Tutorial: Configurar logs de auditoria usando o Banco de Dados do Azure para MySQL - Servidor Flexível

  • Artigo

APLICA-SE A: Banco de Dados do Azure para MySQL - Servidor Flexível

Você pode usar o Banco de Dados do Azure para o servidor flexível MySQL para configurar logs de auditoria. Os logs de auditoria podem ser usados para rastrear a atividade no nível do banco de dados, incluindo eventos de conexão, administração, linguagem de definição de dados (DDL) e linguagem de manipulação de dados (DML). Estes tipos de registos são frequentemente utilizados para fins de conformidade. Normalmente, você usa a auditoria de banco de dados para:

  • Contabilize todas as ações que acontecem dentro de um determinado esquema, tabela ou linha, ou que afetam conteúdo específico.
  • Impedir que os utilizadores (ou outros) realizem ações inadequadas com base na sua responsabilidade.
  • Investigue atividades suspeitas.
  • Monitorar e coletar dados sobre atividades específicas do banco de dados.

Este artigo descreve como usar logs de auditoria do MySQL, ferramentas do Log Analytics ou um modelo de pasta de trabalho para visualizar informações de auditoria para o Banco de Dados do Azure para o servidor flexível MySQL.

Neste tutorial, irá aprender a:

  • Configurar a auditoria usando o portal do Azure ou a CLI do Azure
  • Configurar diagnósticos
  • Exibir logs de auditoria usando o Log Analytics
  • Exibir logs de auditoria usando pastas de trabalho

Pré-requisitos

Configurar a auditoria usando o portal do Azure

  1. Inicie sessão no portal do Azure.

  2. Selecione sua instância de servidor flexível.

  3. No painel esquerdo, em Configurações, selecione Parâmetros do servidor.

    Screenshot showing the 'Server parameters' list.

  4. Para o parâmetro audit_log_enabled, selecione ON.

    Screenshot showing the 'audit_log_enabled' parameter switched to 'ON'.

  5. Para o parâmetro audit_log_events, na lista suspensa, selecione os tipos de evento a serem registrados.

    Screenshot of the event options in the 'audit_log_events' dropdown list.

  6. Para os parâmetros audit_log_exclude_users e audit_log_include_users , especifique todos os usuários do MySQL a serem incluídos ou excluídos do registro fornecendo seus nomes de usuário do MySQL.

    Screenshot showing the MySQL usernames to be included or excluded from logging.

  7. Selecione Guardar.

    Screenshot of the 'Save' button for saving changes in the parameter values.

Configurar a auditoria usando a CLI do Azure

Como alternativa, você pode habilitar e configurar a auditoria para seu servidor flexível a partir da CLI do Azure executando o seguinte comando:

# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON

Configurar diagnósticos

Os logs de auditoria são integrados às configurações de diagnóstico do Azure Monitor para permitir que você canalize seus logs para qualquer um dos três coletores de dados:

  • Um espaço de trabalho do Log Analytics
  • Um hub de eventos
  • Uma conta de armazenamento

Nota

Você deve criar seus coletores de dados antes de definir as configurações de diagnóstico. Você pode acessar os logs de auditoria nos coletores de dados configurados. Pode levar até 10 minutos para que os logs apareçam.

  1. No painel esquerdo, em Monitoramento, selecione Configurações de diagnóstico.

  2. No painel Configurações de diagnóstico, selecione Adicionar configuração de diagnóstico.

    Screenshot of the 'Add diagnostic setting' link on the 'Diagnostic settings' pane.

  3. Na caixa Nome, insira um nome para a configuração de diagnóstico.

    Screenshot of the 'Diagnostics settings' pane for selecting configuration options.

  4. Especifique para quais destinos (espaço de trabalho do Log Analytics, um hub de eventos ou uma conta de armazenamento) enviar os logs de auditoria marcando as caixas de seleção correspondentes.

    Nota

    Para este tutorial, você enviará os logs de auditoria para um espaço de trabalho do Log Analytics.

  5. Em Log, para o tipo de log, marque a caixa de seleção MySqlAuditLogs .

  6. Depois de configurar os coletores de dados para canalizar os logs de auditoria, selecione Salvar.

Exibir logs de auditoria usando o Log Analytics

  1. No Log Analytics, no painel esquerdo, em Monitoramento, selecione Logs.

  2. Feche a janela Consultas .

    Screenshot of the Log Analytics 'Queries' pane.

  3. Na janela de consulta, você pode escrever a consulta a ser executada. Por exemplo, para encontrar um resumo de eventos auditados em um servidor específico, usamos a seguinte consulta:

    AzureDiagnostics
    |where Category =='MySqlAuditLogs' 
    |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s 
    |summarize count() by event_class_s,event_subclass_s 
    |order by event_class_s

    Screenshot of an example Log Analytics query seeking to find a summary of audited events on a particular server.

Exibir logs de auditoria usando pastas de trabalho

O modelo de pasta de trabalho que você usa para auditoria exige que você crie configurações de diagnóstico para enviar logs da plataforma.

  1. No Azure Monitor, no painel esquerdo, selecione Registo de atividades e, em seguida, selecione Definições de diagnóstico.

    Screenshot showing the 'Diagnostics settings' tab on the Azure Monitor 'Activity log' pane.

  2. No painel Configuração de diagnóstico , você pode adicionar uma nova configuração ou editar uma existente. Cada configuração não pode ter mais de um de cada tipo de destino.

    Screenshot of the Azure Monitor 'Diagnostic setting' pane for selecting log destinations.

    Nota

    Você pode acessar os logs de consulta lenta nos coletores de dados (espaço de trabalho do Log Analytics, conta de armazenamento ou hub de eventos) que você já configurou. Pode levar até 10 minutos para que os logs apareçam.

  3. No portal do Azure, no painel esquerdo, em Monitoramento para sua instância de servidor flexível do Banco de Dados do Azure para MySQL, selecione Pastas de trabalho.

  4. Selecione a pasta de trabalho Auditoria .

    Screenshot showing all workbooks in the workbook gallery.

Na pasta de trabalho, você pode exibir as seguintes visualizações:

  • Ações administrativas sobre o serviço
  • Resumo da auditoria
  • Resumo dos eventos de conexão de auditoria
  • Auditar eventos de conexão
  • Resumo do acesso à tabela
  • Erros identificados

Screenshot of workbook template 'Administrative Actions on the service'.

Screenshot of workbook template 'Audit Connection Events'.

Nota

  • Você também pode editar esses modelos e personalizá-los de acordo com suas necessidades. Para obter mais informações, consulte a seção "Modo de edição" das Pastas de Trabalho do Azure.
  • Para uma visualização rápida, você também pode fixar as pastas de trabalho ou a consulta do Log Analytics no seu painel. Para obter mais informações, consulte Criar um painel no portal do Azure.

As Ações Administrativas na visualização de serviço fornecem detalhes sobre a atividade executada no serviço . Ele ajuda a determinar o quê, quem e quando para quaisquer operações de gravação (PUT, POST, DELETE) que são executadas nos recursos em sua assinatura.

Você pode usar outras visualizações para ajudá-lo a entender os detalhes da atividade do banco de dados. A segurança do banco de dados tem quatro partes:

  • Segurança do servidor: Responsável por impedir que pessoas não autorizadas acessem o banco de dados.
  • Conexão com o banco de dados: o administrador deve verificar se alguma atualização do banco de dados foi executada por pessoal autorizado.
  • Controle de acesso à tabela: mostra as chaves de acesso dos usuários autorizados e quais tabelas dentro do banco de dados cada um está autorizado a manipular.
  • Restrição de acesso ao banco de dados: Particularmente importante para aqueles que carregaram um banco de dados na Internet e ajuda a impedir que fontes externas tenham acesso ao seu banco de dados.

Próximos passos