Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir:
Azure Synapse Analytics Azure SQL Veritabanı
Bu makalede, Azure SQL Veritabanı ve Azure Synapse Analytics'te mantıksal sunucunuz veya veritabanınız için Denetim ayarlama işleminin üzerinden geçeceğiz.
Sunucunuz için Denetimi Yapılandırma
Varsayılan denetim ilkesi, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetleyen aşağıdaki eylem grupları kümesini içerir:
- GRUP_TAMAMLANDI_PAKETI
- BAŞARILI_VERİTABANI_DOĞRULAMA_GRUBU
- VERITABANI_KIMLIK_DOĞRULAMASI_BAŞARISIZ_GRUBU
PowerShell kullanarak farklı eylem ve eylem grupları için denetimi yapılandırmak için bkz. API'leri kullanarak Azure SQL Veritabanı Denetimi yönetme.
Aşağıdaki bölümde Azure portalını kullanarak denetim yapılandırması açıklanmaktadır.
Not
Duraklatılmış bir ayrılmış SQL havuzunda denetimi etkinleştiremezsiniz. Denetimi etkinleştirmek için ayrılmış SQL havuzunu sürdürebilirsiniz.
tr-TR: Denetim, Log Analytics çalışma alanına veya Azure portalında ya da PowerShell cmdlet'indeki bir Event Hubs hedefine yapılandırıldığında, etkin kategoriyle bir Tanılama Ayarı oluşturulur SQLSecurityAuditEvents.
Azure portala gidin.
SQL veritabanınızda veya SQL server bölmenizde Güvenlik başlığı altında Denetim'e gidin.
Bir sunucu denetim ilkesi ayarlamayı tercih ederseniz, veritabanı denetim sayfasında Sunucu ayarlarını görüntüle bağlantısını seçebilirsiniz. Ardından sunucu denetim ayarlarını görüntüleyebilir veya değiştirebilirsiniz. Sunucu denetim ilkeleri, bu sunucuda var olan ve yeni oluşturulan tüm veritabanları için geçerlidir.
Denetimi veritabanı düzeyinde etkinleştirmeyi tercih ediyorsanız, Denetim'i AÇI olarak değiştirin. Sunucu denetimi etkinleştirilirse, veritabanı tarafından yapılandırılan denetim sunucu denetimiyle yan yana bulunur.
Denetim günlüklerinin depolandığı yeri yapılandırmak için birden çok seçeneğiniz vardır. Günlükleri bir Azure depolama hesabına, Azure İzleyici günlükleri tarafından kullanılmak üzere Log Analytics çalışma alanına veya olay hub'ı kullanarak kullanılmak üzere olay hub'ına yazabilirsiniz. Bu seçeneklerin herhangi bir bileşimini yapılandırabilirsiniz ve denetim günlükleri her birine yazılır.
Depolama hedefinin denetimi
Bir depolama hesabına denetim günlükleri yazmayı yapılandırmak için Denetim bölümüne gittiğiniz zaman Depolama'yı seçin. Günlüklerinizi kaydetmek istediğiniz Azure depolama hesabını seçin. Şu iki depolama kimlik doğrulaması türünü kullanabilirsiniz: Yönetilen Kimlik ve Depolama Erişim Anahtarları. Yönetilen kimlik için, sistem tarafından atanan ve kullanıcı tarafından atanan kimlik desteği sağlanmaktadır. Varsayılan olarak, sunucuya atanan birincil kullanıcı kimliği seçilir. Kullanıcı kimliği yoksa, sistem tarafından atanan yönetilen kimlik oluşturulur ve kimlik doğrulaması amacıyla kullanılır. Bir kimlik doğrulama türü seçtikten sonra, Gelişmiş özellikler'i açıp Kaydet'i seçerek bir bekletme süresi seçin. Saklama süresinden eski günlükler silinir.
Azure portalından dağıtım yapıyorsanız depolama hesabının veritabanınız ve sunucunuzla aynı bölgede olduğundan emin olun. Başka yöntemler aracılığıyla dağıtıyorsanız depolama hesabı herhangi bir bölgede olabilir.
Uyarı
Depolama kimlik doğrulaması için Yönetilen Kimlik'i kullanın. Depolama Erişim Anahtarları güvenlik riski oluşturur çünkü güvenliği ihlal edilirse yetkisiz kişiler depolama hesabınıza erişim elde edebilir ve verilerinizi okuma, yazma veya silme gibi işlemler yapabilir. Bu riskleri azaltmak için anahtarlarınızı düzenli olarak döndürmek ve anahtarlarınızı güvenli bir şekilde yönetmek ve döndürmek için Azure Key Vault'un kullanılması önemlidir.
- Bekletme süresi için varsayılan değer 0'dır (sınırsız bekletme). Depolama hesabını denetim için yapılandırırken Gelişmiş özellikler'deBekletme (Gün) kaydırıcısını taşıyarak bu değeri değiştirebilirsiniz.
- Bekletme süresini 0 'dan (sınırsız saklama) başka bir değere değiştirirseniz, bekletme yalnızca bekletme değeri değiştirildikten sonra yazılan günlüklere uygulanır. Bekletme günlerinin sınırsız saklama olarak ayarlandığı dönemde yazılan günlükler, bekletme etkinleştirildikten sonra bile korunur.
Log Analytics hedefi için denetim
Log Analytics çalışma alanına denetim günlükleri yazmayı yapılandırmak için Log Analytics'i seçin ve Log Analytics ayrıntılarını açın. Günlüklerin depolanmasını istediğiniz Log Analytics çalışma alanını seçin ve ardından Tamam seçeneğini belirleyin. Log Analytics çalışma alanı oluşturmadıysanız bkz . Azure portalında Log Analytics çalışma alanı oluşturma.
Event Hubs hedefine yönelik denetim
Bir olay hub'ına denetim günlükleri yazmayı yapılandırmak için Olay Hub'ı seçin. Günlüklerin depolanmasını istediğiniz olay hub'ını seçin ve ardından Kaydet'i seçin. Olay hub'ınızın veritabanınız ve sunucunuzla aynı bölgede olduğundan emin olun.
Denetim, hedef olarak Azure dış izleyicileri (örneğin Event Hubs veya Log Analytics) ile yapılandırıldığında, denetimin düzgün çalışması için kritik öneme sahip SQLSecurityAuditEvents_XXXX-XXXX-XXX adlı ek bir tanılama ayarları kaynağı oluşturulur.
Tanılama ayarları bilerek veya istemeden silinirse, denetim işlevselliği sessizce başarısız olur ve denetim günlükleri hedef konuma gönderilmez. Bunu önlemek için, tanılama ayarlarını silme uyarılarını kullanıcılara bildirecek ve gerekli eylemleri gerçekleştirecek şekilde yapılandırın. Eylem grupları oluşturma ve uyarıları yapılandırma hakkında daha fazla bilgi için bkz . Eylem grupları ve Etkinlik günlüğü, hizmet durumu veya kaynak durumu uyarı kuralı oluşturma veya düzenleme.
Not
Depolama hesabı, Log Analytics veya Event Hubs gibi birden çok hedef kullanıyorsanız, tüm hedefler için izinlere sahip olduğunuzdan emin olun, aksi takdirde denetim yapılandırması tüm hedeflerin ayarlarını kaydetmeye çalışırken başarısız olur.