Formato do registo de auditoria da Base de Dados SQL
Aplica-se a:
Banco de Dados SQL do Azure Azure SQLManaged InstanceAzure Synapse Analytics
A auditoria do Banco de Dados SQL do Azure rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure ou os envia para o Hub de Eventos ou o Log Analytics para processamento e análise downstream.
Convenções de nomenclatura
Auditoria de Blob
Os logs de auditoria armazenados no armazenamento de Blob do Azure são armazenados em um contêiner nomeado sqldbauditlogs na conta de armazenamento do Azure. A hierarquia de diretórios dentro do contêiner é do formato <ServerName>/<DatabaseName>/<AuditName>/<Date>/. O formato de nome de arquivo Blob é , onde CreationTime está no formato UTC hh_mm_ss_ms e FileNumberInSession é <CreationTime>_<FileNumberInSession>.xelum índice em execução caso os logs de sessão se estendem por vários arquivos Blob.
Por exemplo, para o banco de dados Database1 a Server1 seguir é um possível caminho válido:
Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel
Somente leitura Os logs de auditoria das réplicas são armazenados no mesmo contêiner. A hierarquia de diretórios dentro do contêiner é do formato <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. O nome do arquivo Blob compartilha o mesmo formato. Os logs de auditoria de réplicas somente leitura são armazenados no mesmo contêiner.
Hub de Eventos
Os eventos de auditoria são escritos no espaço de nomes e no hub de eventos que foi definido durante a configuração da auditoria e são capturados no corpo dos eventos do Apache Avro e armazenados com a formatação JSON e codificação UTF-8. Para ler os registos de auditoria, pode utilizar as Ferramentas Avro ou ferramentas semelhantes que processem este formato.
Log Analytics
Os eventos de auditoria são gravados no espaço de trabalho do Log Analytics definido durante a configuração da auditoria, na tabela com a categoria e na tabela com a AzureDiagnostics categoria SQLSecurityAuditEventsDevOpsOperationsAudit para Operações de Suporte da Microsoft. Para obter informações úteis adicionais sobre os comandos e a linguagem de pesquisa do Log Analytics, veja Referência de pesquisa do Log Analytics.
Campos do log de auditoria
| Nome (blob) | Nome (Hubs de Eventos/Análise de Log) | Descrição | Tipo de blob | Tipo de Hubs de Eventos/Análise de Log |
|---|---|---|---|---|
| action_id | action_id_s | ID da ação | Varchar(4) | string |
| action_name | action_name_s | Nome da ação | N/A | string |
| additional_information | additional_information_s | Qualquer informação adicional sobre o evento, armazenada como XML | Nvarchar(4000) | string |
| affected_rows | affected_rows_d | Número de linhas afetadas pela consulta | bigint | número inteiro |
| application_name | application_name_s | Nome do aplicativo cliente | Nvarchar(128) | string |
| audit_schema_version | audit_schema_version_d | Sempre 1 | número inteiro | número inteiro |
| class_type | class_type_s | Tipo de entidade auditável em que a auditoria ocorre | Varchar(2) | string |
| class_type_desc | class_type_description_s | Descrição da entidade auditável em que a auditoria ocorre | N/A | string |
| client_ip | client_ip_s | IP de origem do aplicativo cliente | Nvarchar(128) | string |
| connection_id | N/A | ID da conexão no servidor | GUID | N/A |
| data_sensitivity_information | data_sensitivity_information_s | Tipos de informação e rótulos de sensibilidade retornados pela consulta auditada, com base nas colunas classificadas no banco de dados. Saiba mais sobre a descoberta e classificação de dados do Banco de Dados SQL do Azure | Nvarchar(4000) | string |
| database_name | database_name_s | O contexto do banco de dados no qual a ação ocorreu | sysname | string |
| database_principal_id | database_principal_id_d | ID do contexto de usuário do banco de dados em que a ação é executada | número inteiro | número inteiro |
| database_principal_name | database_principal_name_s | Nome do contexto de usuário do banco de dados no qual a ação é executada | sysname | string |
| duration_milliseconds | duration_milliseconds_d | Duração da execução da consulta em milissegundos | bigint | número inteiro |
| event_time | event_time_t | Data e hora em que a ação auditável é acionada | datetime2 | datetime |
| host_name | N/A | Nome do host do cliente | string | N/A |
| is_column_permission | is_column_permission_s | Sinalizador que indica se esta é uma permissão de nível de coluna. 1 = verdadeiro, 0 = falso | bit | string |
| N/A | is_server_level_audit_s | Sinalizador que indica se esta auditoria está no nível do servidor | N/A | string |
