Inspekcja dla usługi Azure SQL Database i Azure Synapse Analytics

Dotyczy: Azure SQL Database Azure Synapse Analytics

Inspekcja dla usługi Azure SQL Database i Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, obszarze roboczym usługi Log Analytics lub usłudze Event Hubs.

Ponadto inspekcja:

  • Pomaga zachować zgodność z przepisami, analizować aktywność bazy danych oraz uzyskać wgląd w odchylenia i anomalie, które mogą oznaczać problemy biznesowe lub podejrzane naruszenia zabezpieczeń.

  • Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności. Aby uzyskać więcej informacji, zobacz Centrum zaufania platformy Microsoft Azure, w którym można znaleźć najbardziej aktualną listę certyfikatów zgodności SQL Database.

Uwaga

Aby uzyskać informacje na temat inspekcji Azure SQL Managed Instance, zobacz następujący artykuł Wprowadzenie do inspekcji SQL Managed Instance.

Omówienie

Inspekcji można użyć SQL Database do:

  • Zachowaj dziennik inspekcji wybranych zdarzeń. Możesz zdefiniować kategorie akcji bazy danych, które mają być poddane inspekcji.
  • Raport dotyczący aktywności bazy danych. Możesz użyć wstępnie skonfigurowanych raportów i pulpitu nawigacyjnego, aby szybko rozpocząć pracę z raportowaniem aktywności i zdarzeń.
  • Analizowanie raportów. Można znaleźć podejrzane zdarzenia, nietypową aktywność i trendy.

Ważne

Inspekcja bazy danych Azure SQL Database, Azure Synapse i Azure SQL Managed Instance jest zoptymalizowana pod kątem dostępności i wydajności baz danych lub wystąpień, które są poddawane inspekcji. W okresach bardzo dużej aktywności lub dużego obciążenia sieciowego funkcja inspekcji może zezwalać na kontynuowanie transakcji bez rejestrowania wszystkich zdarzeń oznaczonych do inspekcji.

Ograniczenia inspekcji

  • Typ uwierzytelniania tożsamości zarządzanej przez użytkownika na potrzeby włączania inspekcji magazynu za zaporą nie jest obecnie obsługiwany.
  • Włączanie inspekcji wstrzymanych Azure Synapse nie jest obsługiwane. Aby włączyć inspekcję, wznów działanie usługi Azure Synapse.
  • Inspekcja dla pul Azure Synapse SQL obsługuje tylko domyślne grupy akcji inspekcji.
  • Podczas konfigurowania inspekcji dla serwera logicznego na platformie Azure lub Azure SQL Database z miejscem docelowym dziennika jako konta magazynu docelowe docelowe konto magazynu musi być włączone z dostępem do kluczy konta magazynu. Jeśli konto magazynu jest skonfigurowane do używania wyłącznie uwierzytelniania usługi Azure AD i nie jest skonfigurowane do używania klucza dostępu, nie można skonfigurować inspekcji.

Definiowanie zasad inspekcji na poziomie serwera a na poziomie bazy danych

Zasady inspekcji można zdefiniować dla określonej bazy danych lub jako domyślne zasady serwera na platformie Azure (które hostuje SQL Database lub Azure Synapse):

  • Zasady serwera dotyczą wszystkich istniejących i nowo utworzonych baz danych na serwerze.

  • Jeśli inspekcja serwera jest włączona, zawsze ma zastosowanie do bazy danych. Baza danych zostanie przeprowadź inspekcję niezależnie od ustawień inspekcji bazy danych.

  • Jeśli zasady inspekcji są definiowane na poziomie bazy danych w obszarze roboczym usługi Log Analytics lub miejscu docelowym usługi Event Hubs, następujące operacje nie będą zachowywać zasad inspekcji na poziomie źródłowej bazy danych:

  • Włączenie inspekcji w bazie danych, oprócz włączenia jej na serwerze, nie zastępuje ani nie zmienia żadnych ustawień inspekcji serwera. Obie inspekcje będą istnieć obok siebie. Innymi słowy, baza danych jest poddawane inspekcji dwa razy równolegle; raz przez zasady serwera i raz przez zasady bazy danych.

