適用於 Azure SQL 資料庫和 Azure Synapse Analytics 的稽核

  • 發行項

適用於:Azure SQL 資料庫Azure Synapse Analytics

適用於 Azure SQL 資料庫Azure Synapse Analytics 的稽核可追蹤資料庫事件,並將事件寫入 Azure 儲存體帳戶、Log Analytics 工作區或事件中樞的稽核記錄。

稽核也會:

  • 協助您維護合規性、了解資料庫活動,以及獲取可能指出業務疑慮或可疑安全性違規之不一致及異常的見解。

  • 啟用及推動遵循法規標準,但不保證符合法規。 如需詳細資訊,請參閱 Microsoft Azure 信任中心,您可以在當中找到 SQL Database 合規性認證的最新清單。

注意

如需 Azure SQL 受控執行個體稽核的相關資訊,請參閱開始使用 SQL 受控執行個體稽核

概觀

您可以使用 SQL Database 稽核來:

  • 保留 所選事件的稽核記錄。 您可以定義要稽核的資料庫動作類別。
  • 報告 資料庫活動。 您可以使用預先設定的報告和儀表板,以便快速開始使用活動和事件報告。
  • 分析 報告。 您可以尋找可疑事件、異常活動及趨勢。

重要

Azure SQL 資料庫、Azure Synapse Analytics SQL 集區和 Azure SQL 受控執行個體稽核已針對待稽核資料庫或執行個體的可用性和效能最佳化。 在活動率或網路負載非常高的期間,稽核功能可能會允許交易繼續進行,而不需要記錄標示為稽核的所有事件。

稽核限制

  • 不支援在暫停的 Azure Synapse SQL 集區上啟用稽核。 若要啟用稽核,請繼續 Synapse SQL 集區
  • Azure Synapse 不支援使用使用者指派的受控識別 (UAMI) 啟用稽核。
  • 目前,除非儲存體帳戶位於虛擬網路或防火牆後方,否則 Azure Synapse 不支援受控識別。
  • 適用於 Azure Synapse SQL 集區的稽核 支援預設的稽核動作群組。
  • 當您為 Azure 中的邏輯伺服器或 Azure SQL 資料庫設定稽核,並將記錄目的地用作儲存體帳戶時,驗證模式必須符合該儲存體帳戶的設定。 如果使用儲存體存取金鑰做為驗證類型,則必須啟用目標儲存體帳戶,並具有儲存體帳戶金鑰的存取權。 如果儲存體帳戶設定為只搭配 Microsoft Entra ID (先前稱為 Azure Active Directory) 使用驗證,則可以將稽核設定為使用受控識別進行驗證。

備註

  • 支援具有 BlockBlobStorage進階儲存體。 支援標準儲存體。 不過,若要將稽核寫入 vNet或防火牆後方的儲存體帳戶,您必須有一般用途 v2 儲存體帳戶。 如果您有一般用途 v1 或 Blob 儲存體帳戶,請升級至一般用途 v2 儲存體帳戶。 如需特定指示,請參閱將稽核寫入 VNet 和防火牆後方的儲存體帳戶。 如需詳細資訊,請參閱儲存體帳戶類型
  • 所有類型的標準儲存體帳戶具有 BlockBlobStorage 的進階儲存體帳戶都支援階層命名空間
  • 系統會將稽核記錄寫入 Azure 訂用帳戶上 Azure Blob 儲存體中的附加 Blob
  • 稽核記錄是 .xel 格式,可以使用 SQL Server Management Studio (SSMS) 開啟。
  • 若要針對伺服器或資料庫層級的稽核事件設定不可變的記錄存放區,請依照 Azure 儲存體所提供的指示操作。 在您設定不可變的 blob 儲存體時,請確定您已選取 [允許其他附加]。
  • 您可將稽核記錄寫入 VNet 或防火牆後方的 Azure 儲存體帳戶。
  • 如需有關記錄格式、儲存體資料夾階層和命名慣例的詳細資訊,請參閱 Blob 稽核記錄格式參考
  • 系統會自動啟用唯讀複本上的稽核。 如需儲存體資料夾階層、命名慣例及記錄格式的詳細資訊,請參閱 SQL Database 稽核記錄格式 (英文)。
  • 使用 Microsoft Entra 驗證時,失敗的登入記錄會顯示在 SQL 稽核記錄中。 若要檢視失敗的登入稽核記錄,您需要瀏覽 Microsoft Entra 系統管理中心,其中會記錄這些事件的詳細資料。
  • 登入是由閘道路由傳送到資料庫所在的特定執行個體。 採用 Microsoft Entra 登入時,系統會先驗證認證,然後再嘗試使用該使用者登入要求的資料庫。 如果發生失敗,則永遠不會存取要求的資料庫,因此不會進行稽核。 採用 SQL 登入時,系統會在要求的資料上驗證認證,因此可以進行稽核。 在這兩種情況下,都會稽核成功的登入 (明顯到達資料庫)。
  • 設定您的稽核設定之後,您可以開啟新的威脅偵測功能,並設定電子郵件以接收安全性警示。 使用威脅偵測時,您會接收與指示潛在安全性威脅的異常資料庫活動相關的主動式警示。 如需詳細資訊,請參閱開始使用威脅偵測
  • 將啟用稽核功能的資料庫複製到另一個邏輯伺服器之後,您可能會收到一封電子郵件,通知您稽核失敗。 這是已知的問題,而且稽核在新複製的資料庫上應該會順利運作。

下一步

設定適用於 Azure SQL 資料庫和 Azure Synapse Analytics 的稽核

另請參閱