Začínáme s auditováním služby Azure SQL Managed Instance

platí pro: spravovaná Instance Azure SQL

Auditování spravované instance Azure SQL sleduje databázové události a zapisuje je do protokolu auditu ve vašem účtu úložiště Azure. Auditování také:

• Pomáhá zajistit dodržování předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit problémy obchodního charakteru nebo vzbuzovat podezření na narušení zabezpečení.
• Umožňuje a usnadňuje dodržování předpisů, i když soulad s těmito standardy nezaručuje. Další informace o programech Azure, které podporují dodržování standardů, najdete v Centrum zabezpečení Azure ,kde najdete nejnovější seznam certifikací dodržování předpisů.

Nastavení auditování serveru pro Azure Storage

Následující část popisuje konfiguraci auditování ve spravované instanci.

1. Přejděte na Azure Portal.

2. Vytvořte kontejner Azure Storage, ve kterém se ukládají protokoly auditu.

   1. Přejděte do účtu úložiště Azure, kam chcete ukládat protokoly auditu.

      Důležité

      • Pokud se chcete vyhnout čtení a zápisu mezi oblastmi, použijte účet úložiště ve stejné oblasti jako spravovaná instance.
      • Pokud se váš účet úložiště nachází za Virtual Network nebo bránou firewall, přečtěte si článek Udělení přístupu z virtuální sítě.
      • Pokud změníte dobu uchovávání z 0 (neomezené uchovávání) na jakoukoli jinou hodnotu, mějte na paměti, že uchovávání se bude vztahovat pouze na protokoly zapsané po změně hodnoty uchovávání (protokoly zapsané během období, kdy bylo uchovávání nastaveno na neomezené, se zachovají i po povolení uchovávání).

   2. V účtu úložiště přejděte na Přehled a klikněte na Objekty blob.

      

   3. V horní nabídce klikněte na + Kontejner a vytvořte nový kontejner.

      

   4. Zadejte název kontejneru, nastavte Úroveň veřejného přístupu na Privátní a pak klikněte na OK.

      

   Důležité

   Zákazníci, kteří chtějí nakonfigurovat neměnné úložiště protokolů pro své události auditu na úrovni serveru nebo databáze, by měli postupovat podle pokynů Azure Storage. (Při konfiguraci neměnné služby Blob Storage se ujistěte, že jste vybrali Povolit další připojení.)

3. Po vytvoření kontejneru pro protokoly auditu existují dva způsoby, jak ho nakonfigurovat jako cíl pro protokoly auditu: pomocí T-SQL nebo pomocí uživatelského rozhraní SQL Server Management Studio (SSMS):

   • Nakonfigurujte úložiště objektů blob pro protokoly auditu pomocí T-SQL:

     1. V seznamu kontejnerů klikněte na nově vytvořený kontejner a pak klikněte na Vlastnosti kontejneru.

        

     2. Zkopírujte adresu URL kontejneru kliknutím na ikonu kopírování a uložte adresu URL (například do Poznámkový blok) pro budoucí použití. Formát adresy URL kontejneru by měl být https://<StorageName>.blob.core.windows.net/<ContainerName>

        

     3. Vygenerování Azure Storage SAS pro udělení přístupových práv k auditování spravované instance k účtu úložiště:

        • Přejděte do účtu úložiště Azure, ve kterém jste kontejner vytvořili v předchozím kroku.

        • V nabídce Storage Nastavení klikněte na Sdílený přístupový podpis.

          

        • Nakonfigurujte SAS následujícím způsobem:

          • Povolené služby: Objekt blob

          • Počáteční datum: Pokud se chcete vyhnout problémům souvisejícím s časovým pásmem, použijte zčernání datum.

          • Koncové datum: Zvolte datum, kdy vyprší platnost tohoto tokenu SAS.

            Poznámka

            Token po vypršení platnosti obnovte, abyste se vyhnuli selháním auditu.

          • Klikněte na Vygenerovat SAS.

            

        • Token SAS se zobrazí v dolní části. Zkopírujte token kliknutím na ikonu kopírování a uložte ho (například v Poznámkový blok) pro budoucí použití.

          

          Důležité

          Odeberte otazník ("?") ze začátku tokenu.

     4. Připojení ke spravované instanci prostřednictvím SQL Server Management Studio nebo jiného podporovaného nástroje.

     5. Spuštěním následujícího příkazu T-SQL vytvořte nové přihlašovací údaje pomocí adresy URL kontejneru a tokenu SAS, které jste vytvořili v předchozích krocích:

        CREATE CREDENTIAL [<container_url>]
        WITH IDENTITY='SHARED ACCESS SIGNATURE',
        SECRET = '<SAS KEY>'
        GO
        

     6. Spuštěním následujícího příkazu T-SQL vytvořte nový audit serveru (zvolte vlastní název auditu a použijte adresu URL kontejneru, kterou jste vytvořili v předchozích krocích). Pokud není zadané, výchozí RETENTION_DAYS hodnota je 0 (neomezené uchovávání):

        CREATE SERVER AUDIT [<your_audit_name>]
        TO URL ( PATH ='<container_url>' , RETENTION_DAYS =  integer )
        GO
        

     7. Pokračujte vytvořením specifikace auditu serveru nebo specifikace auditu databáze.

   • Nakonfigurujte úložiště objektů blob pro protokoly auditu pomocí SQL Server Management Studio 18:

     1. Připojení spravované instanci pomocí uživatelského rozhraní SQL Server Management Studio.

     2. Rozbalte kořenovou poznámku Průzkumník objektů.

     3. Rozbalte uzel Zabezpečení, klikněte pravým tlačítkem na uzel Audity a klikněte na Nový audit:

        

     4. Ujistěte se, že je v části Cíl auditu vybraná adresa URL, a klikněte na Procházet:

        

     5. (Volitelné) Přihlaste se ke svému účtu Azure:

        

     6. V rozevíracích seznamech vyberte předplatné, účet úložiště a kontejner objektů blob nebo vytvořte vlastní kontejner kliknutím na Vytvořit. Po dokončení klikněte na OK:

        

     7. V dialogovém okně Vytvořit audit klikněte na OK.

        Poznámka

        Při použití SQL Server Management Studio uživatelského rozhraní k vytvoření auditu se automaticky vytvoří přihlašovací údaje ke kontejneru s klíčem SAS.

     8. Po konfiguraci kontejneru objektů blob jako cíle pro protokoly auditu vytvořte a povolte specifikaci auditu serveru nebo specifikaci auditu databáze stejně jako pro SQL Server:

   • Průvodce vytvořením specifikace auditu serveru SQL T-SQL.

   • Průvodce vytvořením specifikace auditu SQL databáze

4. Povolte audit serveru, který jste vytvořili v kroku 3:

   ALTER SERVER AUDIT [<your_audit_name>]
   WITH (STATE=ON);
   GO
   

Další informace:

• Rozdíly v auditování mezi službou Azure SQL Managed Instance a databází v SQL Server
• CREATE SERVER AUDIT
• ALTER SERVER AUDIT

Nastavení auditování serveru pro Event Hubs nebo Azure Monitor protokolů

Protokoly auditu ze spravované instance je možné odeslat do Azure Event Hubs nebo Azure Monitor protokolů. Tato část popisuje, jak to nakonfigurovat:

1. V části Azure Portal ke spravované instanci.

2. Klikněte na Nastavení diagnostiky.

3. Klikněte na Zapnout diagnostiku. Pokud je diagnostika už povolená, zobrazí se +Přidat nastavení diagnostiky.

4. V seznamu protokolů vyberte SQLSecurityAuditEvents.

5. Vyberte cíl pro události auditu: Event Hubs, Azure Monitor protokoly nebo obojí. Nakonfigurujte pro každý cíl požadované parametry (např. pracovní prostor služby Log Analytics).