    Uwaga

    Należy unikać włączania inspekcji serwera i inspekcji obiektów blob bazy danych razem, chyba że:

    • Chcesz użyć innego konta magazynu, okresu przechowywania lub obszaru roboczego usługi Log Analytics dla określonej bazy danych.
    • Chcesz przeprowadzić inspekcję typów zdarzeń lub kategorii dla określonej bazy danych, które różnią się od pozostałych baz danych na serwerze. Na przykład wstawienie tabeli może wymagać inspekcji tylko dla określonej bazy danych.

    W przeciwnym razie zalecamy włączenie tylko inspekcji na poziomie serwera i pozostawienie wyłączonej inspekcji na poziomie bazy danych dla wszystkich baz danych.

Uwagi

  • Magazyn w warstwie Premium z usługą BlockBlobStorage jest obsługiwany. Magazyn w warstwie Standardowa jest obsługiwany. Jednak w przypadku inspekcji zapisu na koncie magazynu za siecią wirtualną lub zaporą musisz mieć konto magazynu ogólnego przeznaczenia w wersji 2. Jeśli masz konto magazynu ogólnego przeznaczenia w wersji 1 lub blob, przeprowadź uaktualnienie do konta magazynu ogólnego przeznaczenia w wersji 2. Aby uzyskać szczegółowe instrukcje, zobacz Zapisywanie inspekcji na koncie magazynu za siecią wirtualną i zaporą. Aby uzyskać więcej informacji, zobacz Typy kont magazynu.
  • Hierarchiczna przestrzeń nazw dla wszystkich typów konta magazynu w warstwie Standardowa i konta magazynu w warstwie Premium z usługą BlockBlobStorage jest obsługiwana.
  • Dzienniki inspekcji są zapisywane w uzupełnialnych obiektach blob w usłudze Azure Blob Storage w ramach subskrypcji platformy Azure
  • Dzienniki inspekcji są w formacie xel i można je otworzyć za pomocą SQL Server Management Studio (SSMS).
  • Aby skonfigurować niezmienny magazyn dzienników dla zdarzeń inspekcji na poziomie serwera lub bazy danych, postępuj zgodnie z instrukcjami dostarczonymi przez usługę Azure Storage. Upewnij się, że podczas konfigurowania niezmiennego magazynu obiektów blob wybrano opcję Zezwalaj na dodatkowe dołączania .
  • Dzienniki inspekcji można zapisywać na koncie usługi Azure Storage za siecią wirtualną lub zaporą.
  • Aby uzyskać szczegółowe informacje na temat formatu dziennika, hierarchii folderu magazynu i konwencji nazewnictwa, zobacz Informacje o formacie dziennika inspekcji obiektów blob.
  • Inspekcja replik tylko do odczytu jest włączana automatycznie. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz format dziennika inspekcji SQL Database.
  • W przypadku korzystania z uwierzytelniania Azure AD rekordy nieudanych logowań nie będą wyświetlane w dzienniku inspekcji SQL. Aby wyświetlić rekordy inspekcji nieudanych logowań, należy odwiedzić portal usługi Azure Active Directory, który rejestruje szczegóły tych zdarzeń.
  • Nazwy logowania są kierowane przez bramę do określonego wystąpienia, w którym znajduje się baza danych. W przypadku Azure AD logowania poświadczenia są weryfikowane przed próbą użycia tego użytkownika do zalogowania się do żądanej bazy danych. W przypadku niepowodzenia żądana baza danych nigdy nie jest używana, więc Inspekcja nie jest przeprowadzana. W przypadku logowań SQL poświadczenia są weryfikowane na żądanych danych, więc w tym przypadku można je przeprowadzić inspekcję. Pomyślne logowania, które oczywiście docierają do bazy danych, są poddawane inspekcji w obu przypadkach.
  • Po skonfigurowaniu ustawień inspekcji można włączyć nową funkcję wykrywania zagrożeń i skonfigurować adresy e-mail, na które będą trafiać alerty zabezpieczeń. Podczas korzystania z wykrywania zagrożeń otrzymujesz proaktywne alerty dotyczące nietypowych działań w bazie danych, które mogą wskazywać na potencjalne zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Wprowadzenie do wykrywania zagrożeń.
  • Po skopiowaniu bazy danych z włączoną inspekcją na inny serwer logiczny może zostać wyświetlony wiadomość e-mail z powiadomieniem o niepomyślnym zakończeniu inspekcji. Jest to znany problem i inspekcja powinna działać zgodnie z oczekiwaniami w nowo skopiowanej bazie danych.

