SQL Database-granskningsloggformat
Gäller för:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Azure SQL Database-granskning spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, eller skickar dem till Event Hub eller Log Analytics för nedströmsbearbetning och analys.
Namngivningskonventioner
Blobgranskning
Granskningsloggar som lagras i Azure Blob Storage lagras i en container med namnet sqldbauditlogs i Azure Storage-kontot. Kataloghierarkin i containern är av formatet <ServerName>/<DatabaseName>/<AuditName>/<Date>/. Blobfilnamnsformatet är <CreationTime>_<FileNumberInSession>.xel, där CreationTime är i UTC-format hh_mm_ss_ms och FileNumberInSession är ett index som körs om sessionsloggarna sträcker sig över flera Blob-filer.
För databasen Database1 på Server1 följande är till exempel en möjlig giltig sökväg:
Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel
Skrivskyddade replikers granskningsloggar lagras i samma container. Kataloghierarkin i containern är av formatet <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. Blobfilnamnet delar samma format. Granskningsloggarna för skrivskyddade repliker lagras i samma container.
Händelsehubben
Granskningshändelser skrivs till den namnrymd och den händelsehubb som definierades under granskningskonfigurationen och registreras i texten för Apache Avro-händelser och lagras i JSON-format med UTF-8-kodning. Om du vill läsa granskningsloggarna kan du använda Avro-verktyg eller liknande verktyg som kan hantera det här formatet.
Log Analytics
Granskningshändelser skrivs till Log Analytics-arbetsytan som definieras under granskningskonfigurationen AzureDiagnostics , till tabellen med kategorin SQLSecurityAuditEventsoch tabellen med kategorin DevOpsOperationsAudit för Microsoft Support Operations. Mer användbar information om sökspråk och kommandon i Log Analytics finns i Log Analytics-sökreferens.
Granskningsloggfält
| Namn (blob) | Namn (Event Hubs/Log Analytics) | Description | Blobtyp | Event Hubs/Log Analytics-typ |
|---|---|---|---|---|
| action_id | action_id_s | ID för åtgärden | varchar(4) | sträng |
| action_name | action_name_s | Namnet på åtgärden | Inte tillgängligt | sträng |
| additional_information | additional_information_s | Eventuell ytterligare information om händelsen, lagrad som XML | nvarchar(4000) | sträng |
| affected_rows | affected_rows_d | Antal rader som påverkas av frågan | bigint | heltal |
| application_name | application_name_s | Namn på klientprogram | nvarchar(128) | sträng |
| audit_schema_version | audit_schema_version_d | Alltid 1 | heltal | heltal |
| class_type | class_type_s | Typ av granskningsbar entitet som granskningen sker på | varchar(2) | sträng |
| class_type_desc | class_type_description_s | Beskrivning av en granskningsbar entitet som granskningen sker på | Inte tillgängligt | sträng |
| client_ip | client_ip_s | Käll-IP för klientprogrammet | nvarchar(128) | sträng |
| connection_id | Inte tillgängligt | ID för anslutningen på servern | GUID | Inte tillgängligt |
| data_sensitivity_information | data_sensitivity_information_s | Informationstyper och känslighetsetiketter som returneras av den granskade frågan, baserat på de klassificerade kolumnerna i databasen. Läs mer om identifiering och klassificering av Azure SQL Database-data | nvarchar(4000) | sträng |
| database_name | database_name_s | Databaskontexten där åtgärden inträffade | sysname | sträng |
| database_principal_id | database_principal_id_d | ID för databasanvändarkontexten som åtgärden utförs i | heltal | heltal |
| database_principal_name | database_principal_name_s | Namnet på databasanvändarkontexten där åtgärden utförs | sysname | sträng |
| duration_milliseconds | duration_milliseconds_d | Varaktighet för frågekörning i millisekunder | bigint | heltal |
| event_time | event_time_t | Datum och tid när den granskningsbara åtgärden utlöses | datetime2 | datetime |
| host_name | Inte tillgängligt | Klientvärdnamn | sträng | Inte tillgängligt |
| is_column_permission | is_column_permission_s | Flagga som anger om detta är en behörighet på kolumnnivå. 1 = sant, 0 = falskt | bit | sträng |
| Inte tillgängligt | is_server_level_audit_s | Flagga som anger om den här granskningen är på servernivå | Inte tillgängligt | sträng |
