Udostępnij za pośrednictwem

Używanie inspekcji do analizowania dzienników inspekcji i raportów

Dotyczy:Azure SQL DatabaseAzure Synapse Analytics

Ten artykuł zawiera omówienie analizowania dzienników inspekcji przy użyciu inspekcji dla usług Azure SQL Database i Azure Synapse Analytics. Audytowanie umożliwia analizowanie dzienników audytu przechowywanych w:

  • Analiza dzienników
  • Centra zdarzeń
  • Azure Storage

Analizowanie dzienników przy użyciu usługi Log Analytics

Jeśli zdecydujesz się na zapisywanie dzienników inspekcji w usłudze Log Analytics:

  1. Użyj witryny Azure Portal.

  2. Przejdź do odpowiedniego zasobu bazy danych.

  3. W górnej części strony Inspekcja bazy danych wybierz pozycję Wyświetl dzienniki inspekcji , aby wyświetlić próbkę dzienników inspekcji z ograniczonym zestawem pól, które obejmują działania z maksymalnie 2 godzin przed wybraną godziną zakończenia (która jest domyślnie ustawiona na "teraz"):

    Zrzut ekranu przedstawiający menu Inspekcja w witrynie Azure Portal, w którym można wybrać opcję Wyświetl dzienniki inspekcji.

Istnieją dwa sposoby wyświetlania dzienników:

  • Wybierz pozycję Log Analytics w górnej części strony Rekordy inspekcji , aby otworzyć widok dzienników w obszarze roboczym usługi Log Analytics, w którym można dostosować zakres czasu i zapytanie wyszukiwania.

  • Wybierz pozycję Wyświetl pulpit nawigacyjny w górnej części strony Rekordy inspekcji, aby otworzyć pulpit nawigacyjny zawierający informacje o dziennikach inspekcji, który pozwala przejść do informacji o zabezpieczeniach lub dostępu do danych poufnych. Ten pulpit nawigacyjny jest przeznaczony do uzyskiwania szczegółowych informacji o zabezpieczeniach danych. Możesz również dostosować zakres czasu i zapytanie wyszukiwania.

  • Alternatywnie możesz również uzyskać dostęp do dzienników inspekcji z menu usługi Log Analytics . Otwórz obszar roboczy usługi Log Analytics i w sekcji Ogólne, a następnie wybierz pozycję Dzienniki. Możesz rozpocząć od prostego zapytania, takiego jak: wyszukiwanie "SQLSecurityAuditEvents" , aby wyświetlić dzienniki inspekcji. W tym miejscu możesz również użyć dzienników usługi Azure Monitor do uruchamiania zaawansowanych wyszukiwań na danych dziennika inspekcji. Dzienniki usługi Azure Monitor umożliwiają uzyskiwanie szczegółowych informacji operacyjnych w czasie rzeczywistym przy użyciu zintegrowanego wyszukiwania i niestandardowych pulpitów nawigacyjnych w celu czytelnego analizowania milionów rekordów we wszystkich obciążeniach i serwerach. Aby uzyskać dodatkowe przydatne informacje o języku wyszukiwania i poleceniach dzienników usługi Azure Monitor, zobacz Dokumentacja wyszukiwania dzienników usługi Azure Monitor.

Analizowanie dzienników przy użyciu usługi Event Hubs

Jeśli wybrano opcję zapisywania dzienników inspekcji w usłudze Event Hubs:

  • Aby pobrać dane dzienników inspekcji z usługi Event Hubs, należy skonfigurować strumień, aby przetwarzać zdarzenia i zapisywać je w miejscu docelowym. Aby uzyskać więcej informacji, zobacz Dokumentację usługi Azure Event Hubs.
  • Dzienniki inspekcji w usłudze Event Hubs są przechwytywane w treści zdarzeń Apache Avro i przechowywane przy użyciu formatowania JSON z kodowaniem UTF-8. Aby odczytać dzienniki inspekcji, możesz użyć Avro Tools, strumieni zdarzeń Microsoft Fabric lub podobnych narzędzi, które przetwarzają ten format.

Analizowanie dzienników przy użyciu dzienników na koncie usługi Azure Storage

Jeśli wybrano opcję zapisywania dzienników inspekcji na koncie usługi Azure Storage, istnieje kilka metod, których można użyć do wyświetlania dzienników:

  • Dzienniki inspekcji są agregowane na koncie wybranym podczas instalacji. Dzienniki inspekcji można eksplorować przy użyciu narzędzia takiego jak Eksplorator usługi Azure Storage. W usłudze Azure Storage dzienniki inspekcji są zapisywane w formie kolekcji plików blob w kontenerze o nazwie sqldbauditlogs. Aby uzyskać więcej informacji na temat hierarchii folderów przechowywania, konwencji nazewnictwa i formatu dziennika, zobacz format dziennika kontroli usługi SQL Database.

    1. Użyj witryny Azure Portal.
    2. Otwórz odpowiedni zasób bazy danych.
    3. W górnej części strony Inspekcja bazy danych wybierz pozycję Wyświetl dzienniki inspekcji . Zostanie otwarta strona Rekordy inspekcji i możesz wyświetlić dzienniki.
    4. Możesz wyświetlić określone daty, wybierając pozycję Filtr w górnej części strony Rekordy inspekcji .
    5. Możesz przełączać się między rekordami inspekcji utworzonymi przez zasady inspekcji serwera i zasadami inspekcji bazy danych, przełączając źródło inspekcji.

  • Użyj funkcji sys.fn_get_audit_file systemowej (T-SQL), aby zwrócić dane dziennika inspekcji w formacie tabelarycznym. Aby uzyskać więcej informacji na temat korzystania z tej funkcji, zobacz sys.fn_get_audit_file.

  • Użyj scalania plików audytu w programie SQL Server Management Studio (począwszy od SSMS 17):

    1. W menu programu SSMS wybierz pozycję Plik>Otwórz>Scal pliki audytu.

      Zrzut ekranu przedstawiający opcję menu Scal pliki audytu.

    2. Zostanie otwarte okno dialogowe Dodawanie plików inspekcji . Wybierz jedną z opcji Dodaj, aby określić, czy chcesz scalić pliki audytu z dysku lokalnego, czy zaimportować je z Azure Storage. Musisz podać szczegóły i klucz konta usługi Azure Storage.

    3. Po dodaniu wszystkich plików do scalania wybierz przycisk OK , aby ukończyć operację scalania.

    4. Scalony plik zostanie otwarty w programie SSMS, w którym można go wyświetlić i przeanalizować, a także wyeksportować go do pliku XEL lub CSV albo do tabeli.

  • Użyj usługi Power BI. Dane dziennika inspekcji można wyświetlać i analizować w usłudze Power BI. Aby uzyskać więcej informacji, zobacz Korzystanie z usługi Azure Log Analytics w usłudze Power BI.

  • Pobierz pliki dziennika z kontenera obiektów blob usługi Azure Storage za pośrednictwem portalu lub za pomocą narzędzia takiego jak Eksplorator usługi Azure Storage.

    • Po pobraniu pliku dziennika lokalnie kliknij dwukrotnie plik, aby otworzyć, wyświetlić i przeanalizować dzienniki w programie SSMS.
    • Możesz również pobrać wiele plików jednocześnie w Eksplorator usługi Azure Storage. W tym celu kliknij prawym przyciskiem myszy określony podfolder i wybierz polecenie Zapisz jako , aby zapisać w folderze lokalnym.

  • Więcej metod:

    • Po pobraniu kilku plików lub podfolderu zawierającego pliki dziennika można je scalić lokalnie zgodnie z opisem w instrukcjach scalania plików inspekcji programu SSMS opisanych wcześniej.
    • Programowe wyświetlanie dzienników inspekcji obiektów blob: Zapytania dotyczące plików Zdarzeń Rozszerzonych za pomocą programu PowerShell.

Treści powiązane