Konfigurowanie inspekcji dla serwera

Domyślne zasady inspekcji obejmują wszystkie akcje i następujący zestaw grup akcji, które będą przeprowadzać inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślne i nieudane logowania:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Inspekcję dla różnych typów akcji i grup akcji można skonfigurować przy użyciu programu PowerShell, zgodnie z opisem w sekcji Zarządzanie inspekcją SQL Database przy użyciu Azure PowerShell.

Azure SQL Database and Azure Synapse Audit przechowuje 4000 znaków danych dla pól znaków w rekordzie inspekcji. Jeśli instrukcja lub data_sensitivity_information wartości zwracane z akcji podlegającej inspekcji zawierają więcej niż 4000 znaków, wszystkie dane przekraczające pierwsze 4000 znaków zostaną obcięte i nie zostaną poddane inspekcji. W poniższej sekcji opisano konfigurację inspekcji przy użyciu Azure Portal.

Uwaga

  • Włączanie inspekcji w wstrzymanej dedykowanej puli SQL nie jest możliwe. Aby włączyć inspekcję, usuń wstrzymanie dedykowanej puli SQL. Dowiedz się więcej o dedykowanej puli SQL.
  • Jeśli inspekcja jest skonfigurowana do obszaru roboczego usługi Log Analytics lub miejsca docelowego usługi Event Hubs za pośrednictwem Azure Portal lub polecenia cmdlet programu PowerShell, ustawienie diagnostyczne jest tworzone z włączoną kategorią "SQLSecurityAuditEvents".
  1. Przejdź do witryny Azure Portal.

  2. Przejdź do obszaru Inspekcja pod nagłówkiem Zabezpieczenia w okienku baza danych SQL lub serwer SQL .

  3. Jeśli wolisz skonfigurować zasady inspekcji serwera, możesz wybrać link Wyświetl ustawienia serwera na stronie inspekcji bazy danych. Następnie można wyświetlić lub zmodyfikować ustawienia inspekcji serwera. Zasady inspekcji serwera mają zastosowanie do wszystkich istniejących i nowo utworzonych baz danych na tym serwerze.

    Zrzut ekranu przedstawiający link Wyświetl ustawienia serwera wyróżniony na stronie inspekcji bazy danych.

  4. Jeśli wolisz włączyć inspekcję na poziomie bazy danych, przełącz opcję Inspekcja na . Jeśli inspekcja serwera jest włączona, inspekcja skonfigurowana przez bazę danych będzie istnieć obok inspekcji serwera.

