Dela via

Använda Granskning för att analysera granskningsloggar och rapporter

  • Artikel

Gäller för:Azure SQL DatabaseAzure Synapse Analytics

Den här artikeln innehåller en översikt över analys av granskningsloggar med hjälp av granskning för Azure SQL Database och Azure Synapse Analytics. Du kan använda Granskning för att analysera granskningsloggar som lagras i:

  • Log Analytics
  • -händelsehubbar
  • Azure Storage

Analysera loggar med Log Analytics

Om du väljer att skriva granskningsloggar till Log Analytics:

  1. Använd Azure-portalen.

  2. Gå till relevant databasresurs.

  3. Längst upp på sidan Granskning för databasen väljer du Visa granskningsloggar.

    Screenshot of the Auditing menu in the Azure portal where you can select the View audit logs option.

Du kan visa loggarna på två sätt:

  • Om du väljer Log Analytics överst på sidan Granskningsposter öppnas loggvyn på Log Analytics-arbetsytan, där du kan anpassa tidsintervallet och sökfrågan.

    Screenshot of selecting Log Analytics in the Audit records menu in the Azure portal.

  • Om du väljer Visa instrumentpanel överst på sidan Granskningsposter öppnas en instrumentpanel som visar information om granskningsloggar, där du kan öka detaljnivån i Security Insights eller Åtkomst till känsliga data. Den här instrumentpanelen är utformad för att hjälpa dig att få säkerhetsinsikter för dina data. Du kan också anpassa tidsintervallet och sökfrågan.

    Screenshot of selecting view dashboard in the Audit records menu in the Azure portal.

    Screenshot of the Auditing dashboard.

  • Du kan också komma åt granskningsloggarna från Log Analytics-menyn . Öppna Log Analytics-arbetsytan och under avsnittet Allmänt och välj Loggar. Du kan börja med en enkel fråga, till exempel: sök "SQLSecurityAuditEvents" för att visa granskningsloggarna. Härifrån kan du också använda Azure Monitor-loggar för att köra avancerade sökningar på dina granskningsloggdata. Azure Monitor-loggar ger dig driftinsikter i realtid med hjälp av integrerade sök- och anpassade instrumentpaneler för att enkelt analysera miljontals poster över alla dina arbetsbelastningar och servrar. Mer användbar information om sökspråk och kommandon för Azure Monitor-loggar finns i Sökreferens för Azure Monitor-loggar.

Analysera loggar med Event Hubs

Om du väljer att skriva granskningsloggar till Event Hubs:

  • Om du vill använda granskningsloggdata från Event Hubs måste du konfigurera en dataström för att använda händelser och skriva dem till ett mål. Mer information finns i Dokumentation om Azure Event Hubs.
  • Granskningsloggar i Event Hubs registreras i brödtexten för Apache Avro-händelser och lagras med JSON-formatering med UTF-8-kodning. Om du vill läsa granskningsloggarna kan du använda Avro-verktyg eller liknande verktyg som kan hantera det här formatet.

Analysera loggar med hjälp av loggar i ett Azure Storage-konto

Om du väljer att skriva granskningsloggar till ett Azure Storage-konto finns det flera metoder som du kan använda för att visa loggarna:

  • Granskningsloggar aggregeras i det konto som du valde under installationen. Du kan utforska granskningsloggar med hjälp av ett verktyg som Azure Storage Explorer. I Azure Storage sparas granskningsloggar som en samling blobfiler i en container med namnet sqldbauditlogs. Mer information om hierarkin för lagringsmappar, namngivningskonventioner och loggformat finns i SQL Database-granskningsloggformatet.

    1. Använd Azure-portalen.

    2. Öppna relevant databasresurs.

    3. Längst upp på sidan Granskning för databasen väljer du Visa granskningsloggar.

      Screenshot showing how to view audit logs.

      Sidan Granska poster öppnas och du kan visa loggarna.

    4. Du kan visa specifika datum genom att välja Filtrera överst på sidan Granskningsposter .

    5. Du kan växla mellan granskningsposter som skapades av servergranskningsprincipen och databasgranskningsprincipen genom att växla till Granskningskälla.

      Screenshot that shows the options for viewing the audit records.

  • Använd systemfunktionen sys.fn_get_audit_file (T-SQL) för att returnera granskningsloggdata i tabellformat. Mer information om hur du använder den här funktionen finns i sys.fn_get_audit_file.

  • Använd Sammanfoga granskningsfiler i SQL Server Management Studio (från och med SSMS 17):

    1. På SSMS-menyn väljer du Arkiv>Öppna>sammanfoga granskningsfiler.

      Screenshot that shows the Merge Audit Files menu option.

    2. Dialogrutan Lägg till granskningsfiler öppnas. Välj något av alternativen Lägg till för att välja om du vill sammanfoga granskningsfiler från en lokal disk eller importera dem från Azure Storage. Du måste ange din Azure Storage-information och din kontonyckel.

    3. När alla filer som ska sammanfogas har lagts till väljer du OK för att slutföra sammanslagningsåtgärden.

    4. Den sammanfogade filen öppnas i SSMS, där du kan visa och analysera den, samt exportera den till en XEL- eller CSV-fil eller till en tabell.

  • Använd Power BI. Du kan visa och analysera granskningsloggdata i Power BI. Mer information och åtkomst till en nedladdningsbar mall finns i Analysera granskningsloggdata i Power BI.

  • Ladda ned loggfiler från din Azure Storage-blobcontainer via portalen eller med hjälp av ett verktyg som Azure Storage Explorer.

    • När du har laddat ned en loggfil lokalt dubbelklickar du på filen för att öppna, visa och analysera loggarna i SSMS.
    • Du kan också ladda ned flera filer samtidigt i Azure Storage Explorer. Det gör du genom att högerklicka på en specifik undermapp och välja Spara som för att spara i en lokal mapp.

  • Fler metoder:

    • När du har laddat ned flera filer eller en undermapp som innehåller loggfiler kan du slå samman dem lokalt enligt beskrivningen i Anvisningarna för SSMS-sammanslagning av granskningsfiler som beskrevs tidigare.
    • Visa blobgranskningsloggar programmatiskt: Fråga Extended Events Files med hjälp av PowerShell.

Se även