Controle instellen voor Azure SQL Database en Azure Synapse Analytics
Van toepassing op: Azure SQL DatabaseAzure Synapse Analytics
In dit artikel gaan we verder met het instellen van controle voor uw logische server of database in Azure SQL Database en Azure Synapse Analytics.
Controle voor uw server configureren
Het standaardcontrolebeleid bevat de volgende set actiegroepen, die alle query's en opgeslagen procedures controleert die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Zie Controle van Azure SQL Database beheren als u controle wilt configureren voor verschillende soorten acties en actiegroepen met behulp van PowerShell.
Azure SQL Database en Azure Synapse Analytics Audit kunnen 4000 tekens aan gegevens opslaan voor tekenvelden in een auditrecord. Wanneer de instructie of de data_sensitivity_information waarden die worden geretourneerd door een controleerbare actie meer dan 4000 tekens bevatten, worden alle gegevens buiten de eerste 4000 tekens afgekapt en niet gecontroleerd.
In de volgende sectie wordt de controleconfiguratie beschreven met behulp van Azure Portal.
Notitie
Het inschakelen van controle voor een onderbroken toegewezen SQL-pool is niet mogelijk. Als u controle wilt inschakelen, maakt u de toegewezen SQL-pool ongedaan. Zie Toegewezen SQL-pool voor meer informatie.
Wanneer controle is geconfigureerd voor een Log Analytics-werkruimte of naar een Event Hubs-bestemming in de Azure-portal of PowerShell-cmdlet, wordt er een diagnostische instelling gemaakt waarvoor SQLSecurityAuditEvents
categorie is ingeschakeld.
Ga naar de Azure-portal.
Navigeer naar Controle onder de kop Beveiliging in uw SQL-database of SQL Server-deelvenster .
Als u liever een servercontrolebeleid instelt, kunt u de koppeling Serverinstellingen weergeven selecteren op de pagina databasecontrole. Vervolgens kunt u de controle-instellingen van de server weergeven of wijzigen. Servercontrolebeleid is van toepassing op alle bestaande en nieuw gemaakte databases op deze server.
Als u controle op databaseniveau wilt inschakelen, schakelt u Controle over naar AAN. Als servercontrole is ingeschakeld, bestaat de door de database geconfigureerde controle naast de servercontrole.
U hebt meerdere opties voor het configureren waar auditlogboeken worden opgeslagen. U kunt logboeken naar een Azure-opslagaccount schrijven, naar een Log Analytics-werkruimte voor verbruik door Azure Monitor-logboeken of naar Event Hub voor verbruik met behulp van Event Hub. U kunt elke combinatie van deze opties configureren en auditlogboeken worden naar elke optie geschreven.
Controleren naar opslagbestemming
Als u het schrijven van auditlogboeken naar een opslagaccount wilt configureren, selecteert u Storage wanneer u bij de sectie Controle bent. Selecteer het Azure-opslagaccount waar u uw logboeken wilt opslaan. U kunt de volgende twee typen opslagverificatie gebruiken: Beheerde identiteit en toegangssleutels voor opslag. Voor beheerde identiteiten wordt door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteit ondersteund. Standaard is de primaire gebruikersidentiteit geselecteerd die aan de server is toegewezen. Als er geen gebruikersidentiteit is, wordt er een door het systeem toegewezen beheerde identiteit gemaakt en gebruikt voor verificatiedoeleinden. Nadat u een verificatietype hebt gekozen, selecteert u een bewaarperiode door geavanceerde eigenschappen te openen en Opslaan te selecteren. Logboeken die ouder zijn dan de bewaarperiode, worden verwijderd.
Notitie
Als u implementeert vanuit Azure Portal, moet u ervoor zorgen dat het opslagaccount zich in dezelfde regio bevindt als uw database en server. Als u via andere methoden implementeert, kan het opslagaccount zich in elke regio bevinden.
- De standaardwaarde voor de bewaarperiode is 0 (onbeperkte retentie). U kunt deze waarde wijzigen door de schuifregelaar Retentie (dagen) in geavanceerde eigenschappen te verplaatsen bij het configureren van het opslagaccount voor controle.
- Als u de bewaarperiode wijzigt van 0 (onbeperkte retentie) in een andere waarde, is de retentie alleen van toepassing op logboeken die zijn geschreven nadat de retentiewaarde is gewijzigd. Logboeken die zijn geschreven tijdens de periode waarin retentiedagen zijn ingesteld op onbeperkte retentie, blijven behouden, zelfs nadat retentie is ingeschakeld.
Controleren op Log Analytics-bestemming
Als u het schrijven van auditlogboeken naar een Log Analytics-werkruimte wilt configureren, selecteert u Log Analytics en opent u Log Analytics-details. Selecteer de Log Analytics-werkruimte waarin u logboeken wilt opslaan en selecteer VERVOLGENS OK. Zie Een Log Analytics-werkruimte maken in Azure Portal als u nog geen Log Analytics-werkruimte hebt gemaakt.
Controleren op Event Hubs-bestemming
Als u het schrijven van auditlogboeken naar een Event Hub wilt configureren, selecteert u Event Hub. Selecteer de Event Hub waar u logboeken wilt opslaan en selecteer Opslaan. Zorg ervoor dat de Event Hub zich in dezelfde regio bevindt als uw database en server.
Notitie
Als u meerdere doelen gebruikt, zoals opslagaccount, Log Analytics of Event Hub, moet u ervoor zorgen dat u over machtigingen beschikt voor alle doelen die de controleconfiguratie opslaan, mislukt omdat de instellingen voor alle doelen worden opgeslagen.
Volgende stappen
Zie ook
- Controleoverzicht
- Aflevering met gegevens beschikbaar gesteld wat er nieuw is in Azure SQL Auditing
- Controle voor SQL Managed Instance
- Controle voor SQL Server