Аудит для Базы данных SQL Azure и Azure Synapse Analytics
Область применения:
База данных SQL Azure Azure Synapse Analytics
Аудит для База данных SQL Azure? и Azure Synapse Analytics отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure, рабочей области Log Analytics или Центрах событий.
Аудит также дает следующие возможности.
Помогает поддерживать соответствие нормативным требованиям, лучше понимать происходящее в базах данных, а также получать аналитические сведения о расхождениях и аномалиях, которые могут указывать на проблемы в бизнесе или потенциальные нарушения безопасности.
Средства аудита способствуют соблюдению стандартов соответствия, но не гарантируют их выполнения. Дополнительные сведения см. в центре управления безопасностью Microsoft Azure, где представлен актуальный список сертификатов соответствия Базы данных SQL.
Примечание.
Сведения о Управляемый экземпляр SQL Azure аудите см. в статье "Начало работы с Управляемый экземпляр SQL Azure аудите".
Обзор
Используйте аудит базы данных SQL, чтобы выполнять следующие действия:
- Сохранить журнал аудита выбранных событий. Вы можете указать, какие категории действий базы данных должны проходить аудит.
- Создавать отчеты по действиям, производимым с базой данных. Вы можете использовать предварительно настроенные отчеты и панель мониторинга для быстрого начала работы с отчетностью по действиям и событиям.
- Анализировать отчеты. Вы можете искать подозрительные события, необычную деятельность и тенденции.
Внимание
Аудит для База данных SQL Azure, пулов SQL Azure Synapse Analytics и Управляемый экземпляр SQL Azure оптимизирован для доступности и производительности базы данных или экземпляра. В периоды очень высокой активности или высокой сетевой нагрузки функция аудита может позволить транзакциям продолжаться без записи всех событий, помеченных для аудита.
Ограничения аудита
- Включение аудита в приостановленном пуле SQL Azure Synapse не поддерживается. Чтобы включить аудит, возобновите пул SQL Synapse.
- Включение аудита с помощью управляемого удостоверения, назначаемого пользователем (UAMI), не поддерживается в Azure Synapse.
- В настоящее время управляемые удостоверения не поддерживаются для Azure Synapse, если учетная запись хранения не находится за виртуальной сетью или брандмауэром.
- Аудит для пулов SQL Azure Synapse поддерживает только группы действий аудита по умолчанию.
- При настройке аудита для логического сервера в Azure или База данных SQL Azure с назначением журнала в качестве учетной записи хранения режим проверки подлинности должен соответствовать конфигурации этой учетной записи хранения. При использовании ключей доступа к хранилищу в качестве типа проверки подлинности целевая учетная запись хранения должна быть включена с доступом к ключам учетной записи хранения. Если учетная запись хранения настроена только для проверки подлинности с идентификатором Microsoft Entra (ранее Azure Active Directory), аудит можно настроить для использования управляемых удостоверений для проверки подлинности.
Замечания
- Хранилище класса Premium с blockBlobStorage поддерживается. Поддерживается стандартное хранилище. Однако для аудита для записи в учетную запись хранения за виртуальной сетью или брандмауэром необходимо иметь учетную запись хранения общего назначения версии 2. Если у вас есть учетная запись хранения общего назначения версии 1 или BLOB-объектов, обновите ее до учетной записи хранения общего назначения версии 2. Конкретные инструкции см. в этой статье. Дополнительные сведения см. в разделе Типы учетных записей хранения.
- Иерархическое пространство имен для всех типов стандартной учетной записи хранения и учетной записи хранения класса Premium с помощью BlockBlobStorage поддерживается.
- Журналы аудита записываются в добавление BLOB-объектов в Хранилище BLOB-объектов Azure в подписке Azure.
- Журналы аудита находятся в формате Xel и могут быть открыты с помощью SQL Server Management Studio (SSMS).
- Чтобы настроить неизменяемое хранилище журналов для событий аудита на уровне сервера или базы данных, следуйте инструкциям для службы хранилища Azure. При настройке неизменяемого Хранилища BLOB-объектов обязательно выберите параметр Разрешить дополнительные операции добавления.
- Журналы аудита можно записывать в учетную запись служба хранилища Azure за виртуальной сетью или брандмауэром.
- Дополнительные сведения о формате журнала, иерархии папки хранения и соглашениях об именовании см. в статье База данных SQL формате журнала аудита.
- Аудит реплик только для чтения для разгрузки рабочих нагрузок запросов только для чтения автоматически включен. Дополнительные сведения об иерархии папок хранения, соглашения об именовании и формате журнала см. в статье База данных SQL формате журнала аудита.
- При использовании проверки подлинности Microsoft Entra записи входа не отображаются в журнале аудита SQL. Чтобы просмотреть записи аудита входа с ошибкой, необходимо посетить Центр администрирования Microsoft Entra, который записывает сведения об этих событиях.
- Данные для входа направляются шлюзом в конкретный экземпляр, в котором находится база данных. При входе в систему Microsoft Entra учетные данные проверяются перед попыткой использования этого пользователя для входа в запрошенную базу данных. В случае сбоя доступ к запрашиваемой базе данных отсутствует, поэтому аудит не выполняется. При использовании имен входа SQL учетные данные проверяются на запрошенных данных, поэтому в этом случае они могут быть проверены. Успешные попытки входа, при которых удалось получить доступ к базе данных, проходят аудит в обоих случаях.
- После настройки параметров аудита можно включить новую функцию обнаружения угроз и настроить адреса электронной почты для получения предупреждений системы безопасности. Использование функции обнаружения угроз позволяет настроить упреждающие оповещения об аномальной активности в базах данных, которая может указывать на потенциальные угрозы безопасности. Дополнительные сведения см. в статье "Расширенная защита от угроз SQL".
- После копирования базы данных с включенным аудитом на другой логический сервер может появиться сообщение электронной почты, уведомляющее вас о сбое аудита. Это известная проблема, и аудит должен работать корректно на заново скопированных базах данных.