Kontrola usług Azure Private Link i Azure Synapse Analytics
Dotyczy:
Azure SQL DatabaseAzure Synapse Analytics
Inspekcja usług Azure SQL Database i Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, obszarze roboczym usługi Log Analytics lub usłudze Event Hubs.
Ponadto inspekcja:
Pomaga zachować zgodność z przepisami, analizować aktywność bazy danych oraz uzyskać wgląd w odchylenia i anomalie, które mogą oznaczać problemy biznesowe lub podejrzane naruszenia zabezpieczeń.
Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności. Aby uzyskać więcej informacji, zobacz Centrum zaufania platformy Microsoft Azure, w którym można znaleźć najbardziej aktualną listę certyfikatów zgodności usługi SQL Database.
Uwaga
Aby uzyskać informacje na temat inspekcji usługi Azure SQL Managed Instance, zobacz Wprowadzenie do inspekcji usługi SQL Managed Instance.
Omówienie
Inspekcja usługi SQL Database umożliwia:
- Zachowaj dziennik inspekcji wybranych zdarzeń. Możesz zdefiniować kategorie akcji bazy danych, które mają być poddane inspekcji.
- Raport dotyczący aktywności bazy danych. Możesz użyć wstępnie skonfigurowanych raportów i pulpitu nawigacyjnego, aby szybko rozpocząć pracę z raportowaniem aktywności i zdarzeń.
- Analizowanie raportów. Możesz wyszukiwać podejrzane zdarzenia, nietypową aktywność i trendy.
Ważne
Inspekcja dla pul SQL Azure SQL Database, Azure Synapse Analytics i Azure SQL Managed Instance jest zoptymalizowana pod kątem dostępności i wydajności bazy danych lub wystąpienia, które są poddawane inspekcji. W okresach bardzo dużej aktywności lub dużego obciążenia sieciowego funkcja inspekcji może zezwalać na kontynuowanie transakcji bez rejestrowania wszystkich zdarzeń oznaczonych do inspekcji.
Ograniczenia inspekcji
- Włączanie inspekcji w wstrzymanej puli SQL usługi Azure Synapse nie jest obsługiwane. Aby włączyć inspekcję, wznów pulę SQL usługi Synapse.
- Włączanie inspekcji przy użyciu tożsamości zarządzanej przypisanej przez użytkownika (UAMI) nie jest obsługiwane w usłudze Azure Synapse.
- Obecnie tożsamości zarządzane nie są obsługiwane w usłudze Azure Synapse, chyba że konto magazynu znajduje się za siecią wirtualną lub zaporą.
- Inspekcja pul SQL usługi Azure Synapse obsługuje tylko domyślne grupy akcji inspekcji.
- Podczas konfigurowania inspekcji dla serwera logicznego na platformie Azure lub w usłudze Azure SQL Database z miejscem docelowym dziennika jako konto magazynu tryb uwierzytelniania musi być zgodny z konfiguracją dla tego konta magazynu. W przypadku używania kluczy dostępu do magazynu jako typu uwierzytelniania docelowe konto magazynu musi być włączone z dostępem do kluczy konta magazynu. Jeśli konto magazynu jest skonfigurowane do używania uwierzytelniania tylko z identyfikatorem Entra firmy Microsoft (dawniej Azure Active Directory), inspekcję można skonfigurować pod kątem używania tożsamości zarządzanych do uwierzytelniania.
Uwagi
- Magazyn w warstwie Premium z funkcją BlockBlobStorage jest obsługiwany. Magazyn w warstwie Standardowa jest obsługiwany. Jednak w przypadku inspekcji zapisu na koncie magazynu za siecią wirtualną lub zaporą musisz mieć konto magazynu ogólnego przeznaczenia w wersji 2. Jeśli masz konto ogólnego przeznaczenia w wersji 1 lub usługi Blob Storage, przeprowadź uaktualnienie do konta magazynu ogólnego przeznaczenia w wersji 2. Aby uzyskać szczegółowe instrukcje, zobacz Zapisywanie inspekcji na koncie magazynu za siecią wirtualną i zaporą. Aby uzyskać więcej informacji, zobacz Typy kont magazynu.
- Hierarchiczna przestrzeń nazw dla wszystkich typów konta magazynu w warstwie Standardowa i konta magazynu w warstwie Premium z funkcją BlockBlobStorage jest obsługiwana.
- Dzienniki inspekcji są zapisywane w uzupełnialnych obiektach blob w usłudze Azure Blob Storage w ramach subskrypcji platformy Azure
- Dzienniki inspekcji są w formacie xel i można je otworzyć za pomocą programu SQL Server Management Studio (SSMS).
- Aby skonfigurować niezmienny magazyn dzienników dla zdarzeń inspekcji na poziomie serwera lub bazy danych, postępuj zgodnie z instrukcjami dostarczonymi przez usługę Azure Storage. Upewnij się, że podczas konfigurowania niezmiennego magazynu obiektów blob wybrano opcję Zezwalaj na dodatkowe dołączania .
- Dzienniki inspekcji można zapisywać na koncie usługi Azure Storage za siecią wirtualną lub zaporą.
- Aby uzyskać szczegółowe informacje na temat formatu dziennika, hierarchii folderu magazynu i konwencji nazewnictwa, zobacz Dokumentację formatu dziennika inspekcji obiektów blob.
- Inspekcja replik tylko do odczytu jest włączana automatycznie. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz Format dziennika inspekcji usługi SQL Database.
- W przypadku korzystania z uwierzytelniania entra firmy Microsoft rekordy nieudanych logowań nie są wyświetlane w dzienniku inspekcji SQL. Aby wyświetlić rekordy inspekcji nieudanych logowań, należy odwiedzić centrum administracyjne firmy Microsoft Entra, które rejestruje szczegóły tych zdarzeń.
- Nazwy logowania są kierowane przez bramę do określonego wystąpienia, w którym znajduje się baza danych. W przypadku logowań firmy Microsoft Entra poświadczenia są weryfikowane przed podjęciem próby zalogowania się do żądanej bazy danych przy użyciu tego użytkownika. W przypadku niepowodzenia żądana baza danych nigdy nie jest używana, więc Inspekcja nie jest przeprowadzana. W przypadku logowań SQL poświadczenia są weryfikowane na żądanych danych, więc w takim przypadku można je przeprowadzić inspekcję. Pomyślne logowania, które oczywiście docierają do bazy danych, są poddawane inspekcji w obu przypadkach.
- Po skonfigurowaniu ustawień inspekcji można włączyć nową funkcję wykrywania zagrożeń i skonfigurować adresy e-mail, na które będą trafiać alerty zabezpieczeń. Podczas korzystania z wykrywania zagrożeń otrzymujesz proaktywne alerty dotyczące nietypowych działań w bazie danych, które mogą wskazywać na potencjalne zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Wprowadzenie do wykrywania zagrożeń.
- Po skopiowaniu bazy danych z włączoną inspekcją na inny serwer logiczny może zostać wyświetlony wiadomość e-mail z powiadomieniem o niepomyślnym zakończeniu inspekcji. Jest to znany problem i inspekcja powinna działać zgodnie z oczekiwaniami w nowo skopiowanej bazie danych.
Następne kroki
Zobacz też
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla