Аудит для Базы данных SQL Azure и Azure Synapse Analytics
Область применения:
База данныхSQL Azure Synapse Analytics
Аудит для Базы данных SQL Azure и Azure Synapse Analytics отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure, в рабочей области Log Analytics или в Центрах событий.
Аудит также дает следующие возможности:
Аудит может помочь вам соблюсти требования нормативов, проанализировать работу с базой данных и получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности.
Средства аудита способствуют соблюдению стандартов соответствия, но не гарантируют их выполнения. Дополнительные сведения см. в центре управления безопасностью Microsoft Azure, где представлен актуальный список сертификатов соответствия Базы данных SQL.
Примечание.
Сведения об аудите управляемого экземпляра SQL Azure см. в статье "Начало работы с аудитом управляемого экземпляра SQL".
Обзор
Используйте аудит базы данных SQL, чтобы выполнять следующие действия:
- Сохранить журнал аудита выбранных событий. Вы можете указать, какие категории действий базы данных должны проходить аудит.
- Создавать отчеты по действиям, производимым с базой данных. Вы можете использовать предварительно настроенные отчеты и панель мониторинга для быстрого начала работы с отчетностью по действиям и событиям.
- Анализировать отчеты. Вы можете искать подозрительные события, необычную деятельность и тенденции.
Важно!
Аудит базы данных SQL Azure, пулов SQL Azure Synapse Analytics и Управляемого экземпляра SQL Azure оптимизирован для доступности и производительности базы данных или экземпляра, проверяемого. В периоды очень высокой активности или высокой сетевой нагрузки функция аудита может позволить транзакциям продолжаться без записи всех событий, помеченных для аудита.
Ограничения аудита
- Включение аудита в приостановленном пуле SQL Azure Synapse не поддерживается. Чтобы включить аудит, возобновите пул SQL Synapse.
- Включение аудита с помощью управляемого удостоверения, назначаемого пользователем (UAMI), не поддерживается в Azure Synapse.
- Аудит для пулов SQL Azure Synapse поддерживает только группы действий аудита по умолчанию.
- При настройке аудита для логического сервера в Базе данных SQL Azure или Azure с назначением журнала в качестве учетной записи хранения с использованием ключей доступа к хранилищу в качестве типа проверки подлинности целевая учетная запись хранения должна быть включена с доступом к ключам учетной записи хранения. Если учетная запись хранения настроена на использование проверки подлинности только для Azure AD и не настроена для использования ключа доступа, аудит нельзя настроить с помощью проверки подлинности ключей доступа к хранилищу и использовать управляемое удостоверение.
Замечания
- Хранилище класса Premium с blockBlobStorage поддерживается. Поддерживается стандартное хранилище. Однако для аудита для записи в учетную запись хранения за виртуальной сетью или брандмауэром необходимо иметь учетную запись хранения общего назначения версии 2. Если у вас есть учетная запись хранения общего назначения версии 1 или BLOB-объектов, обновите ее до учетной записи хранения общего назначения версии 2. Конкретные инструкции см. в этой статье. Дополнительные сведения см. в разделе Типы учетных записей хранения.
- Иерархическое пространство имен для всех типов стандартной учетной записи хранения и учетной записи хранения класса Premium с помощью BlockBlobStorage поддерживается.
- Журналы аудита записываются в добавление BLOB-объектов в хранилище BLOB-объектов Azure в подписке Azure
- Журналы аудита находятся в формате Xel и могут быть открыты с помощью SQL Server Management Studio (SSMS).
- Чтобы настроить неизменяемое хранилище журналов для событий аудита на уровне сервера или базы данных, следуйте инструкциям для службы хранилища Azure. При настройке неизменяемого Хранилища BLOB-объектов обязательно выберите параметр Разрешить дополнительные операции добавления.
- Журналы аудита можно записывать в учетную запись хранения Azure за виртуальной сетью или брандмауэром.
- Дополнительные сведения о формате журнала, иерархии папки хранения и соглашениях об именовании см. в справочнике по формату журнала аудита BLOB-объектов.
- Аудит доступных только для чтения реплик включен автоматически. Дополнительные сведения об иерархии папок хранилища, соглашения об именовании и формате журнала см. в формате журнала аудита базы данных SQL.
- При использовании проверки подлинности Azure AD записи входа не отображаются в журнале аудита SQL. Чтобы просмотреть записи аудита для неудачных попыток входа, посетите портал Azure Active Directory, который регистрирует сведения об этих событиях.
- Данные для входа направляются шлюзом в конкретный экземпляр, в котором находится база данных. При входе Azure AD учетные данные проверяются перед попыткой использовать этого пользователя для входа в запрошенную базу данных. В случае сбоя доступ к запрашиваемой базе данных отсутствует, поэтому аудит не выполняется. При использовании имен входа SQL учетные данные проверяются на запрошенных данных, поэтому в этом случае они могут быть проверены. Успешные попытки входа, при которых удалось получить доступ к базе данных, проходят аудит в обоих случаях.
- После настройки параметров аудита можно включить новую функцию обнаружения угроз и настроить адреса электронной почты для получения предупреждений системы безопасности. Использование функции обнаружения угроз позволяет настроить упреждающие оповещения об аномальной активности в базах данных, которая может указывать на потенциальные угрозы безопасности. Дополнительные сведения см. в статье Обнаружение угроз для базы данных SQL.
- После копирования базы данных с включенным аудитом на другой логический сервер может появиться сообщение электронной почты, уведомляющее вас о сбое аудита. Это известная проблема, и аудит должен работать корректно на заново скопированных базах данных.