Udostępnij za pośrednictwem


Konfigurowanie inspekcji dla usług Azure SQL Database i Azure Synapse Analytics

Dotyczy: Azure SQL Database Azure Synapse Analytics

W tym artykule omówimy konfigurowanie inspekcji dla serwera logicznego lub bazy danych w usługach Azure SQL Database i Azure Synapse Analytics.

Konfigurowanie inspekcji dla serwera

Domyślne zasady inspekcji obejmują następujący zestaw grup akcji, które przeprowadzają inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślne i nieudane logowania:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Aby skonfigurować inspekcję dla różnych typów akcji i grup akcji przy użyciu programu PowerShell, zobacz Zarządzanie inspekcją usługi Azure SQL Database przy użyciu interfejsów API.

Inspekcja usług Azure SQL Database i Azure Synapse Analytics może przechowywać 4000 znaków danych dla pól znaków w rekordzie inspekcji. Gdy instrukcja lub data_sensitivity_information wartości zwracane z akcji podlegającej inspekcji zawierają więcej niż 4000 znaków, wszystkie dane wykraczające poza pierwsze 4000 znaków są obcinane i nie są poddawane inspekcji.

W poniższej sekcji opisano konfigurację inspekcji przy użyciu witryny Azure Portal.

Uwaga

Nie można włączyć inspekcji w wstrzymanej dedykowanej puli SQL. Aby włączyć inspekcję, wznów dedykowaną pulę SQL.

Jeśli inspekcja jest skonfigurowana w obszarze roboczym usługi Log Analytics lub w miejscu docelowym usługi Event Hubs w witrynie Azure Portal lub w programie PowerShell, zostanie utworzone ustawienie diagnostyczne z włączoną kategorią SQLSecurityAuditEvents .

  1. Przejdź do portalu Azure Portal.

  2. Przejdź do obszaru Inspekcja w nagłówku Zabezpieczenia w okienku bazy danych SQL lub serwera SQL.

  3. Jeśli wolisz skonfigurować zasady inspekcji serwera, możesz wybrać link Wyświetl ustawienia serwera na stronie inspekcji bazy danych. Następnie można wyświetlić lub zmodyfikować ustawienia inspekcji serwera. Zasady inspekcji serwera mają zastosowanie do wszystkich istniejących i nowo utworzonych baz danych na tym serwerze.

    Zrzut ekranu przedstawiający link Wyświetl ustawienia serwera wyróżniony na stronie inspekcji bazy danych.

  4. Jeśli wolisz włączyć inspekcję na poziomie bazy danych, przełącz opcję Inspekcja na . Jeśli inspekcja serwera jest włączona, inspekcja skonfigurowana przez bazę danych istnieje obok inspekcji serwera.

  5. Istnieje wiele opcji konfigurowania miejsca przechowywania dzienników inspekcji. Dzienniki można zapisywać na koncie usługi Azure Storage, w obszarze roboczym usługi Log Analytics do użycia przez dzienniki usługi Azure Monitor lub do centrum zdarzeń do użycia przy użyciu centrum zdarzeń. Można skonfigurować dowolną kombinację tych opcji, a dzienniki inspekcji są zapisywane w każdej z nich.

    Zrzut ekranu przedstawiający opcje magazynu inspekcji.

Inspekcja miejsca docelowego magazynu

Aby skonfigurować zapisywanie dzienników inspekcji na koncie magazynu, wybierz pozycję Magazyn po wyświetleniu sekcji Inspekcja . Wybierz konto usługi Azure Storage, na którym chcesz zapisać dzienniki. Można użyć następujących dwóch typów uwierzytelniania magazynu: tożsamość zarządzana i klucze dostępu do magazynu. W przypadku tożsamości zarządzanej obsługiwana jest tożsamość zarządzana przypisana przez system i przypisana przez użytkownika. Domyślnie jest wybierana tożsamość użytkownika podstawowego przypisana do serwera. Jeśli nie ma tożsamości użytkownika, zostanie utworzona tożsamość zarządzana przypisana przez system i zostanie użyta do celów uwierzytelniania. Po wybraniu typu uwierzytelniania wybierz okres przechowywania, otwierając pozycję Właściwości zaawansowane i wybierając pozycję Zapisz. Dzienniki starsze niż okres przechowywania są usuwane.

Zrzut ekranu przedstawiający typy uwierzytelniania konta magazynu na potrzeby inspekcji.

Uwaga

Jeśli wdrażasz w witrynie Azure Portal, upewnij się, że konto magazynu znajduje się w tym samym regionie co baza danych i serwer. Jeśli wdrażasz za pomocą innych metod, konto magazynu może znajdować się w dowolnym regionie.

  • Wartość domyślna okresu przechowywania to 0 (nieograniczony okres przechowywania). Tę wartość można zmienić, przenosząc suwak Przechowywanie (dni) we właściwościach Zaawansowanych podczas konfigurowania konta magazynu na potrzeby inspekcji.
    • Jeśli zmienisz okres przechowywania z 0 (nieograniczone przechowywanie) na dowolną inną wartość, okres przechowywania będzie stosowany tylko do dzienników zapisanych po zmianie wartości przechowywania. Dzienniki zapisywane w okresie, w których dni przechowywania zostały ustawione na nieograniczone przechowywanie, są zachowywane, nawet po włączeniu przechowywania.

Inspekcja do miejsca docelowego usługi Log Analytics

Aby skonfigurować zapisywanie dzienników inspekcji w obszarze roboczym usługi Log Analytics, wybierz pozycję Log Analytics i otwórz szczegóły usługi Log Analytics. Wybierz obszar roboczy usługi Log Analytics, w którym mają być przechowywane dzienniki, a następnie wybierz przycisk OK. Jeśli obszar roboczy usługi Log Analytics nie został utworzony, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal.

Zrzut ekranu przedstawiający wybrany obszar roboczy usługi Log Analytics.

Inspekcja miejsca docelowego usługi Event Hubs

Aby skonfigurować zapisywanie dzienników inspekcji w centrum zdarzeń, wybierz pozycję Centrum zdarzeń. Wybierz centrum zdarzeń, w którym mają być przechowywane dzienniki, a następnie wybierz pozycję Zapisz. Upewnij się, że centrum zdarzeń znajduje się w tym samym regionie co baza danych i serwer.

Zrzut ekranu przedstawiający centrum zdarzeń.

Uwaga

Jeśli używasz wielu obiektów docelowych, takich jak konto magazynu, analiza dzienników lub centrum zdarzeń, upewnij się, że masz uprawnienia do wszystkich obiektów docelowych, ponieważ zapisywanie konfiguracji inspekcji zakończy się niepowodzeniem, ponieważ spróbuje zapisać ustawienia dla wszystkich obiektów docelowych.

Następne kroki