Аудит для Базы данных SQL Azure и Azure Synapse Analytics

  • Статья

Применимо к:База данных SQL Azure Azure Synapse Analytics

Аудит для Базы данных SQL Azure и Azure Synapse Analytics отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure, в рабочей области Log Analytics или в Центрах событий.

Аудит также дает следующие возможности.

  • Помогает поддерживать соответствие нормативным требованиям, лучше понимать происходящее в базах данных, а также получать аналитические сведения о расхождениях и аномалиях, которые могут указывать на проблемы в бизнесе или потенциальные нарушения безопасности.

  • Средства аудита способствуют соблюдению стандартов соответствия, но не гарантируют их выполнения. Дополнительные сведения см. в центре управления безопасностью Microsoft Azure, где представлен актуальный список сертификатов соответствия Базы данных SQL.

Примечание.

Сведения о Управляемый экземпляр SQL Azure аудите см. в статье "Начало работы с Управляемый экземпляр SQL аудите".

Обзор

Используйте аудит базы данных SQL, чтобы выполнять следующие действия:

  • Сохранить журнал аудита выбранных событий. Вы можете указать, какие категории действий базы данных должны проходить аудит.
  • Создавать отчеты по действиям, производимым с базой данных. Вы можете использовать предварительно настроенные отчеты и панель мониторинга для быстрого начала работы с отчетностью по действиям и событиям.
  • Анализировать отчеты. Вы можете искать подозрительные события, необычную деятельность и тенденции.

Внимание

Аудит для База данных SQL Azure, пулов SQL Azure Synapse Analytics и Управляемый экземпляр SQL Azure оптимизирован для доступности и производительности базы данных или экземпляра. В периоды очень высокой активности или высокой сетевой нагрузки функция аудита может позволить транзакциям продолжаться без записи всех событий, помеченных для аудита.

Ограничения аудита

  • Включение аудита в приостановленном пуле SQL Azure Synapse не поддерживается. Чтобы включить аудит, возобновите пул SQL Synapse.
  • Включение аудита с помощью управляемого удостоверения, назначаемого пользователем (UAMI), не поддерживается в Azure Synapse.
  • В настоящее время управляемые удостоверения не поддерживаются для Azure Synapse, если учетная запись хранения не находится за виртуальной сетью или брандмауэром.
  • Аудит для пулов SQL Azure Synapse поддерживает только группы действий аудита по умолчанию.
  • При настройке аудита для логического сервера в Azure или База данных SQL Azure с назначением журнала в качестве учетной записи хранения режим проверки подлинности должен соответствовать конфигурации этой учетной записи хранения. При использовании ключей доступа к хранилищу в качестве типа проверки подлинности целевая учетная запись хранения должна быть включена с доступом к ключам учетной записи хранения. Если учетная запись хранения настроена только для проверки подлинности с идентификатором Microsoft Entra (ранее Azure Active Directory), аудит можно настроить для использования управляемых удостоверений для проверки подлинности.

Замечания

  • Хранилище класса Premium с blockBlob служба хранилища поддерживается. Поддерживается стандартное хранилище. Однако для аудита для записи в учетную запись хранения за виртуальной сетью или брандмауэром необходимо иметь учетную запись хранения общего назначения версии 2. Если у вас есть учетная запись общего назначения версии 1 или большой двоичный объект служба хранилища, обновите ее до учетной записи хранения общего назначения версии 2. Конкретные инструкции см. в этой статье. Дополнительные сведения см. в разделе Типы учетных записей хранения.
  • Иерархическое пространство имен для всех типов стандартной учетной записи хранения и учетной записи хранения класса Premium с blockBlob служба хранилища поддерживается.
  • Журналы аудита записываются в добавление BLOB-объектов в Хранилище BLOB-объектов Azure в подписке Azure.
  • Журналы аудита находятся в формате Xel и могут быть открыты с помощью SQL Server Management Studio (SSMS).
  • Чтобы настроить неизменяемое хранилище журналов для событий аудита на уровне сервера или базы данных, следуйте инструкциям для службы хранилища Azure. При настройке неизменяемого Хранилища BLOB-объектов обязательно выберите параметр Разрешить дополнительные операции добавления.
  • Журналы аудита можно записывать в учетную запись служба хранилища Azure за виртуальной сетью или брандмауэром.
  • Дополнительные сведения о формате журнала, иерархии папки хранения и соглашениях об именовании см. в справочнике по формату журнала аудита BLOB-объектов.
  • Аудит доступных только для чтения реплик включен автоматически. Дополнительные сведения об иерархии папок хранилища, соглашения об именовании и формате журнала см. в разделе База данных SQL формат журнала аудита.
  • При использовании проверки подлинности Microsoft Entra записи входа не отображаются в журнале аудита SQL. Чтобы просмотреть записи аудита входа с ошибкой, необходимо посетить Центр администрирования Microsoft Entra, который записывает сведения об этих событиях.
  • Данные для входа направляются шлюзом в конкретный экземпляр, в котором находится база данных. При входе в систему Microsoft Entra учетные данные проверяются перед попыткой использования этого пользователя для входа в запрошенную базу данных. В случае сбоя доступ к запрашиваемой базе данных отсутствует, поэтому аудит не выполняется. При использовании имен входа SQL учетные данные проверяются на запрошенных данных, поэтому в этом случае они могут быть проверены. Успешные попытки входа, при которых удалось получить доступ к базе данных, проходят аудит в обоих случаях.
  • После настройки параметров аудита можно включить новую функцию обнаружения угроз и настроить адреса электронной почты для получения предупреждений системы безопасности. Использование функции обнаружения угроз позволяет настроить упреждающие оповещения об аномальной активности в базах данных, которая может указывать на потенциальные угрозы безопасности. Дополнительные сведения см. в статье Обнаружение угроз для базы данных SQL.
  • После копирования базы данных с включенным аудитом на другой логический сервер может появиться сообщение электронной почты, уведомляющее вас о сбое аудита. Это известная проблема, и аудит должен работать корректно на заново скопированных базах данных.

Следующие шаги

Настройка аудита для База данных SQL Azure и Azure Synapse Analytics

См. также