Partilhar via


Configurar a Auditoria para o Banco de Dados SQL do Azure e o Azure Synapse Analytics

Aplica-se a:Banco de DadosSQL do Azure Azure Synapse Analytics

Neste artigo, abordamos a configuração da Auditoria para seu servidor lógico ou banco de dados no Banco de Dados SQL do Azure e no Azure Synapse Analytics.

Configurar auditoria para seu servidor

A política de auditoria padrão inclui o seguinte conjunto de grupos de ações, que audita todas as consultas e procedimentos armazenados executados no banco de dados, bem como logons bem-sucedidos e com falha:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Para configurar a auditoria para diferentes tipos de ações e grupos de ações usando o PowerShell, consulte Gerenciar auditoria do Banco de Dados SQL do Azure.

O Banco de Dados SQL do Azure e a Auditoria do Azure Synapse Analytics podem armazenar 4000 caracteres de dados para campos de caracteres em um registro de auditoria. Quando a instrução ou os valores de data_sensitivity_information retornados de uma ação auditável contêm mais de 4000 caracteres, todos os dados além dos primeiros 4000 caracteres são truncados e não auditados.

A seção a seguir descreve a configuração de Auditoria usando o portal do Azure.

Nota

Não é possível ativar a auditoria num conjunto de SQL dedicado em pausa. Para habilitar a auditoria, interrompa a pausa do pool SQL dedicado. Para obter mais informações, consulte Pool SQL dedicado.

Quando a Auditoria é configurada para um espaço de trabalho do Log Analytics ou para um destino de Hubs de Eventos no portal do Azure ou cmdlet do PowerShell, uma Configuração de Diagnóstico é criada com SQLSecurityAuditEvents a categoria habilitada.

  1. Aceda ao portal do Azure.

  2. Navegue até Auditoria sob o título Segurança no banco de dados SQL ou no painel do servidor SQL.

  3. Se preferir configurar uma política de auditoria de servidor, selecione o link Exibir configurações do servidor na página de auditoria de banco de dados. Em seguida, você pode exibir ou modificar as configurações de auditoria do servidor. As políticas de auditoria do servidor aplicam-se a todos os bancos de dados existentes e recém-criados neste servidor.

    Screenshot that shows the View server settings link highlighted on the database auditing page.

  4. Se preferir habilitar a auditoria no nível do banco de dados, alterne Auditoria para ATIVADO. Se a auditoria do servidor estiver habilitada, a auditoria configurada pelo banco de dados existirá lado a lado com a auditoria do servidor.

  5. Você tem várias opções para configurar onde os logs de auditoria são armazenados. Você pode gravar logs em uma conta de armazenamento do Azure, em um espaço de trabalho do Log Analytics para consumo pelos logs do Azure Monitor ou no hub de eventos para consumo usando o hub de eventos. Você pode configurar qualquer combinação dessas opções, e os logs de auditoria são gravados em cada uma delas.

    Screenshot that shows the storage options for Auditing.

Auditoria ao destino do armazenamento

Para configurar a gravação de logs de auditoria em uma conta de armazenamento, selecione Armazenamento quando chegar à seção Auditoria . Selecione a conta de armazenamento do Azure onde você deseja salvar seus logs. Você pode usar os dois tipos de autenticação de armazenamento a seguir: Identidade gerenciada e Chaves de acesso de armazenamento. Para identidade gerenciada, há suporte para identidade gerenciada atribuída pelo sistema e pelo usuário. Por padrão, a identidade de usuário principal atribuída ao servidor é selecionada. Se não houver identidade de usuário, uma identidade gerenciada atribuída ao sistema será criada e usada para fins de autenticação. Depois de escolher um tipo de autenticação, selecione um período de retenção abrindo Propriedades avançadas e selecionando Salvar. Os logs anteriores ao período de retenção são excluídos.

Screenshot that shows storage account authentication types for Auditing.

Nota

Se estiver a implementar a partir do portal do Azure, certifique-se de que a conta de armazenamento está na mesma região que a base de dados e o servidor. Se você estiver implantando por meio de outros métodos, a conta de armazenamento poderá estar em qualquer região.

  • O valor padrão para o período de retenção é 0 (retenção ilimitada). Você pode alterar esse valor movendo o controle deslizante Retenção (Dias) em Propriedades avançadas ao configurar a conta de armazenamento para auditoria.
    • Se você alterar o período de retenção de 0 (retenção ilimitada) para qualquer outro valor, a retenção só se aplicará aos logs gravados após a alteração do valor de retenção. Os logs gravados durante o período em que os dias de retenção foram definidos como retenção ilimitada são preservados, mesmo depois que a retenção é habilitada.

Auditoria no destino do Log Analytics

Para configurar a gravação de logs de auditoria em um espaço de trabalho do Log Analytics, selecione Log Analytics e abra os detalhes do Log Analytics. Selecione o espaço de trabalho do Log Analytics onde os logs você deseja armazenar os logs e, em seguida, selecione OK. Se você não criou um espaço de trabalho do Log Analytics, consulte Criar um espaço de trabalho do Log Analytics no portal do Azure.

Screenshot showing the Log Analytics workspace.

Auditoria no destino dos Hubs de Eventos

Para configurar a gravação de logs de auditoria em um hub de eventos, selecione Hub de Eventos. Selecione o hub de eventos onde deseja armazenar os logs e, em seguida, selecione Salvar. Certifique-se de que o hub de eventos esteja na mesma região que o banco de dados e o servidor.

Screenshot showing the Event hub.

Nota

Se você estiver usando vários destinos, como conta de armazenamento, análise de log ou hub de eventos, certifique-se de ter permissões para todos os destinos, caso contrário, salvar a configuração de auditoria falharia, pois tentará salvar as configurações de todos os destinos.

Próximos passos

Consulte também