| object_ ID | object_id_d | A ID da entidade na qual a auditoria ocorreu. Isso inclui os objetos : server, bancos de dados, objetos de banco de dados e objetos de esquema. 0 se a entidade for o próprio servidor ou se a auditoria não for executada em um nível de objeto | número inteiro | número inteiro |
| object_name | object_name_s | O nome da entidade na qual a auditoria ocorreu. Isso inclui os objetos : server, bancos de dados, objetos de banco de dados e objetos de esquema. 0 se a entidade for o próprio servidor ou se a auditoria não for executada em um nível de objeto | sysname | string |
| obo_middle_tier_app_id | obo_middle_tier_app_id_s | A ID do aplicativo de camada intermediária que se conectou ao Banco de dados SQL usando o acesso OBO. | Varchar(120) | string |
| permission_bitmask | permission_bitmask_s | Quando aplicável, mostra as permissões que foram concedidas, negadas ou revogadas | Varbinário(16) | string |
| response_rows | response_rows_d | Número de linhas retornadas no conjunto de resultados | bigint | número inteiro |
| schema_name | schema_name_s | O contexto do esquema no qual a ação ocorreu. NULL para auditorias que ocorrem fora de um esquema | sysname | string |
| N/A | securable_class_type_s | Objeto protegível que mapeia para o class_type que está sendo auditado | N/A | string |
| sequence_group_id | sequence_group_id_g | Identificador exclusivo | Varbinary | GUID |
| sequence_number | sequence_number_d | Rastreia a sequência de registros em um único registro de auditoria que era muito grande para caber no buffer de gravação para auditorias. Observe que o Banco de Dados SQL do Azure e a Auditoria de Sinapse do Azure armazenam 4000 caracteres de dados para campos de caracteres em um registro de auditoria. Quando houver mais de 4000 caracteres, quaisquer dados além dos primeiros 4000 caracteres serão truncados | número inteiro | número inteiro |
| server_instance_name | server_instance_name_s | Nome da instância do servidor onde ocorreu a auditoria | sysname | string |
| server_principal_id | server_principal_id_d | ID do contexto de login no qual a ação é executada | número inteiro | número inteiro |
| server_principal_name | server_principal_name_s | Login atual | sysname | string |
| server_principal_sid | server_principal_sid_s | SID de login atual | Varbinary | string |
| session_id | session_id_d | ID da sessão em que o evento ocorreu | smallint | número inteiro |
| session_server_principal_name | session_server_principal_name_s | Principal do servidor para sessão | sysname | string |
| instrução | statement_s | Instrução T-SQL que foi executada (se houver) | Nvarchar(4000) | string |
| bem sucedido | succeeded_s | Indica se a ação que disparou o evento foi bem-sucedida. Para eventos diferentes de login e lote, isso informa apenas se a verificação de permissão foi bem-sucedida ou falhou, não a operação. 1 = sucesso, 0 = reprovação | bit | string |
| target_database_principal_id | target_database_principal_id_d | A entidade de banco de dados na qual a operação GRANT/DENY/REVOKE é executada. 0 se não aplicável | número inteiro | número inteiro |
| target_database_principal_name | target_database_principal_name_s | Usuário alvo da ação. NULL se não aplicável | string | string |
| target_server_principal_id | target_server_principal_id_d | Entidade de servidor na qual a operação GRANT/DENY/REVOKE é executada. Devolve 0 se não for aplicável | número inteiro | número inteiro |
| target_server_principal_name | target_server_principal_name_s | Login alvo da ação. NULL se não aplicável | sysname | string |
| target_server_principal_sid | target_server_principal_sid_s | SID do login de destino. NULL se não aplicável | Varbinary | string |
| transaction_id | transaction_id_d | Somente SQL Server (a partir de 2016) - 0 para o Banco de Dados SQL do Azure | bigint | número inteiro |
| user_defined_event_id | user_defined_event_id_d | ID de evento definido pelo usuário passado como um argumento para sp_audit_write. NULL para eventos do sistema (padrão) e diferente de zero para evento definido pelo usuário. Para obter mais informações, consulte sp_audit_write (Transact-SQL) | smallint | número inteiro |
| user_defined_information | user_defined_information_s | Informações definidas pelo usuário passadas como um argumento para sp_audit_write. NULL para eventos do sistema (padrão) e diferente de zero para evento definido pelo usuário. Para obter mais informações, consulte sp_audit_write (Transact-SQL) | Nvarchar(4000) | string |
Próximos passos
Saiba mais sobre a auditoria do Banco de Dados SQL do Azure.