使用稽核分析稽核記錄和報告
適用於:Azure SQL 資料庫 Azure Synapse Analytics
本文提供使用 Azure SQL 資料庫 和 Azure Synapse Analytics 稽核稽核來分析稽核記錄的概觀。 您可以使用稽核來分析儲存在下列專案中的稽核記錄:
- Log Analytics
- 事件中樞
- Azure 儲存體
使用 Log Analytics 分析記錄
如果您選擇將稽核記錄寫入至 Log Analytics:
使用 Azure 入口網站。
移至相關的資料庫資源。
在資料庫的稽核頁面頂端,選取檢視稽核記錄。
您有兩種方式可檢視記錄:
在 [稽核記錄] 頁面頂端選取 Log Analytics 會開啟 Log Analytics 工作區中的記錄檢視,您可以在其中自定義時間範圍和搜尋查詢。
選取 [稽核記錄] 頁面頂端的 [檢視儀錶板] 會開啟顯示稽核記錄資訊的儀錶板,您可以在其中向下切入至 [安全性見解] 或 [存取敏感數據]。 此儀表板是設計用於協助取得資料的安全性見解。 您也可以自訂時間範圍和搜尋查詢。
或者,您也可以從 Log Analytics 功能表存取稽核記錄 。 開啟 Log Analytics 工作區,然後在 [一般] 區段下,然後選取 [記錄]。 您可以從簡單的查詢開始,例如:「搜尋 "SQLSecurityAuditEvents"」以檢視稽核記錄。 您也可以從這裡使用 Azure 監視器記錄以對稽核記錄資料執行進階搜尋。 Azure 監視器記錄可供使用整合式搜尋和自訂儀表板來立即分析所有工作負載和伺服器上數百萬筆的記錄,以取得即時作業見解。 如需 Azure 監視器記錄搜尋語言和命令的額外實用資訊,請參閱 Azure 監視器記錄搜尋參考。
使用事件中樞分析記錄
如果您選擇將稽核記錄寫入事件中樞:
- 若要從事件中樞取用稽核記錄數據,您必須設定數據流來取用事件,並將其寫入目標。 如需詳細資訊,請參閱 Azure 事件中樞文件。
- 事件中樞中的稽核記錄會擷取在 Apache Avro 事件的主體中,並使用 JSON 格式搭配 UTF-8 編碼來儲存。 若要讀取稽核記錄,您可以使用 Avro Tools、 Microsoft Fabric事件串流或類似工具來處理此格式。
使用 Azure 記憶體帳戶中的記錄分析記錄
如果您選擇將稽核記錄寫入至 Azure 儲存體帳戶,您可使用數種方法來檢視記錄:
稽核記錄會在您於設定期間選擇的帳戶中彙總。 您可以使用工具 (例如 Azure 儲存體總管) 來查看稽核記錄。 在 Azure 儲存體中,稽核記錄是以 Blob 檔案集合的方式儲存在名為 sqldbauditlogs 的容器內。 如需記憶體資料夾階層、命名慣例和記錄格式的詳細資訊,請參閱稽核記錄格式 SQL 資料庫。
使用 Azure 入口網站。
開啟相關的資料庫資源。
在資料庫的稽核頁面頂端,選取檢視稽核記錄。
[ 稽核記錄] 頁面隨即開啟,而且您可以檢視記錄。
您可以選取 [稽核記錄] 頁面頂端的 [篩選] 來檢視特定日期。
切換 [稽核來源],即可在由「伺服器稽核原則」和「資料庫稽核原則」建立的稽核記錄之間切換。
使用系統函式
sys.fn_get_audit_file
(T-SQL) 以表格格式傳回稽核記錄資料。 如需使用此函式的詳細資訊,請參閱 sys.fn_get_audit_file。使用 SQL Server Management Studio (SSMS 17 或更新版本) 中的 [合併稽核檔案]:
從 SSMS 功能表選取 [檔案]>[開啟]>[合併稽核檔案]。
隨即開啟 [新增稽核檔案] 對話方塊。 選取其中一個 [新增] 選項以選擇是否要從本機磁碟合併稽核檔案,或從 Azure 儲存體匯入稽核檔案。 您必須提供 Azure 儲存體 詳細資料和帳戶金鑰。
新增要合併的所有檔案之後,請選取 [ 確定 ] 以完成合併作業。
合併的檔案會在 SSMS 中開啟,您可以在其中檢視和分析該檔案,以及將其匯出至 XEL 或 CSV 檔案,或是匯出至資料表。
使用 Power BI。 您可以在 Power BI 中檢視和分析稽核記錄資料。 如需詳細資訊,以及若要存取可下載的範本,請參閱 Analyzie audit log data in Power BI (在 Power BI 中分析稽核記錄資料)。
透過入口網站或使用工具 (例如 Azure 儲存體總管) 從 Azure 儲存體 Blob 容器下載記錄檔。
- 在您將記錄下載到本機之後,按兩下檔案,以在 SSMS 中開啟、檢視及分析記錄。
- 您也可以在 Azure 儲存體 Explorer 中同時下載多個檔案。 若要執行這項作業,請以滑鼠右鍵按一下特定子資料夾,然後選取 [另存新檔] 儲存在本機資料夾。
其他方法:
- 下載多個檔案或包含記錄檔的子資料夾後,可以在本機合併這些檔案,如先前所述的 SSMS 合併稽核檔案指示中所述。
- 以程式設計方式查看 blob 稽核記錄:使用 PowerShell 查詢擴充事件檔案。
另請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應