  5. Istnieje wiele opcji konfigurowania miejsca zapisywania dzienników inspekcji. Dzienniki można zapisywać na koncie usługi Azure Storage, w obszarze roboczym usługi Log Analytics do użycia przez dzienniki usługi Azure Monitor lub do centrum zdarzeń do użycia przy użyciu centrum zdarzeń. Można skonfigurować dowolną kombinację tych opcji, a dzienniki inspekcji zostaną zapisane w każdym z nich.

    opcje magazynu

Inspekcja operacji pomoc techniczna firmy Microsoft

Inspekcja operacji pomoc techniczna firmy Microsoft dla serwera logicznego umożliwia inspekcję operacji inżynierów pomocy technicznej firmy Microsoft, gdy muszą uzyskać dostęp do serwera podczas żądania pomocy technicznej. Korzystanie z tej funkcji wraz z inspekcją zapewnia większą przejrzystość pracowników i umożliwia wykrywanie anomalii, wizualizacje trendów i zapobieganie utracie danych.

Aby włączyć inspekcję operacji pomoc techniczna firmy Microsoft przejdź do pozycji Inspekcja w obszarze Zabezpieczenia w okienku serwera Azure SQL, a następnie przełącz opcję Włącz inspekcję operacji pomocy technicznej firmy Microsoft na .

Zrzut ekranu przedstawiający operacje pomoc techniczna firmy Microsoft

Aby przejrzeć dzienniki inspekcji operacji pomoc techniczna firmy Microsoft w obszarze roboczym usługi Log Analytics, użyj następującego zapytania:

AzureDiagnostics
| where Category == "DevOpsOperationsAudit"

Możesz wybrać inną lokalizację docelową magazynu dla tego dziennika inspekcji lub użyć tej samej konfiguracji inspekcji dla serwera.

Zrzut ekranu przedstawiający konfigurację inspekcji operacji pomocy technicznej

Inspekcja miejsca docelowego magazynu

Aby skonfigurować zapisywanie dzienników inspekcji na koncie magazynu, wybierz pozycję Magazyn po wyświetleniu sekcji Inspekcja . Wybierz konto usługi Azure Storage, na którym chcesz zapisać dzienniki. Można użyć następujących dwóch typów uwierzytelniania magazynu: tożsamości zarządzanej i kluczy dostępu do magazynu. W przypadku tożsamości zarządzanej obsługiwana jest tożsamość zarządzana przez system i użytkownika. Domyślnie jest wybierana podstawowa tożsamość użytkownika przypisana do serwera. Jeśli nie ma tożsamości użytkownika, zostanie utworzona tożsamość przypisana przez system i będzie używana do celów uwierzytelniania. Po wybraniu typu uwierzytelniania wybierz okres przechowywania, otwierając pozycję *Właściwości zaawansowane i wybierając pozycję Zapisz. Dzienniki starsze niż okres przechowywania są usuwane.

Uwaga

Jeśli wdrażasz z Azure Portal, upewnij się, że konto magazynu znajduje się w tym samym regionie co baza danych i serwer. Jeśli wdrażasz za pomocą innych metod, konto magazynu może znajdować się w dowolnym regionie.

  • Wartość domyślna okresu przechowywania to 0 (nieograniczony okres przechowywania). Tę wartość można zmienić, przenosząc suwak Przechowywanie (dni) we właściwościach Zaawansowane podczas konfigurowania konta magazynu na potrzeby inspekcji.

    • Jeśli zmienisz okres przechowywania z 0 (nieograniczone przechowywanie) na dowolną inną wartość, pamiętaj, że przechowywanie będzie miało zastosowanie tylko do dzienników zapisanych po zmianie wartości przechowywania (dzienniki zapisane w okresie przechowywania ustawionym na nieograniczony są zachowywane, nawet po włączeniu przechowywania).

    konto magazynu

Inspekcja do miejsca docelowego usługi Log Analytics

Aby skonfigurować zapisywanie dzienników inspekcji w obszarze roboczym usługi Log Analytics , wybierz pozycję Log Analytics i otwórz szczegóły usługi Log Analytics. Wybierz obszar roboczy usługi Log Analytics, w którym będą zapisywane dzienniki, a następnie kliknij przycisk OK. Jeśli obszar roboczy usługi Log Analytics nie został utworzony, zobacz Tworzenie obszaru roboczego usługi Log Analytics w Azure Portal.

