Aktivera och övervaka databasgranskning
Granskning för Azure Structured Query Language (SQL) Database och Azure Synapse Analytics spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, Log Analytics-arbetsyta eller Event Hubs.
Granskning gör även följande:
- Det hjälper dig att upprätthålla regelefterlevnad, förstå databasaktiviteter och få insikter om i avvikelser och fel som kan tyda på affärsproblem eller potentiella säkerhetsöverträdelser.
- Det främjar och underlättar uppfyllandet av efterlevnadsstandarder, även om det inte garanterar efterlevnad.
Översikt
Du kan använda SQL-databasgranskning för att:
- Upprätthålla en spårningslogg för valda händelser. Du kan definiera kategorier med databasåtgärder som ska granskas.
- Rapportera om databasaktivitet. Du kan använda förkonfigurerade rapporter och en instrumentpanel för att snabbt komma igång med aktivitets- och händelserapportering.
- Analysera rapporter. Du kan hitta misstänkta händelser, ovanliga aktiviteter och trender.
Granskning för Azure SQL Database, Azure Synapse Analytics SQL-pooler och Azure SQL Managed Instance är optimerad för tillgänglighet och prestanda för den databas eller instans som granskas. Under perioder med mycket hög aktivitet eller hög nätverksbelastning kan granskningsfunktionen tillåta transaktioner att fortsätta utan att registrera alla händelser som markerats för granskning.
Nedan visas konfigurationen av granskning med hjälp av Azure-portalen.
Granskningsbegränsningar
- Det går inte att aktivera granskning på en pausad Azure Synapse SQL-pool. Om du vill aktivera granskning återupptar du Synapse SQL-poolen.
- Aktivering av granskning med hjälp av användartilldelad hanterad identitet (UAMI) stöds inte i Azure Synapse.
- Granskning för Azure Synapse SQL-pooler stöder endast standardgranskningsåtgärdsgrupper.
- När du konfigurerar granskning för en logisk server i Azure eller Azure SQL Database med loggmålet som ett lagringskonto måste autentiseringsläget matcha konfigurationen för lagringskontot. Om du använder lagringsåtkomstnycklar som autentiseringstyp måste mållagringskontot aktiveras med åtkomst till lagringskontonycklarna. Om lagringskontot är konfigurerat för att endast använda autentisering med Microsoft Entra-ID (tidigare Azure Active Directory) kan granskning konfigureras för att använda hanterade identiteter för autentisering.
Kommentarer
- Premiumlagring med BlockBlobStorage stöds. Standardlagring stöds. Men för att granskning ska kunna skriva till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg måste du ha ett allmänt v2-lagringskonto. Om du har ett v1- eller Blob Storage-konto för generell användning uppgraderar du till ett allmänt v2-lagringskonto. Specifika instruktioner finns i Skriva granskning till ett lagringskonto bakom VNet och brandväggen.
- Hierarkisk namnrymd för alla typer av standardlagringskonto och premiumlagringskonto med BlockBlobStorage stöds.
- Granskningsloggar skrivs till Tilläggsblobbar i en Azure Blob Storage i din Azure-prenumeration
- Granskningsloggar är i .xel-format och kan öppnas med SQL Server Management Studio (SSMS).
- Om du vill konfigurera ett oföränderligt loggarkiv för granskningshändelser på server- eller databasnivå följer du anvisningarna från Azure Storage. Kontrollera att du har valt Tillåt ytterligare tillägg när du konfigurerar den oföränderliga bloblagringen.
- Du kan skriva granskningsloggar till ett Azure Storage-konto bakom ett virtuellt nätverk eller en brandvägg.
- Mer information om loggformat, hierarki för lagringsmappen och namngivningskonventioner finns i referensen för blobgranskningsloggformat.
- Granskning är automatiskt aktiverat på skrivskyddade repliker.
- När du använder Microsoft Entra-autentisering visas inte misslyckade inloggningsposter i SQL-granskningsloggen. Om du vill visa misslyckade inloggningsgranskningsposter måste du besöka administrationscentret för Microsoft Entra, som loggar information om dessa händelser.
- Inloggningar dirigeras av gatewayen till den instans där databasen finns. Med Microsoft Entra-inloggningar verifieras autentiseringsuppgifterna innan du försöker använda den användaren för att logga in på den begärda databasen. Om det uppstår ett fel går det inte att komma åt den begärda databasen, vilket innebär att det inte utförs någon granskning. Med SQL-inloggningar verifieras autentiseringsuppgifterna på begärda data, så i det här fallet kan de granskas. Lyckade inloggningar, som uppenbart når databasen, granskas i båda fallen.
- När du har konfigurerat granskningsinställningarna kan du aktivera den nya funktionen för hotidentifiering och konfigurera e-postmeddelanden för att ta emot säkerhetsaviseringar. När du använder hotidentifiering får du proaktiva aviseringar om avvikande databasaktiviteter som kan indikera potentiella säkerhetshot.
- När en databas med granskning aktiverat har kopierats till en annan logisk server kan du få ett e-postmeddelande om att granskningen misslyckades. Det här är ett känt problem och granskning bör fungera som förväntat i den nyligen kopierade databasen.