Usar a Auditoria para analisar logs e relatórios de auditoria
Aplica-se a:
Banco de DadosSQL do Azure Azure Synapse Analytics
Este artigo fornece uma visão geral da análise de logs de auditoria usando a Auditoria para o Banco de Dados SQL do Azure e o Azure Synapse Analytics. Você pode usar a Auditoria para analisar os logs de auditoria armazenados em:
- Log Analytics
- Hubs de Eventos do
- Armazenamento do Azure
Analise logs usando o Log Analytics
Se você optar por gravar logs de auditoria no Log Analytics:
Use o portal do Azure.
Vá para o recurso de banco de dados relevante.
Na parte superior da página Auditoria da base de dados, selecione Ver registos de auditoria.
Você tem duas maneiras de visualizar os logs:
Selecionar Log Analytics na parte superior da página Registros de auditoria abre a visualização de logs no espaço de trabalho do Log Analytics, onde você pode personalizar o intervalo de tempo e a consulta de pesquisa.
Selecionar Exibir painel na parte superior da página Registros de auditoria abre um painel exibindo informações de logs de auditoria, onde você pode detalhar Informações de Segurança ou Acesso a Dados Confidenciais. Este painel foi concebido para o ajudar a obter informações de segurança para os seus dados. Você também pode personalizar o intervalo de tempo e a consulta de pesquisa.
Como alternativa, você também pode acessar os logs de auditoria no menu Log Analytics . Abra o espaço de trabalho do Log Analytics e, na seção Geral, selecione Logs. Você pode começar com uma consulta simples, como: pesquisar "SQLSecurityAuditEvents" para visualizar os logs de auditoria. A partir daqui, você também pode usar os logs do Azure Monitor para executar pesquisas avançadas em seus dados de log de auditoria. Os logs do Azure Monitor fornecem informações operacionais em tempo real usando pesquisa integrada e painéis personalizados para analisar prontamente milhões de registros em todas as suas cargas de trabalho e servidores. Para obter informações úteis adicionais sobre o idioma e os comandos de pesquisa de logs do Azure Monitor, consulte Referência de pesquisa de logs do Azure Monitor.
Analisar logs usando Hubs de Eventos
Se você optar por gravar logs de auditoria em Hubs de Eventos:
- Para consumir dados de logs de auditoria de Hubs de Eventos, você precisa configurar um fluxo para consumir eventos e gravá-los em um destino. Para obter mais informações, consulte Documentação dos Hubs de Eventos do Azure.
- Os logs de auditoria nos Hubs de Eventos são capturados no corpo dos eventos Apache Avro e armazenados usando a formatação JSON com codificação UTF-8. Para ler os registos de auditoria, pode utilizar as Ferramentas Avro ou ferramentas semelhantes que processem este formato.
Analisar logs usando logs em uma conta de armazenamento do Azure
Se você optar por gravar logs de auditoria em uma conta de armazenamento do Azure, há vários métodos que você pode usar para exibir os logs:
Os logs de auditoria são agregados na conta escolhida durante a configuração. Você pode explorar os logs de auditoria usando uma ferramenta como o Gerenciador de Armazenamento do Azure. No armazenamento do Azure, os logs de auditoria são salvos como uma coleção de arquivos de blob dentro de um contêiner chamado sqldbauditlogs. Para obter mais informações sobre a hierarquia das pastas de armazenamento, convenções de nomenclatura e formato de log, consulte o Formato de log de auditoria do Banco de dados SQL.
Use o portal do Azure.
Abra o recurso de banco de dados relevante.
Na parte superior da página Auditoria da base de dados, selecione Ver registos de auditoria.
A página Registros de auditoria é aberta e você pode visualizar os logs.
Você pode exibir datas específicas selecionando Filtro na parte superior da página Registros de auditoria.
Você pode alternar entre os registros de auditoria criados pela política de auditoria do servidor e a política de auditoria do banco de dados alternando a Fonte de Auditoria.
Use a função
sys.fn_get_audit_filedo sistema (T-SQL) para retornar os dados do log de auditoria em formato tabular. Para obter mais informações sobre como usar essa função, consulte sys.fn_get_audit_file.Use arquivos de auditoria de mesclagem no SQL Server Management Studio (a partir do SSMS 17):
No menu SSMS, selecione Arquivo>Abrir>Arquivos de Auditoria de Mesclagem.
A caixa de diálogo Adicionar arquivos de auditoria é aberta. Selecione uma das opções Adicionar para escolher se deseja mesclar arquivos de auditoria de um disco local ou importá-los do Armazenamento do Azure. É necessário fornecer os detalhes do Armazenamento do Azure e a chave da conta.
Depois que todos os arquivos a serem mesclados tiverem sido adicionados, selecione OK para concluir a operação de mesclagem.
O arquivo mesclado é aberto no SSMS, onde você pode visualizá-lo e analisá-lo, bem como exportá-lo para um arquivo XEL ou CSV ou para uma tabela.
Use Power BI. Você pode exibir e analisar dados de log de auditoria no Power BI. Para obter mais informações e acessar um modelo para download, consulte Analisar dados de log de auditoria no Power BI.
Baixe arquivos de log do seu contêiner de blob de Armazenamento do Azure por meio do portal ou usando uma ferramenta como o Gerenciador de Armazenamento do Azure.
- Depois de baixar um arquivo de log localmente, clique duas vezes no arquivo para abrir, exibir e analisar os logs no SSMS.
- Você também pode baixar vários arquivos simultaneamente no Gerenciador de Armazenamento do Azure. Para fazer isso, clique com o botão direito do mouse em uma subpasta específica e selecione Salvar como para salvar em uma pasta local.
Mais métodos:
- Depois de baixar vários arquivos ou uma subpasta que contenha arquivos de log, você pode mesclá-los localmente, conforme descrito nas instruções dos Arquivos de Auditoria de Mesclagem do SSMS descritas anteriormente.
- Exiba logs de auditoria de blob programaticamente: Consultar arquivos de eventos estendidos usando o PowerShell.