Compartilhar via


Configurar a Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics

Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics

Neste artigo, veremos como configurar a Auditoria para seu servidor lógico ou banco de dados no Banco de Dados SQL do Azure e Azure Synapse Analytics.

Configurar a Auditoria para o servidor

A política de auditoria padrão inclui o seguinte conjunto de grupos de ações, que faz a auditoria de todas as consultas e todos os procedimentos armazenados executados no banco de dados, bem como os logons com falha e bem-sucedidos:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Para configurar a auditoria para diferentes tipos de ações e grupos de ações usando o PowerShell, confira Gerenciar a Auditoria do Banco de Dados SQL do Azure.

A auditoria de Banco de Dados SQL do Azure e a Auditoria do Azure Synapse Analytics armazena 4.000 caracteres de dados para campos de caracteres em um registro de auditoria. Quando os valores de instrução ou data_sensitivity_information retornados de uma ação auditável contêm mais de 4000 caracteres, os dados após os primeiros 4000 caracteres são truncados e não auditados.

A seção a seguir descreve a configuração de auditoria usando o Portal do Azure.

Observação

Não é possível habilitar a auditoria em um pool de SQL dedicado pausado. Para habilitar a auditoria, retome o pool de SQL dedicado.

Quando a Auditoria é configurada para um workspace do Log Analytics ou para um destino do Hubs de Eventos por meio do cmdlet do portal do Azure ou do PowerShell, uma Configuração de Diagnóstico é criada com a categoria SQLSecurityAuditEvents habilitada.

  1. Acesse o portal do Azure.

  2. Navegue até Auditoria embaixo do título Segurança no seu painel Banco de dados SQL ou servidor SQL.

  3. Se preferir configurar uma política de auditoria de servidor, selecione o link Exibir configurações do servidor na página de auditoria do banco de dados. Depois, é possível exibir ou modificar as configurações de auditoria do servidor. As políticas de auditoria de servidor se aplicam a todos os bancos de dados existentes e recém-criados nesse servidor.

    Captura de tela que mostra o link Exibir configurações do servidor realçado na página de auditoria do banco de dados.

  4. Se você preferir habilitar a auditoria no nível do banco de dados, alterne Auditoria para LIGADO. Se a auditoria do servidor está habilitada, a auditoria configurada para o banco de dados existe lado a lado com a auditoria do servidor.

  5. Você tem várias opções para configurar o local em que os logs de auditoria são armazenados. Você pode gravar logs em uma conta de armazenamento do Azure, em um workspace do Log Analytics para consumo dos logs do Azure Monitor ou em um hub de eventos para consumo usando o hub de eventos. Você pode configurar qualquer combinação dessas opções, e os logs de auditoria são gravados em cada uma.

    Captura de tela que mostra as opções de armazenamento para Auditoria.

Auditoria para destino de armazenamento

Para configurar a gravação de logs de auditoria em uma conta de armazenamento, selecione Armazenamento quando chegar à seção Auditoria. Selecione a conta de armazenamento do Azure na qual deseja salvar os logs. Você pode usar estes dois tipos de autenticação de armazenamento: Identidade Gerenciada e Chaves de Acesso de Armazenamento. Para identidade gerenciada, há suporte para a identidade atribuída pelo sistema e a identidade gerenciada atribuída pelo usuário. Por padrão, a identidade de usuário primária atribuída ao servidor é selecionada. Se não houver uma identidade de usuário, uma identidade gerenciada atribuída pelo sistema será criada e usada para fins de autenticação. Depois de escolher um tipo de autenticação, selecione um período de retenção abrindo Propriedades avançadas e selecionando Salvar. Os logs anteriores ao período de retenção são excluídos.

Captura de tela que mostra os tipos de autenticação de conta de armazenamento para Auditoria.

Observação

Se você estiver implantando por meio do portal do Azure, verifique se a conta de armazenamento está na mesma região que o banco de dados e o servidor. Se você estiver implantando por meio de outros métodos, a conta de armazenamento pode estar em qualquer região.

  • O valor padrão do período de retenção é 0 (retenção ilimitada). Você pode alterar esse valor movendo o controle deslizante de Retenção (dias) nas Propriedades avançadas ao configurar a conta de armazenamento para auditoria.
    • Se você alterar o período de retenção de 0 (retenção ilimitada) para qualquer outro valor, a retenção será aplicável apenas a logs gravados após a alteração do valor da retenção. Os logs gravados durante o período em que os dias de retenção foram definidos como retenção ilimitada são preservados, mesmo depois que a retenção é habilitada.

Auditoria para destino do Log Analytics

Para configurar a gravação de logs de auditoria em um workspace do Log Analytics, selecione Log Analytics e abra Detalhes do Log Analytics. Selecione o workspace do Log Analytics em que você deseja armazenar os logs e, em seguida, selecione OK. Caso você ainda não tenha criado um workspace do Log Analytics, confira Criar um workspace do Log Analytics no portal do Azure.

Captura de tela mostrando o workspace selecionado da análise de logs.

Auditoria para o destino Hubs de Eventos

Para configurar a gravação de logs de auditoria para um hub de eventos, selecione Hub de Eventos. Selecione o hub de eventos em que você quer que os logs sejam armazenados e selecione Salvar. Verifique se o hub de eventos está na mesma região que o banco de dados e o servidor.

Captura de tela mostrando o hub de eventos.

Observação

Se você estiver usando vários destinos, como conta de armazenamento, análise de logs ou hub de eventos, verifique se tem permissões para todos esses destinos. Caso contrário, o salvamento da configuração de auditoria falhará, pois tentará salvar as configurações de todos os destinos.

Próximas etapas