Конфигурация мониторинга Пакета управления для SQL Server

  • Статья

В этом разделе описываются конфигурации мониторинга в Пакете управления для SQL Server.

Правила генерации оповещений агента SQL Server: особенности конфигурации

Пакет управления для SQL Server предоставляет следующие правила генерации оповещений агента SQL Server:

  • MSSQL в Windows: обработчик предупреждений остановлен из-за неисправимых ошибок локального журнала событий
  • MSSQL в Windows: не удалось выполнить задание SQL
  • MSSQL в Windows: не удается выполнить шаг задания, так как не удалось загрузить подсистему
  • MSSQL в Windows: возможно, это вызвано данным агентом. Нет ответа за последние несколько минут
  • MSSQL в Windows: невозможно запустить агент SQL Server
  • MSSQL в Windows: агент SQL Server инициирует свое завершение
  • MSSQL в Windows: шаг задания, вызвавший исключение в этой подсистеме
  • MSSQL в Windows: агенту SQL Server не удалось подключиться к SQL Server
  • MSSQL в Windows: невозможно заново открыть локальный журнал событий

По умолчанию эти правила включены в режиме мониторинга агента , но отключены в смешанном режиме мониторинга , так как Operations Manager не разрешает сбор событий из журналов событий на удаленных компьютерах. Чтобы изменить это поведение, можно переопределить каждое правило, включив параметр AllowProxying.

Примечание

Включение параметра AllowProxying может привести к удаленному выполнению кода. Не включайте этот параметр, если вы не уверены, что ваш компьютер защищен.

Ни одно из этих правил не работает в режиме мониторинга без агента и недоступно для SQL в Linux.

Правила генерации оповещений Always On

Пакет управления для SQL Server содержит два правила событий для оповещения в случаях, когда в журнале приложений Windows появляются следующие события:

  • Идентификатор события 1480: роль реплики базы данных изменена

  • Идентификатор события 19406: изменилась роль реплики доступности

По умолчанию SQL Server не регистрирует эти события в журнале приложений. Чтобы включить их, выполните следующие скрипты T-SQL:

sp_altermessage 1480, 'with_log', 'true'

sp_altermessage 19406, 'with_log', 'true'

Мониторинг доступности резервной копии базы данных

Пакет управления для SQL Server предоставляет мониторы, которые проверка существование и возраст базы данных и резервных копий журналов, как сообщает Microsoft SQL Server. Проверка выполняется путем отправки запроса к базе данных master экземпляра SQL Server и получения сведений о возрасте резервной копии.

Эти мониторы находятся в свертках состояния доступности базы данных группы доступности в представлении группы доступности. Список мониторов выглядит следующим образом:

  • Монитор состояния резервного копирования базы данных доступности
  • Монитор состояния резервного копирования журнала доступности базы данных

Монитор состояния резервного копирования базы данных доступности

Этот монитор нацелен на работоспособность базы данных доступности и проверяет состояние резервного копирования базы данных в соответствии с пороговым значением в днях.

По умолчанию монитор не отслеживает параметры резервного копирования группы доступности. Если это избыточное хранилище включено, монитор будет отслеживать расположение резервного копирования, настроенного в параметрах резервного копирования группы доступности, и проверять, соответствует ли резервное копирование на выбранном реплика параметру частоты резервного копирования.

Параметры резервного копирования выбранной группы доступности могут быть следующими:

  • Предпочтение вторичной

    Указывает, что резервное копирование должно выполняться на вторичной реплике, за исключением тех случаев, когда в режиме «в сети» находится только первичная реплика. В этом случае резервное копирование будет выполняться на первичной реплике. Это параметр по умолчанию.

  • Только вторичная

    Указывает, что резервное копирование никогда не выполняется на первичной реплике. Если основной реплика является единственным реплика в сети, резервное копирование не должно выполняться.

  • Источник

    Указывает, что резервное копирования должно всегда выполняться на первичной реплике. Этот параметр полезен, если вам нужны функции резервного копирования, такие как создание разностных резервных копий, которые не поддерживаются при выполнении резервного копирования на вторичном реплика.

  • Любая реплика

    Указывает, что вы предпочитаете, чтобы задания резервного копирования пропускали реплики доступности при выборе реплики для создания резервных копий.

