Schreiben von Überwachungsprotokollen in ein Speicherkonto hinter einem VNET oder einer Firewall

Gilt für:Azure SQL-DatenbankAzure Synapse Analytics

Bei der Überwachung für Azure SQL-Datenbank und Azure Synapse Analytics wird das Schreiben von Datenbankereignissen in ein Azure Storage-Konto hinter einem virtuellen Netzwerk und einer Firewall unterstützt.

In diesem Artikel werden zwei Möglichkeiten erläutert, mit denen Sie Azure SQL-Datenbank und das Azure Storage-Konto für diese Option konfigurieren können. Beim ersten Verfahren wird das Azure-Portal und beim zweiten Verfahren REST verwendet.

Hintergrund

Azure Virtual Network (VNET) ist der grundlegende Baustein für Ihr privates Netzwerk in Azure. Mit VNET können zahlreiche Arten von Azure-Ressourcen (beispielsweise virtuelle Azure-Computer) sicher untereinander sowie mit dem Internet und mit lokalen Netzwerken kommunizieren. VNET ähnelt einem herkömmlichen Netzwerk in Ihrem Rechenzentrum, bietet jedoch zusätzliche Vorteile der Infrastruktur von Azure, z. B. Skalierbarkeit, Verfügbarkeit und Isolation.

Weitere Informationen zu den VNET-Konzepten, bewährten Methoden und vieles andere mehr finden Sie unter Was ist Azure Virtual Network?.

Weitere Informationen zum Erstellen eines virtuellen Netzwerks finden Sie unter Schnellstart: Erstellen eines virtuellen Netzwerks im Azure-Portal.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, damit Überwachungsprotokolle in ein Speicherkonto hinter einem VNET oder einer Firewall geschrieben werden können:

• Ein Speicherkonto vom Typ „Universell V2“. Wenn Sie über ein Speicherkonto vom Typ „Universell V1“ ober über ein Blob Storage-Konto verfügen, führen Sie ein Upgrade auf ein Speicherkonto vom Typ „Universell V2“ durch. Weitere Informationen finden Sie unter Speicherkontentypen.
• Storage Premium mit BlockBlobStorage wird unterstützt.
• Das Speicherkonto muss sich auf demselben Mandanten und an demselben Standort wie der logische SQL-Server befinden (unterschiedliche Abonnements sind zulässig).
• Das Azure Storage-Konto erfordert Allow trusted Microsoft services to access this storage account. Legen Sie dies im Speicherkonto unter Firewalls und virtuelle Netzwerke fest.
• Sie benötigen für das ausgewählte Speicherkonto die Berechtigung Microsoft.Authorization/roleAssignments/write. Weitere Informationen finden Sie unter Integrierte Azure-Rollen.

Hinweis

Wenn die Überwachung für das Storage-Konto bereits auf einem Server bzw. einer Datenbank aktiviert ist und das Zielspeicherkonto hinter eine Firewall verschoben wird, verlieren Sie den Schreibzugriff auf das Speicherkonto, und Überwachungsprotokolle werden nicht mehr geschrieben. Um Überwachungsarbeiten vorzunehmen, müssen Sie die Überwachungseinstellungen im Portal ändern.

Konfigurieren im Azure-Portal

Stellen Sie mit Ihrem Abonnement eine Verbindung mit dem Azure-Portal her. Navigieren Sie zu der Ressourcengruppe und dem Server.

1. Klicken Sie unter der Überschrift „Sicherheit“ auf Überwachung. Wählen Sie Ein aus.

2. Wählen Sie Speicher. Wählen Sie das Speicherkonto aus, in dem die Protokolle gespeichert werden sollen. Das Speicherkonto muss den unter Voraussetzungen aufgeführten Anforderungen entsprechen.

3. Öffnen Sie Speicherdetails.

