Configurar a Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics
Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics
Neste artigo, veremos como configurar a Auditoria para seu servidor lógico ou banco de dados no Banco de Dados SQL do Azure e Azure Synapse Analytics.
Configurar a Auditoria para o servidor
A política de auditoria padrão inclui o seguinte conjunto de grupos de ações, que faz a auditoria de todas as consultas e todos os procedimentos armazenados executados no banco de dados, bem como os logons com falha e bem-sucedidos:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Para configurar a auditoria para diferentes tipos de ações e grupos de ações usando o PowerShell, confira Gerenciar a Auditoria do Banco de Dados SQL do Azure.
A auditoria de Banco de Dados SQL do Azure e a Auditoria do Azure Synapse Analytics armazena 4.000 caracteres de dados para campos de caracteres em um registro de auditoria. Quando os valores de instrução ou data_sensitivity_information retornados de uma ação auditável contêm mais de 4000 caracteres, os dados após os primeiros 4000 caracteres são truncados e não auditados.
A seção a seguir descreve a configuração de auditoria usando o Portal do Azure.
Observação
Não é possível habilitar a auditoria em um pool de SQL dedicado pausado. Para habilitar a auditoria, retome o pool de SQL dedicado.
Quando a Auditoria é configurada para um workspace do Log Analytics ou para um destino do Hubs de Eventos por meio do cmdlet do portal do Azure ou do PowerShell, uma Configuração de Diagnóstico é criada com a categoria SQLSecurityAuditEvents
habilitada.
Acesse o portal do Azure.
Navegue até Auditoria embaixo do título Segurança no seu painel Banco de dados SQL ou servidor SQL.
Se preferir configurar uma política de auditoria de servidor, selecione o link Exibir configurações do servidor na página de auditoria do banco de dados. Depois, é possível exibir ou modificar as configurações de auditoria do servidor. As políticas de auditoria de servidor se aplicam a todos os bancos de dados existentes e recém-criados nesse servidor.
Se você preferir habilitar a auditoria no nível do banco de dados, alterne Auditoria para LIGADO. Se a auditoria do servidor está habilitada, a auditoria configurada para o banco de dados existe lado a lado com a auditoria do servidor.
Você tem várias opções para configurar o local em que os logs de auditoria são armazenados. Você pode gravar logs em uma conta de armazenamento do Azure, em um workspace do Log Analytics para consumo dos logs do Azure Monitor ou em um hub de eventos para consumo usando o hub de eventos. Você pode configurar qualquer combinação dessas opções, e os logs de auditoria são gravados em cada uma.
Auditoria para destino de armazenamento
Para configurar a gravação de logs de auditoria em uma conta de armazenamento, selecione Armazenamento quando chegar à seção Auditoria. Selecione a conta de armazenamento do Azure na qual deseja salvar os logs. Você pode usar estes dois tipos de autenticação de armazenamento: Identidade Gerenciada e Chaves de Acesso de Armazenamento. Para identidade gerenciada, há suporte para a identidade atribuída pelo sistema e a identidade gerenciada atribuída pelo usuário. Por padrão, a identidade de usuário primária atribuída ao servidor é selecionada. Se não houver uma identidade de usuário, uma identidade gerenciada atribuída pelo sistema será criada e usada para fins de autenticação. Depois de escolher um tipo de autenticação, selecione um período de retenção abrindo Propriedades avançadas e selecionando Salvar. Os logs anteriores ao período de retenção são excluídos.
Observação
Se você estiver implantando por meio do portal do Azure, verifique se a conta de armazenamento está na mesma região que o banco de dados e o servidor. Se você estiver implantando por meio de outros métodos, a conta de armazenamento pode estar em qualquer região.
- O valor padrão do período de retenção é 0 (retenção ilimitada). Você pode alterar esse valor movendo o controle deslizante de Retenção (dias) nas Propriedades avançadas ao configurar a conta de armazenamento para auditoria.
- Se você alterar o período de retenção de 0 (retenção ilimitada) para qualquer outro valor, a retenção será aplicável apenas a logs gravados após a alteração do valor da retenção. Os logs gravados durante o período em que os dias de retenção foram definidos como retenção ilimitada são preservados, mesmo depois que a retenção é habilitada.
Auditoria para destino do Log Analytics
Para configurar a gravação de logs de auditoria em um workspace do Log Analytics, selecione Log Analytics e abra Detalhes do Log Analytics. Selecione o workspace do Log Analytics em que você deseja armazenar os logs e, em seguida, selecione OK. Caso você ainda não tenha criado um workspace do Log Analytics, confira Criar um workspace do Log Analytics no portal do Azure.
Auditoria para o destino Hubs de Eventos
Para configurar a gravação de logs de auditoria para um hub de eventos, selecione Hub de Eventos. Selecione o hub de eventos em que você quer que os logs sejam armazenados e selecione Salvar. Verifique se o hub de eventos está na mesma região que o banco de dados e o servidor.
Observação
Se você estiver usando vários destinos, como conta de armazenamento, análise de logs ou hub de eventos, verifique se tem permissões para todos esses destinos. Caso contrário, o salvamento da configuração de auditoria falhará, pois tentará salvar as configurações de todos os destinos.