeeded_s Geeft aan of de actie die de gebeurtenis heeft geactiveerd, is geslaagd. Voor andere gebeurtenissen dan aanmelding en batch rapporteert dit alleen of de machtigingscontrole is geslaagd of mislukt, niet de bewerking. 1 = geslaagd, 0 = fail bit tekenreeks
target_database_principal_id target_database_principal_id_d De database-principal waarop de bewerking GRANT/DENY/REVOKE wordt uitgevoerd. 0 indien niet van toepassing geheel getal (int) geheel getal (int)
target_database_principal_name target_database_principal_name_s Doelgebruiker van actie. NULL indien niet van toepassing tekenreeks tekenreeks
target_server_principal_id target_server_principal_id_d Server-principal waarop de bewerking GRANT/DENY/REVOKE wordt uitgevoerd. Retourneert 0 indien niet van toepassing geheel getal (int) geheel getal (int)
target_server_principal_name target_server_principal_name_s Doelaanmelding van actie. NULL indien niet van toepassing sysname tekenreeks
target_server_principal_sid target_server_principal_sid_s SID van doelaanmelding. NULL indien niet van toepassing varbinary tekenreeks
transaction_id transaction_id_d Alleen SQL Server (vanaf 2016) - 0 voor Azure SQL Database bigint geheel getal (int)
user_defined_event_id user_defined_event_id_d Door de gebruiker gedefinieerde gebeurtenis-id doorgegeven als argument aan sp_audit_write. NULL voor systeemgebeurtenissen (standaard) en niet-nul voor door de gebruiker gedefinieerde gebeurtenis. Zie sp_audit_write (Transact-SQL) voor meer informatie smallint geheel getal (int)
user_defined_information user_defined_information_s Door de gebruiker gedefinieerde gegevens die zijn doorgegeven als argument aan sp_audit_write. NULL voor systeemgebeurtenissen (standaard) en niet-nul voor door de gebruiker gedefinieerde gebeurtenis. Zie sp_audit_write (Transact-SQL) voor meer informatie nvarchar(4000) tekenreeks

Volgende stappen

Meer informatie over Azure SQL Database-controle.