6. Klikněte na Uložit.

   

7. Připojení spravované instanci pomocí SQL Server Management Studio (SSMS) nebo jiného podporovaného klienta.

8. Spuštěním následujícího příkazu T-SQL vytvořte audit serveru:

   CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
   GO
   

9. Vytvořte a povolte specifikaci auditu serveru nebo specifikaci auditu databáze, jako byste to SQL Server:

   • Průvodce T-SQL specifikace auditu serveru
   • Průvodce vytvořením specifikace auditu SQL databáze

10. Povolte audit serveru vytvořený v kroku 8:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE=ON);
    GO
    

Používání protokolů auditu

Využívat protokoly uložené v Azure Storage

K zobrazení protokolů auditování objektů blob můžete použít několik metod.

• Pomocí systémové funkce sys.fn_get_audit_file (T-SQL) vrátíte data protokolu auditu v tabulkovém formátu. Další informace o používání této funkce najdete v sys.fn_get_audit_file dokumentaci.

• Protokoly auditu můžete prozkoumat pomocí nástroje, jako je Průzkumník služby Azure Storage. V Azure Storage se protokoly auditování ukládají jako kolekce souborů objektů blob v rámci kontejneru, který byl definován pro ukládání protokolů auditu. Další podrobnosti o hierarchii složky úložiště, konvencí pojmenování a formátu protokolu najdete v referenčních informacích o formátu protokolu auditu objektů BLOB.

• úplný seznam metod spotřeby protokolu auditu najdete v tématu začínáme s Azure SQL Database auditování.

Využívat protokoly uložené v Event Hubs

Pro využívání dat protokolů auditu z Event Hubs budete muset nastavit datový proud, který bude zpracovávat události, a zapsat je do cíle. Další informace najdete v dokumentaci k Azure Event Hubs.

Využití a analýza protokolů uložených v protokolech Azure Monitor

Pokud jsou protokoly auditu zapisovány do protokolů Azure Monitor, jsou k dispozici v pracovním prostoru Log Analytics, kde můžete spustit pokročilé vyhledávání dat auditu. Jako výchozí bod přejděte do pracovního prostoru Log Analytics. V části Obecné klikněte na protokoly a zadejte jednoduchý dotaz, například: search "SQLSecurityAuditEvents" k zobrazení protokolů auditu.

Protokoly Azure Monitor poskytují informace o provozu v reálném čase pomocí integrovaného vyhledávání a vlastních řídicích panelů, které umožňují snadno analyzovat miliony záznamů napříč všemi vašimi úlohami a servery. Další užitečné informace o tom, jak hledat jazyk a příkazy protokolu Azure Monitor naleznete v tématu Azure monitor v protokolech hledání.

rozdíly v auditování mezi databázemi ve službě Azure SQL spravované Instance a databáze v SQL Server

mezi hlavní rozdíly mezi auditováním v databázích ve službě Azure SQL spravované Instance a databáze v SQL Server patří:

• pomocí spravované Instance azure SQL auditování funguje na úrovni serveru a ukládá .xel soubory protokolů ve službě azure Blob storage.
• v SQL Server audit funguje na úrovni serveru, ale ukládá události do protokolů událostí systému souborů a Windows.

Auditování XEvent ve spravovaných instancích podporuje cíle služby Azure Blob Storage. protokoly souborů a Windows se nepodporují.

Hlavní rozdíly v CREATE AUDIT syntaxi pro auditování do úložiště objektů BLOB v Azure jsou:

• K TO URL dispozici je nová syntaxe, která umožňuje zadat adresu URL kontejneru úložiště objektů BLOB v Azure, ve kterém .xel jsou soubory umístěné.
• TO EXTERNAL MONITORK dispozici je nová syntaxe umožňující Event Hubs a Azure monitor cíle protokolu.
• syntaxe TO FILE není podporovaná , protože spravovaná Instance Azure SQL nemá přístup ke sdíleným složkám souborů Windows.
• Možnost vypnutí není podporována.
• queue_delay hodnota 0 není podporována.

Další kroky

• úplný seznam metod spotřeby protokolu auditu najdete v tématu začínáme s Azure SQL Database auditování.
• Další informace o programech Azure, které podporují dodržování standardů, najdete v Centrum zabezpečení Azure, kde můžete najít nejaktuálnější seznam certifikátů dodržování předpisů.