Udostępnij za pośrednictwem

Używanie inspekcji do analizowania dzienników inspekcji i raportów

  • Artykuł

Dotyczy: Azure SQL Database Azure Synapse Analytics

Ten artykuł zawiera omówienie analizowania dzienników inspekcji przy użyciu inspekcji dla usług Azure SQL Database i Azure Synapse Analytics. Inspekcja umożliwia analizowanie dzienników inspekcji przechowywanych w:

  • Log Analytics
  • Event Hubs
  • Magazyn platformy Azure

Analizowanie dzienników przy użyciu usługi Log Analytics

Jeśli zdecydujesz się na zapisywanie dzienników inspekcji w usłudze Log Analytics:

  1. Użyj witryny Azure Portal.

  2. Przejdź do odpowiedniego zasobu bazy danych.

  3. W górnej części strony Inspekcja bazy danych wybierz pozycję Wyświetl dzienniki inspekcji .

    Zrzut ekranu przedstawiający menu Inspekcja w witrynie Azure Portal, w którym można wybrać opcję Wyświetl dzienniki inspekcji.

Istnieją dwa sposoby wyświetlania dzienników:

  • Wybranie usługi Log Analytics w górnej części strony Rekordy inspekcji powoduje otwarcie widoku dzienników w obszarze roboczym usługi Log Analytics, w którym można dostosować zakres czasu i zapytanie wyszukiwania.

    Zrzut ekranu przedstawiający wybieranie usługi Log Analytics w menu Rekordy inspekcji w witrynie Azure Portal.

  • Wybranie pozycji Wyświetl pulpit nawigacyjny w górnej części strony Rekordy inspekcji powoduje otwarcie pulpitu nawigacyjnego zawierającego informacje o dziennikach inspekcji, w którym można przejść do szczegółów szczegółowych informacji o zabezpieczeniach lub uzyskać dostęp do poufnych danych. Ten pulpit nawigacyjny jest przeznaczony do uzyskiwania szczegółowych informacji o zabezpieczeniach danych. Możesz również dostosować zakres czasu i zapytanie wyszukiwania.

    Zrzut ekranu przedstawiający wybieranie pulpitu nawigacyjnego widoku w menu Rekordy inspekcji w witrynie Azure Portal.

    Zrzut ekranu przedstawiający pulpit nawigacyjny Inspekcja.

  • Alternatywnie możesz również uzyskać dostęp do dzienników inspekcji z menu usługi Log Analytics . Otwórz obszar roboczy usługi Log Analytics i w sekcji Ogólne, a następnie wybierz pozycję Dzienniki. Możesz rozpocząć od prostego zapytania, takiego jak: wyszukiwanie "SQLSecurityAuditEvents" , aby wyświetlić dzienniki inspekcji. W tym miejscu możesz również użyć dzienników usługi Azure Monitor do uruchamiania zaawansowanych wyszukiwań na danych dziennika inspekcji. Dzienniki usługi Azure Monitor umożliwiają uzyskiwanie szczegółowych informacji operacyjnych w czasie rzeczywistym przy użyciu zintegrowanego wyszukiwania i niestandardowych pulpitów nawigacyjnych w celu czytelnego analizowania milionów rekordów we wszystkich obciążeniach i serwerach. Aby uzyskać dodatkowe przydatne informacje o języku wyszukiwania i poleceniach dzienników usługi Azure Monitor, zobacz Dokumentacja wyszukiwania dzienników usługi Azure Monitor.

Analizowanie dzienników przy użyciu usługi Event Hubs

Jeśli wybrano opcję zapisywania dzienników inspekcji w usłudze Event Hubs:

  • Aby korzystać z danych dzienników inspekcji z usługi Event Hubs, należy skonfigurować strumień, aby korzystać z zdarzeń i zapisywać je w obiekcie docelowym. Aby uzyskać więcej informacji, zobacz Dokumentację usługi Azure Event Hubs.
  • Dzienniki inspekcji w usłudze Event Hubs są przechwytywane w treści zdarzeń apache Avro i przechowywane przy użyciu formatowania JSON z kodowaniem UTF-8. Aby odczytać dzienniki inspekcji, możesz użyć narzędzi Avro Tools, strumieni zdarzeń usługi Microsoft Fabric lub podobnych narzędzi, które przetwarzają ten format.

Analizowanie dzienników przy użyciu dzienników na koncie usługi Azure Storage

Jeśli wybrano opcję zapisywania dzienników inspekcji na koncie usługi Azure Storage, istnieje kilka metod, których można użyć do wyświetlania dzienników:

  • Dzienniki inspekcji są agregowane na koncie wybranym podczas instalacji. Dzienniki inspekcji można eksplorować przy użyciu narzędzia takiego jak Eksplorator usługi Azure Storage. W usłudze Azure Storage dzienniki inspekcji są zapisywane jako kolekcja plików obiektów blob w kontenerze o nazwie sqldbauditlogs. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz Format dziennika inspekcji usługi SQL Database.

    1. Użyj witryny Azure Portal.

    2. Otwórz odpowiedni zasób bazy danych.

    3. W górnej części strony Inspekcja bazy danych wybierz pozycję Wyświetl dzienniki inspekcji .

      Zrzut ekranu przedstawiający sposób wyświetlania dzienników inspekcji.

      Zostanie otwarta strona Rekordy inspekcji i możesz wyświetlić dzienniki.

    4. Możesz wyświetlić określone daty, wybierając pozycję Filtr w górnej części strony Rekordy inspekcji .

    5. Możesz przełączać się między rekordami inspekcji utworzonymi przez zasady inspekcji serwera i zasadami inspekcji bazy danych, przełączając źródło inspekcji.

      Zrzut ekranu przedstawiający opcje wyświetlania rekordów inspekcji.

  • Użyj funkcji sys.fn_get_audit_file systemowej (T-SQL), aby zwrócić dane dziennika inspekcji w formacie tabelarycznym. Aby uzyskać więcej informacji na temat korzystania z tej funkcji, zobacz sys.fn_get_audit_file.

  • Użyj scalania plików inspekcji w programie SQL Server Management Studio (począwszy od programu SSMS 17):

    1. Z menu programu SSMS wybierz pozycję Plik>Otwórz>scal pliki inspekcji.

      Zrzut ekranu przedstawiający opcję menu Scal pliki inspekcji.

    2. Zostanie otwarte okno dialogowe Dodawanie plików inspekcji . Wybierz jedną z opcji Dodaj , aby wybrać, czy scalić pliki inspekcji z dysku lokalnego, czy zaimportować je z usługi Azure Storage. Musisz podać szczegóły i klucz konta usługi Azure Storage.

    3. Po dodaniu wszystkich plików do scalania wybierz przycisk OK , aby ukończyć operację scalania.

    4. Scalony plik zostanie otwarty w programie SSMS, w którym można go wyświetlić i przeanalizować, a także wyeksportować go do pliku XEL lub CSV albo do tabeli.

  • Użyj usługi Power BI. Dane dziennika inspekcji można wyświetlać i analizować w usłudze Power BI. Aby uzyskać więcej informacji i uzyskać dostęp do szablonu możliwego do pobrania, zobacz Analizowanie danych dziennika inspekcji w usłudze Power BI.

  • Pobierz pliki dziennika z kontenera obiektów blob usługi Azure Storage za pośrednictwem portalu lub za pomocą narzędzia takiego jak Eksplorator usługi Azure Storage.

    • Po pobraniu pliku dziennika lokalnie kliknij dwukrotnie plik, aby otworzyć, wyświetlić i przeanalizować dzienniki w programie SSMS.
    • Możesz również pobrać wiele plików jednocześnie w Eksplorator usługi Azure Storage. W tym celu kliknij prawym przyciskiem myszy określony podfolder i wybierz polecenie Zapisz jako , aby zapisać w folderze lokalnym.

  • Więcej metod:

    • Po pobraniu kilku plików lub podfolderu zawierającego pliki dziennika można je scalić lokalnie zgodnie z opisem w instrukcjach scalania plików inspekcji programu SSMS opisanych wcześniej.
    • Programowe wyświetlanie dzienników inspekcji obiektów blob: wykonywanie zapytań o pliki zdarzeń rozszerzonych przy użyciu programu PowerShell.

Zobacz też