    Примечание

    Задания резервного копирования могут оценивать другие факторы, такие как приоритет резервного копирования для каждого реплика доступности в сочетании с рабочим состоянием и состоянием подключения.

Ниже приведены примеры включения и выключения параметра параметров отслеживания в случае параметров резервного копирования— это основной реплика для группы доступности, а файл резервной копии существует только на вторичном реплика.

Параметр параметров отслеживания резервного копирования включен . Для обеих реплик базы данных монитор состояния резервного копирования базы данных доступности находится в критическом состоянии:

Снимок экрана: свертка состояния резервного копирования базы данных доступности, когда параметр отслеживания резервного копирования включен для основного реплика.

Параметр параметров отслеживания резервного копирования отключен — только для базы данных-источника реплика монитор состояния резервного копирования базы данных доступности находится в критическом состоянии:

Снимок экрана: свертка состояния резервного копирования базы данных доступности, когда параметр отслеживания резервного копирования отключен для основного реплика.

Монитор состояния резервного копирования журнала доступности базы данных

Этот монитор нацелен на работоспособность базы данных доступности и проверяет состояние резервного копирования журнала базы данных в соответствии с пороговым значением в минутах.

Оповещения мониторов с накопительным пакетом базы данных доступности

Мониторы состояния резервного копирования базы данных доступности и состояния резервного копирования журнала доступности настраиваются с помощью политики свертки "Лучшее состояние любого участника" и по умолчанию имеют критические оповещения для соответствующего накопительного пакета для отображения полного состояния базы данных в группе доступности.

База данных доступности — это сущность одной базы данных, которая может размещаться во многих репликах. Исходя из этого, оповещение имеет только "Состояние резервного копирования базы данных доступности (свертка)", чтобы проверка состояние всей базы данных доступности при отображении состояния базы данных на каждом реплика:

Снимок экрана: оповещение о свертки резервного копирования базы данных доступности.

Свертка становится критической и создает оповещение, только если все реплики базы данных имеют критическое состояние резервного копирования базы данных или резервного копирования журналов. Если только одна реплика имеет критическое состояние резервного копирования базы данных или резервного копирования журналов, накопительный пакет остается работоспособным в соответствии с политикой свертки.

Мониторинг политик

Пакет управления для SQL Server собирает метрики работоспособности баз данных и объектов Always On, расположенных в целевом экземпляре SQL Server, считывая состояние политик управления на основе политик для каждого объекта.

Помимо системных политик пакет управления позволяет отслеживать пользовательские политики для следующих объектов:

  • База данных
  • Группа доступности
  • Реплика доступности
  • Реплика базы данных

Для каждого из этих объектов пакет управления содержит следующие мониторы:

  • Монитор с двумя состояниями и состоянием Предупреждение. Этот монитор сообщает состояние пользовательской политики, для которой в качестве категории политики задана одна из предварительно определенных категорий предупреждений.
  • Монитор с двумя состояниями и состоянием Ошибка. Этот монитор сообщает состояние пользовательской политики, для которой в качестве категории политики задана одна из предварительно определенных категорий ошибок.

Мониторинг пространства

Пакет управления для SQL Server может выполнять мониторинг пространства путем сбора набора метрик на следующих уровнях.

  • База данных
  • Файловая группа
  • Файл
  • Файл журнала

Можно использовать базовые мониторы, а также метрики производительности для просмотра этих сведений для нескольких баз данных и для длительных интервалов времени.

Эта функция поддерживает следующие типы носителей.

  • Локальное хранилище и точки подключения
  • Общие тома кластера
  • Общие папки SMB
  • BLOB-объекты Azure

После импорта пакета управления для SQL Server вы можете обнаружить, что одни рабочие процессы мониторинга пространства включены по умолчанию, а другие отключены. В целях снижения нагрузки на среду наблюдение за пространством включается только для уровня баз данных и отключено для уровней файловых групп, файлов журнала, контейнеров в памяти OLTP и файловых групп FILESTREAM. Если ваша среда чувствительна к дополнительной нагрузке, включать редко используемые рабочие процессы не рекомендуется.

Примечание

При мониторинге файловых групп предупреждение создается только в том случае, если все файлы в файловой группе находятся в неработоспособном состоянии. Если в файловой группе есть хотя бы один файл, который находится в работоспособном состоянии, оповещения не регистрируются.

Ниже приведен список, объясняющий состояние по умолчанию для каждого рабочего процесса мониторинга пространства.

  • Включенные обнаружения для Windows и Linux
    • Компоненты Database Engine
    • Базы данных для ядра СУБД
  • Отключенные обнаружения для Windows и Linux
    • Группы файлов баз данных
    • Файлы баз данных
    • Файлы журнала транзакций
    • Файловые группы FILESTREAM
    • Файловые группы оптимизированных для памяти данных
    • Контейнеры файловых групп данных, оптимизированных для памяти
  • Включенные мониторы для Windows
    • Нацеленные на базу данных
      • Осталось свободного места в данных ROWS
      • Оставшееся свободное место в LOG
  • Отключенные мониторы для Windows
    • Нацеленные на базу данных
      • Процент изменения объема данных в ROWS
      • Оставшееся свободное место для данных OLTP в памяти
      • Осталось свободного места в данных FILESTREAM
    • Нацеленные на файловую группу
      • Оставшееся свободное место для файлов в базе данных
    • Нацеленные на файл журнала
      • Оставшееся свободное место в файле журнала базы данных
    • Нацеленные на контейнер данных OLTP в памяти
      • Свободное место в контейнере файловой группы данных, оптимизированных для памяти
    • Нацеленные на файловую группу FILESTREAM
      • Свободное место в файловых группах FILESTREAM базы данных
  • Включенные мониторы для Linux
    • Нацеленные на файловую группу
      • Оставшееся свободное место для файлов в базе данных
    • Нацеленные на файл журнала
      • Оставшееся свободное место в файле журнала базы данных
    • Нацеленные на контейнер данных OLTP в памяти
      • Свободное место в контейнере файловой группы данных, оптимизированных для памяти

Следующие мониторы поддерживают переопределение режима вычисления работоспособности:

  • Осталось свободного места в данных FILESTREAM
  • Оставшееся свободное место для данных OLTP в памяти
  • Оставшееся свободное место в файле журнала базы данных
  • Осталось свободного места в данных ROWS

Это переопределение позволяет определить, каким образом следует отслеживать свободное пространство в среде. Теперь вы настроить любые перечисленные выше мониторы для отслеживания состояния работоспособности на основе параметра "Порог", выраженного в процентах (%) или метрике емкости (МБ). Чтобы сделать мониторинг еще более эффективным, вы можете использовать пороговые значения как процентного показателя (%), так и метрики емкости (МБ) одновременно, и в этом случае метрика с наихудшим состоянием будет использоваться для информирования об общем состоянии работоспособности.

Отключенные рабочие процессы отслеживания пространства для SQL на Linux

Следующие рабочие процессы отключены по умолчанию, так как SQL Server на Linux не предоставляет необходимые данные:

  • Правила
    • MSSQL в Linux: общий объем свободного места в файловой группе оптимизированных для памяти данных в базе данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в файловой группе оптимизированных для памяти данных в базе данных (%)
    • MSSQL в Linux: общий объем свободного места в файловой группе FILESTREAM базы данных (%)
    • MSSQL в Linux: общий объем свободного места в файловой группе FILESTREAM базы данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в файловой группе базы данных (%)
    • MSSQL в Linux: общий объем свободного места в файловой группе базы данных (в МБ)
    • MSSQL в Linux: выделенное свободное место в файловой группе базы данных (%)
    • MSSQL в Linux: распределенное свободное место в файловой группе базы данных (в МБ)
    • MSSQL в Linux: доступное внешнее пространство в базе данных (в МБ)
    • MSSQL в Linux: распределенное свободное место базы данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в журнале транзакций базы данных (%)
    • MSSQL в Linux: объем используемого распределенного места в базе данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в базе данных (%)
    • MSSQL в Linux: общий объем свободного места в базе данных (в МБ)
    • MSSQL в Linux: объем распределенного места в базе данных (в МБ)
  • Мониторы
    • Оставшееся свободное место в базе данных
    • Процентное изменение суммарного места в базе данных
    • Свободное место в журнале транзакций (%)
    • Свободное место в файловых группах FILESTREAM базы данных

Мониторинг состояния базы данных

Мониторинг состояния базы данных предназначен для проверки состояния базы данных согласно отчетам Microsoft SQL Server. Проверка состояния выполняется путем выполнения запроса к базе данных master экземпляра SQL Server, который возвращает состояние базы данных. При получении предупреждения от этого монитора необходимо предпринять действия по возврату базы данных в рабочее состояние.

Все состояния базы данных, кроме состояния ONLINE, указывают на неработоспособное состояние монитора. Состояния базы данных определяются в следующей таблице.

Состояние Определение
ONLINE База данных доступна. Первичная файловая группа находится в режиме в сети, хотя возможно не завершена стадия отката восстановления.
OFFLINE База данных недоступна. База данных переходит в режим вне сети с помощью явного указания пользователя и остается в режиме вне сети до тех пор, пока пользователем не будет предпринято дополнительное действие. Например, база данных может быть переведена в режим вне сети, чтобы переместить файл на другой диск. После завершения перемещения файла база данных снова переводится в режим в сети.
RESTORING Восстанавливаются один или несколько файлов, принадлежащих к первичной файловой группе, или один или более файлов, принадлежащих ко вторичным группам, причем база данных остается в режиме в сети. База данных недоступна.
RECOVERING База данных в процессе восстановления. Процесс восстановления является переходным состоянием; после успешного завершения восстановления база данных автоматически переходит в режим вне сети. При неудачном завершении восстановления база данных будет помечена как подозрительная. База данных недоступна.
RECOVERY PENDING Во время восстановления SQL Server обнаружена ошибка, связанная с ресурсами. База данных не повреждена, но, возможно, потеряны файлы или ограничения системных ресурсов препятствуют началу процесса восстановления. База данных недоступна. Со стороны пользователя требуется дополнительное действие, чтобы исправить ошибку и разрешить завершение процесса восстановления.
SUSPECT По меньшей мере, первичная файловая группа помечена как подозрительная и, возможно, повреждена. Не удается восстановить базу данных во время запуска SQL Server. База данных недоступна. Со стороны пользователя требуется дополнительное действие, чтобы устранить проблему.
EMERGENCY Пользователь изменил базу данных и установил состояние базы данных в значение EMERGENCY. База данных находится в однопользовательском режиме и, возможно, в процессе исправления или восстановления. База данных помечена как READ_ONLY, ведение журнала отключено и доступ возможен только элементам предопределенной роли сервера sysadmin . EMERGENCY используется в основном для диагностики. Например, база данных, помеченная как подозрительная, может быть переведена в состояние EMERGENCY. Это предоставляет системному администратору доступ к базе данных только для чтения. Только члены предопределенной роли сервера sysadmin могут перевести базу данных в состояние EMERGENCY.

Дополнительные сведения см. в разделе Состояния базы данных.

Монитор также поддерживает возможность переопределения с отключением, если группа доступности находится в автономном режиме, для сред на базе Windows. Если для этого переопределения задано значение true, а группа доступности, в которой размещена база данных, недоступна, монитор прекратит отслеживание состояния такой базы данных. Это переопределение полезно использовать при работе с SQL Server 2012, так как оно помогает избежать массового появления предупреждений. Для более поздних версий SQL Server это переопределение не требуется.

Много баз данных на одном диске

Мониторинг пространства в пакете управления может быть шумным в средах, где многие базы данных используют один и тот же носитель и имеют включенный параметр автоматического увеличения . В таких случаях для каждой базы данных создается предупреждение, когда объем свободного места на жестком диске достигает порогового значения.

Чтобы снизить число срабатываний, отключите отслеживание пространства для файлов данных и журналов транзакций, а для отслеживания пространства на жестком диске используйте пакет управления Operating System.

Мониторинг задержки хранилища базы данных

Пакет управления для SQL Server собирает метрики производительности Задержка чтения с диска базы данных (мс) и Задержка записи на диск базы данных (мс) для каждой базы данных. Кроме того, пакет управления определяет два связанных монитора, которые регистрируют предупреждения в случае значительного снижения производительности. Эти мониторы и правила производительности по умолчанию отключены. Включайте их только для отдельных баз данных, когда это необходимо.

Заблокированные сеансы

Монитор блокировки сеансов предназначен для выполнения запросов к каждой базе данных с целью проверки наличия сеансов, заблокированных в течение длительного периода времени. Если обнаруживается блокировка, длительность которой превышает заданное пороговое значение, то состояние монитора меняется и вызывается предупреждение.

Можно переопределить параметр WaitMinutes, который определяет, должен ли заблокированный сеанс считаться долго выполняющимся. Значение по умолчанию для этого параметра равно одной минуте.

Монитор состояния конфигурации защищаемых объектов

Этот монитор проверяет, доступен ли каждый из требуемых защищаемых объектов SQL Server в настроенной учетной записи запуска от имени.

Ниже приведен полный список защищаемых объектов, которые проверяются монитором, предназначенным для ядра СУБД SQL Server.

  • Разрешения уровня серверов

    • VIEW SERVER STATE
    • VIEW ANY DEFINITION
    • VIEW ANY DATABASE

  • Разрешение SELECT для динамических административных представлений

    • master.sys.dm_hadr_availability_group_states
    • master.sys.dm_hadr_availability_replica_states
    • master.sys.dm_hadr_database_replica_cluster_states
    • master.sys.dm_os_performance_counters
    • master.sys.dm_tran_active_transactions
    • master.sys.dm_tran_session_transactions
    • master.sys.dm_exec_sessions
    • master.sys.dm_exec_requests
    • master.sys.dm_exec_connections
    • master.sys.dm_os_sys_info
    • master.sys.dm_os_ring_buffers
    • master.sys.dm_os_volume_stats
    • master.sys.dm_os_threads
    • master.sys.dm_server_services
    • master.sys.dm_db_xtp_checkpoint_files
    • master.sys.dm_db_xtp_table_memory_stats
    • master.sys.dm_db_xtp_hash_index_stats
    • master.sys.dm_resource_governor_resource_pools

  • Разрешение SELECT для представлений каталога

    • master.sys.dm_os_host_info
    • master.sys.availability_groups
    • master.sys.databases
    • master.sys.database_files
    • master.sys.tables
    • master.sys.filegroups
    • master.sys.syscolumns
    • master.sys.sysprocesses
    • master.sys.availability_replicas
    • master.sys.database_mirroring
    • master.sys.configurations
    • msdb.dbo.syspolicy_policies
    • msdb.dbo.syspolicy_conditions
    • msdb.dbo.syspolicy_policy_execution_history
    • msdb.dbo.syspolicy_configuration
    • msdb.dbo.syspolicy_system_health_state
    • msdb.dbo.syspolicy_object_sets
    • msdb.dbo.syspolicy_policy_categories
    • msdb.dbo.syspolicy_target_sets
    • msdb.dbo.syspolicy_target_set_levels
    • msdb.dbo.syspolicy_policy_execution_history_details
    • msdb.dbo.sysjobschedules
    • msdb.dbo.syscategories
    • msdb.dbo.sysjobs_view
    • msdb.dbo.sysjobactivity
    • msdb.dbo.sysjobhistory
    • msdb.dbo.syssessions
    • msdb.dbo.log_shipping_primary_databases
    • msdb.dbo.log_shipping_secondary_databases
    • msdb.dbo.backupset

  • Разрешение EXECUTE для хранимых процедур

    • master.sys.sp_enumerrorlogs
    • master.sys.xp_readerrorlog
    • master.sys.xp_instance_regread
    • msdb.dbo.sp_help_job
    • msdb.dbo.agent_datetime
    • msdb.dbo.SQLAGENT_SUSER_SNAME

Ниже приведен полный список защищаемых объектов, которые проверяются монитором, предназначенным для баз данных SQL Server.

  • Разрешение SELECT для представлений каталога
    • sys.database_files
    • sys.tables
    • sys.filegroups
    • sys.syscolumns

Примечание

Некоторые мониторы могут иметь свойства с двойным подчеркиванием в именах. Такие свойства используются для внутренних целей пакета управления; убедитесь, что они не используются.

Монитор состояния работоспособности WMI

Этот монитор проверяет, есть ли у настроенной учетной записи запуска от имени доступ к следующим пространствам имен, расположенным в целевом экземпляре SQL Server:

  • ROOT\CIMV2
  • ROOT\Microsoft\SqlServer
  • ROOT\Microsoft\SqlServer\ComputerManagement11
  • ROOT\Microsoft\SqlServer\ComputerManagement12
  • ROOT\Microsoft\SqlServer\ComputerManagement13
  • ROOT\Microsoft\SqlServer\ComputerManagement14
  • ROOT\Microsoft\SqlServer\ComputerManagement15
  • ROOT\Microsoft\SqlServer\ComputerManagement16

Монитор создает оповещение в случаях, когда нет доступа к любому из указанных выше пространств имен.

Мониторинг заданий агент SQL Server

Пакет управления для SQL Server может выполнять задания агента по мониторингу доступности и производительности для SQL Server со следующими рабочими процессами:

  • Монитор состояния последних запусков

    Этот монитор проверяет все задания в агенте SQL, и если какое-либо из заданий не завершилось успешно, монитор изменяет свое состояние на Предупреждение. Это не создает оповещение, так как существует переопределение для отключения оповещений для управления шумом. Если требуется этот уровень мониторинга, необходимо переопределить создание оповещений обратно в состояние "Включено".

    Монитор имеет значение Число переопределений порогового значения сбоя , которое указывает, сколько раз задание агента SQL может завершиться ошибкой, прежде чем состояние монитора изменится на Предупреждение. Переопределение Определяет состояние Отменено как Сбой может отслеживать состояние последнего выполнения задания Как Сбой.

  • Монитор долго выполняющихся заданий

    Этот монитор проверяет длительные задания агента SQL Server. Предупреждение или оповещение об ошибке отображается, если задание выполняется дольше настроенных пороговых значений — пороговое значение предупреждения (в минутах) и критическое пороговое значение (в минутах).

    По умолчанию этот монитор не отслеживает задания с типом расписания Запуск автоматически при запуске агент SQL Server, так как эти задания часто выполняются до остановки агента SQL (т. е. непрерывно). Как правило, Репликация SQL Server использует такие задания, но в некоторых случаях задания с типом расписания "Запуск автоматически при агент SQL Server начинается" могут выполняться в течение относительно короткого интервала. Чтобы отслеживать эти задания, переопределите параметр Включены непрерывно выполняемые задания списком имен заданий с разделителями-запятыми. Имя задания в списке должно соответствовать требованиям одного из следующих классов идентификаторов:

    • Регулярно

      • Может содержать любой символ, кроме знака запятой (,) и знака двойной кавычки (").
      • Не должен начинаться или заканчиваться символами пробелов.

    • С разделителями

      • Может содержать любые символы и должен быть разделен двойными кавычками.
      • Двойные кавычки следует экранировать, удвоив их.

    Любое имя, принадлежащее любому из указанных выше классов, должно содержать от 1 до 128 символов, за исключением символов-разделителей.

  • Монитор длительности задания

    Этот монитор проверяет все задания в агенте SQL и проверяет, занимает ли какое-либо из заданий больше указанного порогового значения. Предупреждение или оповещение об ошибке отображается, если длительность задания превышает заданные пороговые значения — пороговое значение предупреждения (в минутах) и критическое пороговое значение (в минутах). Это не создает оповещение, так как существует переопределение для отключения оповещений для управления шумом. Если требуется этот уровень мониторинга, необходимо переопределить значение "Создание оповещений " на значение "Включено" или использовать правило генерации оповещений о длительности задания.

  • Правило генерации оповещений о длительности задания

    Это правило проверяет, превысило ли время выполнения любого из заданий агента SQL заданное пороговое значение в минутах, и выдает оповещение, если время выполнения превысило пороговое значение.

  • Правило производительности длительности задания

    Это правило собирает длительность любого задания агента SQL в минутах.

мониторинг сертификатов шифрования подключений SQL Server

Пакет управления для SQL Server предоставляет монитор, способный выполнять SQL Server состояние сертификата шифрования подключения.

SQL Server может использовать ПРОТОКОЛ TLS для шифрования данных, передаваемых по сети между экземпляром SQL Server и клиентским приложением. Tls использует сертификат для реализации шифрования. Шифрование TLS повышает защищенность обмена данными по сети между экземплярами SQL Server и приложениями. Дополнительные сведения см. в статьях Обзор сертификатов и Процедуры сертификации .

Этот монитор предназначен для ядро СУБД SQL Server в Windows и Linux и проверяет период проверки сертификата в днях и требования к сертификату.

Важно!

SQL Server не запускается, если сертификат существует в хранилище компьютеров, но только соответствует некоторым требованиям из приведенного выше списка и если он настроен для использования вручную диспетчер конфигурации SQL Server или с помощью записей реестра (только для SQL Server в Windows). Выберите другой сертификат, соответствующий всем требованиям, или удалите сертификат, используемый SQL Server, пока вы не сможете подготовить сертификат, соответствующий требованиям. Дополнительные сведения см. в статье Настройка SQL Server для шифрования.

В следующей таблице определяются переопределения параметров монитора и точно настроены требования к проверке сертификатов для SQL Server:

Переопределение имени Описание
Дополнительные имена узлов для проверка По умолчанию монитор проверяет, содержит ли сертификат имя субъекта целевого ядра СУБД. Это переопределение позволяет проверять разделенный запятыми список дополнительных имен узлов, таких как DNS-имя прослушивателя Always On, DNS-псевдоним хост-компьютера, виртуальное имя FCI и т. д.
Необходимо настроить сертификат (только для SQL Server в Windows) Если задано значение true, монитор изменяет состояние на критическое, если ядро СУБД не имеет явно настроенного сертификата.
Игнорировать проверка "Недоверенный корень" Если задано значение true, монитор игнорирует, что сертификат не помещается в доверенные корневые центры сертификации. При размещении эти сертификаты являются доверенными для операционной системы и могут использоваться приложениями в качестве ссылки на иерархии инфраструктуры открытых ключей (PKI) и цифровых сертификатов.
Установите флаг IgnoreCertificateAuthorityRevocationUnknown При проверке сертификата не учитывать, что отзыв центра сертификации неизвестен.
Установите флаг IgnoreCtlNotTimeValid При проверке сертификата не учитывать, что список доверия сертификатов (CTL) недействителен, например, из-за истечения срока действия списка доверия сертификатов.
Установите флаг IgnoreCtlSignerRevocationUnknown При проверке сертификата не учитывать, что отзыв подписавшего список доверия сертификатов (CTL) неизвестен.
Установка флага IgnoreEndRevocationUnknown При проверке сертификата не учитывать, что отзыв конечного сертификата (сертификата пользователя) неизвестен.
Установите флаг IgnoreInvalidBasicConstraints При проверке сертификата не учитывать, что основные ограничения недопустимы.
Установите флаг IgnoreInvalidPolicy При проверке сертификата не учитывать, что сертификат имеет недопустимую политику.
Установите флаг IgnoreNotTimeNested При проверке сертификата не учитывать, что сертификат центра сертификации (ЦС) и выданный сертификат имеют сроки действия, которые не являются вложенными. Например, сертификат ЦС может действовать с 1 января по 1 декабря, а выданный сертификат — со 2 января по 2 декабря, что означает, что сроки действия не являются вложенными.
Установка флага IgnoreNotTimeValid При проверке сертификата не учитывать сертификаты в цепочке, которые недействительны, так как срок их действия истек или не наступил.
Установите флаг IgnoreRootRevocationUnknown При проверке сертификата не учитывать, что корневой отзыв неизвестен.
Установите флаг IgnoreWrongUsage При проверке сертификата не учитывать, что сертификат был выдан не текущему пользователю.
Пропуск проверка "Имя узла" Если задано значение true, монитор пропустит проверку того, содержит ли сертификат определенные имена узлов.
Пропустите проверка "Проверка подлинности сервера использования ключей" Если задано значение true, монитор пропустит требование сертификата проверки подлинности сервера о наличии расширения использования ключа "Проверка подлинности сервера". Некоторые реализации драйвера подключения могут не проверка существования этого расширения, и они могут считать сертификат действительным даже без расширения.
Пропуск проверка "Отзыв" Если задано значение true, монитор проигнорирует все проблемы, связанные с отзывом.

Мониторинг состояния резервной копии сертификата прозрачного шифрования данных (TDE)

Пакет управления для SQL Server предоставляет монитор, способный проверка, что сертификат, используемый для шифрования ключа шифрования базы данных, не был резервной копии.

