Eksplorowanie inspekcji serwera i bazy danych
Inspekcja usługi Azure SQL śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, w obszarze roboczym usługi Log Analytics lub w usłudze Event Hubs. Pomaga zachować zgodność z przepisami, analizować wzorce działań i identyfikować odchylenia, które mogą wskazywać na naruszenia zabezpieczeń.
Można zdefiniować zasady na poziomie serwera i na poziomie bazy danych. Zasady serwera automatycznie obejmują nowe i istniejące bazy danych na platformie Azure.
- Jeśli inspekcja serwera jest włączona, baza danych jest poddawane inspekcji, niezależnie od ustawień inspekcji bazy danych.
- Oprócz włączenia inspekcji na serwerze można ją również włączyć w bazie danych. Umożliwia to jednoczesne istnienie obu inspekcji; zasady serwera i zasady bazy danych.
Najlepiej nie włączyć inspekcji serwera i inspekcji bazy danych razem, chyba że:
- Dla określonej bazy danych jest używane inne konto magazynu, okres przechowywania lub obszar roboczy usługi Log Analytics .
- Wymagana jest inspekcja dla określonej bazy danych, która różni się od pozostałych na serwerze, takich jak różne typy zdarzeń lub kategorie.
W przypadku wszystkich innych przypadków zaleca się włączenie tylko inspekcji na poziomie serwera i pozostawienie wyłączonej inspekcji na poziomie bazy danych dla wszystkich baz danych.
Domyślne zasady inspekcji dla usługi SQL Database obejmują następujący zestaw grup akcji:
| Grupa akcji | Definicja |
|---|---|
| BATCH_COMPLETED_GROUP | Przeprowadza inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych. |
| SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Oznacza to, że podmiot zabezpieczeń pomyślnie zaloguje się do bazy danych. |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Oznacza to, że podmiot zabezpieczeń nie może zalogować się do bazy danych. |
Aby włączyć inspekcję dla wszystkich baz danych na serwerze Azure SQL, wybierz pozycję Inspekcja w sekcji Zabezpieczenia głównego bloku serwera. Strona Inspekcja umożliwia ustawienie miejsca docelowego dziennika inspekcji.
Usługi inspekcji dla usług SQL Database i SQL Managed Instance są zoptymalizowane pod kątem dostępności i wydajności. Usługa SQL Database i wystąpienie zarządzane SQL mogą nie rejestrować niektórych zdarzeń inspekcji, gdy występuje wysoki współczynnik aktywności lub duże obciążenie sieci.
Uwaga
Inspekcja replik tylko do odczytu jest automatycznie włączona.
Inspekcja etykiet poufnych
W połączeniu z klasyfikacją danych można również monitorować dostęp do poufnych danych. Inspekcja usługi Azure SQL została ulepszona w celu uwzględnienia nowego pola w dzienniku inspekcji o nazwie data_sensitivity_information.
Rejestrując etykiety poufności danych zwracanych przez zapytanie, to pole zapewnia łatwiejszy sposób śledzenia dostępu do niejawnych kolumn.
Inspekcja składa się z śledzenia i rejestrowania zdarzeń występujących w a aparatze bazy danych. Inspekcja usługi Azure SQL upraszcza kroki konfiguracji wymagane do jej włączenia, co ułatwia śledzenie działań bazy danych dla usługi SQL Database i wystąpienia zarządzanego SQL.