LogAnalyticsworkspace

Aby uzyskać więcej informacji na temat obszaru roboczego usługi Azure Monitor Log Analytics, zobacz Projektowanie wdrożenia dzienników usługi Azure Monitor

Inspekcja do miejsca docelowego usługi Event Hubs

Aby skonfigurować zapisywanie dzienników inspekcji w centrum zdarzeń, wybierz pozycję Centrum zdarzeń. Wybierz centrum zdarzeń, w którym będą zapisywane dzienniki, a następnie kliknij przycisk Zapisz. Upewnij się, że centrum zdarzeń znajduje się w tym samym regionie co baza danych i serwer.

Eventhub

Analizowanie dzienników inspekcji i raportów

Jeśli wybrano opcję zapisywania dzienników inspekcji w usłudze Log Analytics:

  • Użyj witryny Azure Portal. Otwórz odpowiednią bazę danych. W górnej części strony Inspekcja bazy danych wybierz pozycję Wyświetl dzienniki inspekcji.

    wyświetlanie dzienników inspekcji

  • Następnie istnieją dwa sposoby wyświetlania dzienników:

    Kliknięcie usługi Log Analytics w górnej części strony Rekordy inspekcji spowoduje otwarcie widoku Dzienniki w obszarze roboczym usługi Log Analytics, w którym można dostosować zakres czasu i zapytanie wyszukiwania.

    otwórz w obszarze roboczym usługi Log Analytics

    Kliknięcie pozycji Wyświetl pulpit nawigacyjny w górnej części strony Rekordy inspekcji spowoduje otwarcie pulpitu nawigacyjnego zawierającego informacje o dziennikach inspekcji, w którym można przejść do szczegółów szczegółowych informacji o zabezpieczeniach, dostęp do poufnych danych i nie tylko. Ten pulpit nawigacyjny jest przeznaczony do uzyskiwania szczegółowych informacji o zabezpieczeniach danych. Możesz również dostosować zakres czasu i zapytanie wyszukiwania. Wyświetlanie pulpitu nawigacyjnego usługi Log Analytics

    Pulpit nawigacyjny usługi Log Analytics

    Szczegółowe informacje o zabezpieczeniach usługi Log Analytics

  • Alternatywnie możesz również uzyskać dostęp do dzienników inspekcji z bloku Log Analytics. Otwórz obszar roboczy usługi Log Analytics i w sekcji Ogólne kliknij pozycję Dzienniki. Możesz rozpocząć od prostego zapytania, takiego jak: wyszukiwanie "SQLSecurityAuditEvents" , aby wyświetlić dzienniki inspekcji. W tym miejscu możesz również użyć dzienników usługi Azure Monitor do uruchamiania zaawansowanych wyszukiwań na danych dziennika inspekcji. Dzienniki usługi Azure Monitor umożliwiają uzyskiwanie szczegółowych informacji operacyjnych w czasie rzeczywistym przy użyciu zintegrowanego wyszukiwania i niestandardowych pulpitów nawigacyjnych w celu czytelnego analizowania milionów rekordów we wszystkich obciążeniach i serwerach. Aby uzyskać dodatkowe przydatne informacje o języku wyszukiwania i poleceniach dzienników usługi Azure Monitor, zobacz Dokumentacja wyszukiwania dzienników usługi Azure Monitor.

Jeśli wybrano opcję zapisywania dzienników inspekcji w centrum zdarzeń:

  • Aby korzystać z danych dzienników inspekcji z centrum zdarzeń, należy skonfigurować strumień w celu korzystania ze zdarzeń i zapisywania ich w obiekcie docelowym. Aby uzyskać więcej informacji, zobacz dokumentację Azure Event Hubs.
  • Dzienniki inspekcji w centrum zdarzeń są przechwytywane w treści zdarzeń Apache Avro i przechowywane przy użyciu formatowania JSON z kodowaniem UTF-8. Aby odczytać dzienniki inspekcji, można użyć narzędzi Avro lub podobnych narzędzi, które przetwarzają ten format.