Прозрачное шифрование данных (TDE) шифрует хранилище всей базы данных с помощью симметричного ключа, называемого ключом шифрования базы данных. Ключ шифрования базы данных можно также защитить с помощью сертификата, защищенного главным ключом базы данных master. Функция прозрачного шифрования данных выполняет шифрование и дешифрование ввода-вывода в реальном времени для файлов данных и журналов. Шифрование использует ключ шифрования базы данных (DEK). Загрузочная запись базы данных хранит ключ для доступности во время восстановления. КЛЮЧ dek — это симметричный ключ, защищенный сертификатом, который хранится в базе данных master сервера, или асимметричным ключом, защищаемым модулем расширенного управления ключами. Функция прозрачного шифрования данных защищает неактивные данные, то есть файлы данных и журналов. Благодаря ей обеспечивается соответствие требованиям различных законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения. Дополнительные сведения см. в статьях SQL Server рекомендации по обеспечению безопасности и Прозрачное шифрование данных (TDE).

Примечание

Прозрачное шифрование данных недоступно для системных баз данных. Его нельзя использовать для шифрования master, модели или msdb. База данных tempdb автоматически шифруется, когда пользовательская база данных включает TDE, но не может быть зашифрована напрямую.

Мониторинг длительных запросов

Пакет управления для SQL Server предоставляет правило, которое может создавать оповещение, если время выполнения любого из выполняющихся SQL-запросов превысило указанное пороговое значение (в секундах).

Правило поддерживает фильтрацию по настройке оповещений со следующими переопределениями:

  • Список исключений приложений — для исключения запроса с именем приложения
  • Список исключений базы данных — для исключения запроса с именем базы данных.
  • Список исключений запроса — для исключения запроса с пользовательским текстом запроса

Эти переопределения поддерживают подстановочные знаки и могут использоваться для исключения длительных запросов с именем приложения, именем базы данных или самим текстом запроса со значениями, разделенными запятыми. Например, используйте такие условия, как *test исключение запросов, заканчивающихся на _test, или Test* , чтобы исключить запросы, начинающиеся с Testусловия , или *test* , чтобы исключить запросы, которые имеют test запись в любой части текста запроса.

Если элемент должен содержать звездочку (*), которая не является подстановочным знаком, двойной кавычками (") или обратной косой чертой (\), элемент должен быть экранирован с обратной косой чертой \. Например, используйте условия, такие как Query\*3 , чтобы исключить запросы, имеющиеся Query*3 в тексте запроса, используйте условия, например \\path\\to\\ , для исключения запросов, которые есть \path\to\ в тексте запроса, или "GO, WITH" условие для исключения запросов, имеющих "GO, WITH" запись с запятой в тексте запроса. Переопределения со списками исключений можно использовать одновременно.

В следующей таблице определены шаблоны с подстановочными знаками, которые можно использовать в выражениях:

Знак Описание Пример
? Соответствует любому отдельному символу. Вопросительный знак (?) можно использовать в любой строке символов. Куэр? находит Query, Quer1, Quer_, Quer?, Quer*, но не Query1 или Querys.
* Соответствует любому количеству символов. Звездочка (*) можно использовать в любом месте символьной строки. DB* находит базы данных, DB1, DB2, DB_prod, но не 1DB или Database. *База данных находит 1DB, _DB, test-DB, но не 1DB_prod или D_Base. *DB* находит cloudDB_1, DBtest, 3DB, но не prod_D_B или database.
" Соответствует любому количеству символов в двойных кавычках. Двойные кавычки (" ") можно использовать в любом месте символьной строки. Если символьная строка содержит запятую, строка должна быть заключена в кавычки. "Экземпляр, база данных" находит экземпляр, строку базы данных с запятой внутри, но не строку экземпляра отдельно и строку базы данных отдельно. "Запрос с начальными и конечными пробелами" находит запись со всеми пробелами, включенными в двойные кавычки.

В следующей таблице определены escape-шаблоны, которые можно использовать в выражениях:

Знак Описание Пример
\* Не подстановочный знак. Экранирует звездочку (*) в любом месте символьной строки. dbname\* находит dbname*, но не dbname1, dbname_prod, dbnames.
\" Не подстановочный знак. Экранирует двойные кавычки (") в любом месте символьной строки. query \"example\" находит запрос "example", но не query\, query example или "example".
\\ Не подстановочный знак. Экранирует обратную косую черту (\) в любом месте символьной строки. C:\\Path\\to\\ находит C:\Path\to\, но не C:\, Path\\to.

Примечание

Это правило не предоставляет тексты выполнения запросов по соображениям безопасности.