Hinweis

Wenn sich das ausgewählte Speicherkonto hinter einem VNET befindet, wird die folgende Meldung angezeigt:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Wenn diese Meldung nicht angezeigt wird, befindet sich das Speicherkonto nicht hinter einem VNET.

4. Wählen Sie die Anzahl von Tagen für die Beibehaltungsdauer aus. Klicken Sie dann auf OK. Protokolle, die älter als die Aufbewahrungsdauer sind, werden gelöscht.

5. Wählen Sie in den Überwachungseinstellungen Speichern aus.

Sie haben die Überwachung erfolgreich zum Schreiben in ein Speicherkonto hinter einem VNET oder einer Firewall konfiguriert.

Konfigurieren mit REST-Befehlen

Als Alternative zur Verwendung des Azure-Portals können Sie mithilfe von REST-Befehlen die Überwachung zum Schreiben von Datenbankereignissen in ein Speicherkonto hinter einem VNET und einer Firewall konfigurieren.

Die Beispielskripts in diesem Abschnitt erfordern, dass Sie das Skript aktualisieren, bevor Sie es ausführen. Ersetzen Sie die folgenden Werte in den Skripts:

Beispielwert	Beispielbeschreibung
<subscriptionId>	Azure-Abonnement-ID
<resource group>	Resource group
<logical SQL Server>	Servername
<administrator login>	Administratorkonto
<complex password>	Komplexes Kennwort für das Administratorkonto

So konfigurieren Sie die SQL-Überwachung für das Schreiben von Ereignissen in ein Speicherkonto hinter einem VNET oder einer Firewall:

1. Registrieren Sie Ihren Server bei Microsoft Entra ID (früher Azure Active Directory). Verwenden Sie entweder PowerShell oder die REST-API.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   REST-API:

   Beispiel für eine Anforderung

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Anforderungstext

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Weisen Sie dem Server, der die im vorherigen Schritt bei Microsoft Entra ID registrierte Datenbank hostet, die Rolle „Mitwirkender an Storage-Blobdaten“ zu.

   Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

   Hinweis

   Nur Mitglieder mit der Berechtigung „Besitzer“ können diesen Schritt ausführen. Informationen zu verschiedenen integrierten Azure-Rollen finden Sie unter Integrierte Azure-Rollen.

3. Konfigurieren Sie die Blobüberwachungsrichtlinie des Servers, ohne einen storageAccountAccessKey anzugeben:

   Beispiel für eine Anforderung

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Anforderungstext

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Verwenden von Azure PowerShell

• Erstellen oder Aktualisieren der Datenbanküberwachungsrichtlinie (Set-AzSqlDatabaseAudit)
• Erstellen oder Aktualisieren der Serverüberwachungsrichtlinie (Set-AzSqlServerAudit)

Verwenden von Azure Resource Manager-Vorlagen

Sie können die Überwachung so konfigurieren, dass Datenbankereignisse in ein Speicherkonto hinter einem virtuellen Netzwerk und einer Firewall geschrieben werden, indem Sie die Azure Resource Manager-Vorlage verwenden, wie im folgenden Beispiel gezeigt:

Wichtig

Um ein Speicherkonto hinter einem virtuellen Netzwerk und einer Firewall zu verwenden, müssen Sie den Parameter isStorageBehindVnet auf TRUE festlegen.

• Bereitstellen einer Azure SQL Server-Instanz mit aktivierter Überwachung zum Schreiben von Überwachungsprotokollen in Blob Storage

Hinweis

Das verknüpften Beispiel befindet sich in einem externen öffentlichen Repository, wird wie besehen ohne Gewähr zur Verfügung gestellt und wird von keinem Microsoft-Supportprogramm/-dienst unterstützt.

Nächste Schritte

• Verwenden von PowerShell zum Erstellen eines VNET-Dienstendpunkts und einer VNET-Regel für Azure SQL-Datenbank
• VNET-Regeln: Vorgänge mit REST-APIs
• Verwenden von VNET-Dienstendpunkten und -Regeln für Server