Поделиться через


Использование аудита для анализа журналов аудита и отчетов

Область применения: База данных SQL Azure Azure Synapse Analytics

В этой статье представлен обзор анализа журналов аудита с помощью аудита для База данных SQL Azure и Azure Synapse Analytics. Аудит можно использовать для анализа журналов аудита, хранящихся в:

  • Служба Log Analytics
  • Event Hubs
  • Служба хранилища Azure

Анализ журналов с помощью Log Analytics

Если журналы аудита записываются в Log Analytics:

  1. Используйте портал Azure.

  2. Перейдите к соответствующему ресурсу базы данных.

  3. В верхней части страницы Аудит базы данных щелкните Просмотр журналов аудита .

    Снимок экрана: меню

Вы можете просмотреть журналы двумя способами:

  • Выбор Log Analytics в верхней части страницы записей аудита открывает представление журналов в рабочей области Log Analytics, где можно настроить диапазон времени и поисковый запрос.

    Снимок экрана: выбор Log Analytics в меню

  • При выборе панели мониторинга "Просмотр" в верхней части страницы записей аудита откроется панель мониторинга, в которой отображаются сведения о журналах аудита, где можно детализировать сведения о аналитике безопасности или доступе к конфиденциальным данным. Панель мониторинга содержит аналитические сведения о безопасности на основе ваших данных. Кроме того, можно настроить диапазон времени и поисковый запрос.

    Снимок экрана: выбор панели мониторинга представления в меню

    Снимок экрана: панель мониторинга аудита.

  • Кроме того, вы можете получить доступ к журналам аудита из меню Log Analytics . Откройте рабочую область Log Analytics и в разделе "Общие" и выберите "Журналы". Вы можете начать с простого запроса, например выполните поиск SQLSecurityAuditEvents, чтобы просмотреть журналы аудита. На этой странице можно также использовать журналы Azure Monitor для расширенного поиска по данным журналов аудита. Журналы Azure Monitor предоставляют аналитические сведения о работе систем в режиме реального времени. Вы можете использовать встроенный поиск и настраиваемые панели мониторинга для быстрого анализа миллионов записей по всем рабочим нагрузкам и серверам. Дополнительные полезные сведения о языке поиска и командах поиска журналов Azure Monitor см . в справочнике по поиску журналов Azure Monitor.

Анализ журналов с помощью Центров событий

Если вы решили написать журналы аудита в Центры событий:

  • Чтобы использовать данные журналов аудита из Центров событий, необходимо настроить поток для использования событий и записи их в целевой объект. Дополнительные сведения см. в документации по Центрам событий Azure.
  • Журналы аудита в Центрах событий записываются в тексте событий Apache Avro и хранятся с помощью форматирования JSON с кодировкой UTF-8. Для чтения журналов аудита можно использовать средства Avro Tools, потоки событий Microsoft Fabric или аналогичные средства, обрабатывающие этот формат.

Анализ журналов с помощью журналов в учетной записи хранения Azure

Если журналы аудита записываются в учетную запись хранения Azure, их можно просматривать несколькими способами:

  • Журналы аудита объединяются в учетной записи, выбранной на этапе настройки. Журналы аудита можно просматривать с помощью таких инструментов, как обозреватель хранилищ Azure. В службе хранилища Azure журналы аудита сохраняются в виде коллекции файлов больших двоичных объектов в контейнере sqldbauditlogs. Дополнительные сведения об иерархии папок хранилища, соглашения об именовании и формате журнала см. в разделе База данных SQL формат журнала аудита.

    1. Используйте портал Azure.

    2. Откройте соответствующий ресурс базы данных.

    3. В верхней части страницы Аудит базы данных щелкните Просмотр журналов аудита .

      Снимок экрана: просмотр журналов аудита.

      Откроется страница записей аудита, и вы можете просмотреть журналы.

    4. Вы можете просмотреть определенные даты, выбрав фильтр в верхней части страницы записей аудита.

    5. Можно переключаться между записями аудита, созданными политикой аудита сервера и политикой аудита базы данных, изменяя значение параметра Источник аудита.

      Снимок экрана, на котором показаны параметры просмотра записей аудита.

  • Системная функция sys.fn_get_audit_file (T-SQL) возвращает данные журнала аудита в табличном формате. Дополнительные сведения об использовании этой функции см. в статье sys.fn_get_audit_file (Transact-SQL).

  • Используйте объединение файлов аудита в SQL Server Management Studio (начиная с SSMS 17):

    1. В меню SSMS выберите Файл>Открыть>Объединение файлов аудита.

      Снимок экрана: пункт меню

    2. Откроется диалоговое окно Добавление файлов аудита. Выберите один из способов добавления. Вы можете использовать объединение файлов аудита из локального диска или импортировать их из службы хранилища Azure. Вам потребуется предоставить сведения о служба хранилища Azure и ключ учетной записи.

    3. После добавления всех файлов для слияния нажмите кнопку "ОК ", чтобы завершить операцию слияния.

    4. Объединенный файл откроется в SSMS, где вы сможете его просмотреть и проанализировать, а также экспортировать в XEL или CSV-файл или в таблицу.

  • Используйте Power BI. Вы можете просматривать и анализировать данные журнала аудита в Power BI. Чтобы получить дополнительные сведения и загрузить шаблон, см. запись блога об анализе данных журнала аудита в Power BI.

  • Скачайте файлы журналов из контейнера больших двоичных объектов хранилища Azure из портала или с помощью обозревателя хранилища Azure.

    • После загрузки файла журнала дважды щелкните по нему, чтобы открыть, просмотреть и проанализировать журналы в среде SSMS.
    • Вы также можете скачать несколько файлов одновременно в обозревателе служба хранилища Azure. Чтобы сделать это, щелкните правой кнопкой мыши конкретную вложенную папку и выберите Сохранить как, чтобы сохранить ее в локальной папке.
  • Дополнительные методы:

    • После загрузки нескольких файлов или вложенной папки, содержащей файлы журнала, можно объединить их локально, как описано выше в инструкциях по объединению файлов аудита в SSMS.
    • Программный просмотр журналов аудита больших двоичных объектов: запрос файлов продолжительных событий с помощью PowerShell.

См. также