Jeśli wybrano opcję zapisywania dzienników inspekcji na koncie usługi Azure Storage, istnieje kilka metod, których można użyć do wyświetlania dzienników:

  • Dzienniki inspekcji są agregowane na koncie wybrany podczas instalacji. Dzienniki inspekcji można eksplorować przy użyciu narzędzia takiego jak Eksplorator usługi Azure Storage. W usłudze Azure Storage dzienniki inspekcji są zapisywane jako kolekcja plików obiektów blob w kontenerze o nazwie sqldbauditlogs. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz format dziennika inspekcji SQL Database.

  • Użyj witryny Azure Portal. Otwórz odpowiednią bazę danych. W górnej części strony Inspekcja bazy danych kliknij pozycję Wyświetl dzienniki inspekcji.

    wyświetlanie dzienników inspekcji

    Zostaną otwarte rekordy inspekcji , z których będzie można wyświetlać dzienniki.

    • Określone daty można wyświetlić, klikając pozycję Filtr w górnej części strony Rekordy inspekcji .

    • Możesz przełączać się między rekordami inspekcji utworzonymi przez zasady inspekcji serwera i zasadami inspekcji bazy danych , przełączając opcję Źródło inspekcji.

      Zrzut ekranu przedstawiający opcje wyświetlania rekordów inspekcji.

  • Użyj funkcji systemowej sys.fn_get_audit_file (T-SQL), aby zwrócić dane dziennika inspekcji w formacie tabelarycznym. Aby uzyskać więcej informacji na temat korzystania z tej funkcji, zobacz sys.fn_get_audit_file.

  • Użyj scalania plików inspekcji w SQL Server Management Studio (począwszy od programu SSMS 17):

    1. Z menu programu SSMS wybierz pozycję Plik>Otwórz>pliki inspekcji scalania.

      Zrzut ekranu przedstawiający opcję menu Scal pliki inspekcji.

    2. Zostanie otwarte okno dialogowe Dodawanie plików inspekcji . Wybierz jedną z opcji Dodaj , aby wybrać, czy scalić pliki inspekcji z dysku lokalnego, czy zaimportować je z usługi Azure Storage. Musisz podać szczegóły i klucz konta usługi Azure Storage.

    3. Po dodaniu wszystkich plików do scalenia kliknij przycisk OK , aby ukończyć operację scalania.

    4. Scalony plik zostanie otwarty w programie SSMS, w którym można go wyświetlić i przeanalizować, a także wyeksportować go do pliku XEL lub CSV albo do tabeli.

  • Użyj usługi Power BI. Dane dziennika inspekcji można wyświetlać i analizować w usłudze Power BI. Aby uzyskać więcej informacji i uzyskać dostęp do szablonu do pobrania, zobacz Analizowanie danych dziennika inspekcji w usłudze Power BI.

  • Pobierz pliki dziennika z kontenera obiektów blob usługi Azure Storage za pośrednictwem portalu lub za pomocą narzędzia takiego jak Eksplorator usługi Azure Storage.

    • Po pobraniu pliku dziennika lokalnie kliknij dwukrotnie plik, aby otworzyć, wyświetlić i przeanalizować dzienniki w programie SSMS.
    • Możesz również pobrać wiele plików jednocześnie za pośrednictwem Eksplorator usługi Azure Storage. W tym celu kliknij prawym przyciskiem myszy określony podfolder i wybierz polecenie Zapisz jako , aby zapisać w folderze lokalnym.
  • Dodatkowe metody:

    • Po pobraniu kilku plików lub podfolderu zawierającego pliki dziennika można je scalić lokalnie zgodnie z opisem w instrukcjach scalania plików inspekcji programu SSMS opisanych wcześniej.
    • Programowe wyświetlanie dzienników inspekcji obiektów blob: wykonywanie zapytań o pliki zdarzeń rozszerzonych przy użyciu programu PowerShell.