| object_ ID | object_id_d | ID:t för den entitet som granskningen inträffade på. Detta omfattar : serverobjekt, databaser, databasobjekt och schemaobjekt. 0 om entiteten är själva servern eller om granskningen inte utförs på objektnivå | heltal | heltal |
| object_name | object_name_s | Namnet på den entitet som granskningen inträffade på. Detta omfattar : serverobjekt, databaser, databasobjekt och schemaobjekt. 0 om entiteten är själva servern eller om granskningen inte utförs på objektnivå | sysname | sträng |
| obo_middle_tier_app_id | obo_middle_tier_app_id_s | Program-ID för mellannivåprogrammet som är anslutet till SQL Database med hjälp av OBO-åtkomst. | varchar(120) | sträng |
| permission_bitmask | permission_bitmask_s | I tillämpliga fall visar de behörigheter som beviljats, nekats eller återkallats | varbinary(16) | sträng |
| response_rows | response_rows_d | Antal rader som returneras i resultatuppsättningen | bigint | heltal |
| schema_name | schema_name_s | Schemakontexten där åtgärden inträffade. NULL för granskningar som inträffar utanför ett schema | sysname | sträng |
| Inte tillgängligt | securable_class_type_s | Skyddsbart objekt som mappar till class_type som granskas | Inte tillgängligt | sträng |
| sequence_group_id | sequence_group_id_g | Unik identifierare | varbinary | GUID |
| sequence_number | sequence_number_d | Spårar sekvensen med poster i en enskild granskningspost som var för stor för att få plats i skrivbufferten för granskningar. Observera att Azure SQL Database och Azure Synapse Audit lagrar 4 000 datatecken för teckenfält i en granskningspost. Om det finns fler än 4 000 tecken trunkeras alla data utöver de första 4 000 tecknen | heltal | heltal |
| server_instance_name | server_instance_name_s | Namnet på den serverinstans där granskningen inträffade | sysname | sträng |
| server_principal_id | server_principal_id_d | ID för inloggningskontexten där åtgärden utförs | heltal | heltal |
| server_principal_name | server_principal_name_s | Aktuell inloggning | sysname | sträng |
| server_principal_sid | server_principal_sid_s | Aktuellt inloggnings-SID | varbinary | sträng |
| session_id | session_id_d | ID för sessionen där händelsen inträffade | smallint | heltal |
| session_server_principal_name | session_server_principal_name_s | Serverhuvudnamn för session | sysname | sträng |
| instruktion | statement_s | T-SQL-instruktion som kördes (om någon) | nvarchar(4000) | sträng |
| Lyckades | succeeded_s | Anger om åtgärden som utlöste händelsen lyckades. För andra händelser än inloggning och batch rapporterar detta endast om behörighetskontrollen lyckades eller misslyckades, inte åtgärden. 1 = lyckad, 0 = misslyckas | bit | sträng |
| target_database_principal_id | target_database_principal_id_d | Databasens huvudnamn åtgärden GRANT/DENY/REVOKE utförs på. 0 om det inte är tillämpligt | heltal | heltal |
| target_database_principal_name | target_database_principal_name_s | Målanvändare för åtgärd. NULL om det inte är tillämpligt | sträng | sträng |
| target_server_principal_id | target_server_principal_id_d | Serverhuvudnamn som åtgärden GRANT/DENY/REVOKE utförs på. Returnerar 0 om det inte är tillämpligt | heltal | heltal |
| target_server_principal_name | target_server_principal_name_s | Målinloggning av åtgärd. NULL om det inte är tillämpligt | sysname | sträng |
| target_server_principal_sid | target_server_principal_sid_s | SID för målinloggning. NULL om det inte är tillämpligt | varbinary | sträng |
| transaction_id | transaction_id_d | ENDAST SQL Server (från och med 2016) – 0 för Azure SQL Database | bigint | heltal |
| user_defined_event_id | user_defined_event_id_d | Användardefinierat händelse-ID skickades som ett argument till sp_audit_write. NULL för systemhändelser (standard) och icke-noll för användardefinierad händelse. Mer information finns i sp_audit_write (Transact-SQL) | smallint | heltal |
| user_defined_information | user_defined_information_s | Användardefinierad information skickades som ett argument till sp_audit_write. NULL för systemhändelser (standard) och icke-noll för användardefinierad händelse. Mer information finns i sp_audit_write (Transact-SQL) | nvarchar(4000) | sträng |
Nästa steg
Läs mer om Azure SQL Database-granskning.