Praktyki produkcyjne

Inspekcja baz danych replikowanych geograficznie

W przypadku baz danych replikowanych geograficznie po włączeniu inspekcji w podstawowej bazie danych pomocnicza baza danych będzie miała identyczne zasady inspekcji. Istnieje również możliwość skonfigurowania inspekcji w pomocniczej bazie danych przez włączenie inspekcji na serwerze pomocniczym niezależnie od podstawowej bazy danych.

  • Poziom serwera (zalecane): włącz inspekcję zarówno na serwerze podstawowym , jak i na serwerze pomocniczym — podstawowe i pomocnicze bazy danych będą poddawane inspekcji niezależnie na podstawie odpowiednich zasad na poziomie serwera.
  • Poziom bazy danych: inspekcja na poziomie bazy danych dla pomocniczych baz danych można skonfigurować tylko z podstawowych ustawień inspekcji bazy danych.
    • Inspekcja musi być włączona w podstawowej bazie danych, a nie na serwerze.

    • Po włączeniu inspekcji w podstawowej bazie danych zostanie ona również włączona w pomocniczej bazie danych.

      Ważne

      W przypadku inspekcji na poziomie bazy danych ustawienia magazynu pomocniczej bazy danych będą identyczne z podstawowymi bazami danych, powodując ruch między regionami. Zalecamy włączenie tylko inspekcji na poziomie serwera i wyłączenie inspekcji na poziomie bazy danych dla wszystkich baz danych.

Odzyskiwanie klucza magazynu

W środowisku produkcyjnym prawdopodobnie okresowo odświeżasz klucze magazynu. Podczas zapisywania dzienników inspekcji w usłudze Azure Storage należy ponownie zapisać zasady inspekcji podczas odświeżania kluczy. Przebieg procesu:

  1. Otwórz pozycję Właściwości zaawansowane w obszarze Magazyn. W polu Klucz dostępu do magazynu wybierz pozycję Pomocnicza. Następnie kliknij przycisk Zapisz w górnej części strony konfiguracji inspekcji.

    Zrzut ekranu przedstawiający proces wybierania pomocniczego klucza dostępu do magazynu.

  2. Przejdź do strony konfiguracji magazynu i ponownie wygeneruj podstawowy klucz dostępu.

    Okienko nawigacji

  3. Wstecz na stronę konfiguracji inspekcji, przełącz klucz dostępu magazynu z pomocniczego na podstawowy, a następnie kliknij przycisk OK. Następnie kliknij przycisk Zapisz w górnej części strony konfiguracji inspekcji.

  4. Wstecz na stronę konfiguracji magazynu i ponownie wygeneruj pomocniczy klucz dostępu (w ramach przygotowań do cyklu odświeżania następnego klucza).

Zarządzanie inspekcją bazy danych Azure SQL

Korzystanie z programu Azure PowerShell

Polecenia cmdlet programu PowerShell (w tym obsługa klauzul WHERE na potrzeby dodatkowego filtrowania)::

Aby zapoznać się z przykładem skryptu, zobacz Konfigurowanie inspekcji i wykrywania zagrożeń przy użyciu programu PowerShell.

Korzystanie z interfejsu API REST

Interfejs API REST:

Rozszerzone zasady z obsługą klauzul WHERE na potrzeby dodatkowego filtrowania:

Korzystanie z interfejsu wiersza polecenia platformy Azure

Korzystanie z szablonów usługi Azure Resource Manager

Inspekcję usługi Azure SQL Database można zarządzać przy użyciu szablonów usługi Azure Resource Manager, jak pokazano w poniższych przykładach:

Uwaga

Połączone przykłady znajdują się w zewnętrznym publicznym repozytorium i są udostępniane jako "bez gwarancji" i nie są obsługiwane w żadnym programie pomocy technicznej/usłudze firmy Microsoft.

Zobacz też