Erste Schritte bei der Überwachung von SQL-DatenbankGet started with SQL database auditing

Die Überwachung von Azure SQL-Datenbank und SQL Data Warehouse verfolgt Datenbankereignisse und schreibt sie in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto, Ihrem Log Analytics-Arbeitsbereich oder in Event Hubs.Auditing for Azure SQL Database and SQL Data Warehouse tracks database events and writes them to an audit log in your Azure storage account, Log Analytics workspace or Event Hubs. Die Überwachung ermöglicht außerdem Folgendes:Auditing also:

  • Sie kann Ihnen dabei helfen, die gesetzlichen Bestimmungen einzuhalten, die Datenbankaktivität zu verstehen und Einblicke in Abweichungen und Anomalien zu erhalten, die auf geschäftsspezifische Bedenken oder mutmaßliche Sicherheitsverstöße hinweisen können.Helps you maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.

  • Sie ermöglicht und unterstützt die Einhaltung von Standards, garantiert diese aber nicht.Enables and facilitates adherence to compliance standards, although it doesn't guarantee compliance. Weitere Informationen zu Azure-Programmen zur Unterstützung bei der Einhaltung von Standards finden Sie im Azure Trust Center, wo die aktuelle Liste von Compliancezertifizierungen für SQL-Datenbank angezeigt wird.For more information about Azure programs that support standards compliance, see the Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Hinweis

Dieses Thema gilt für Azure SQL-Server sowie für Datenbanken von SQL-Datenbank und SQL Data Warehouse, die auf dem Azure SQL-Server erstellt werden.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Der Einfachheit halber wird nur SQL-Datenbank verwendet, wenn sowohl SQL-Datenbank als auch SQL Data Warehouse gemeint sind.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Hinweis

Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen.We are updating the terminology to better reflect the role of logs in Azure Monitor. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.See Azure Monitor terminology changes for details.

Übersicht über die Überwachung von Azure SQL-DatenbankAzure SQL database auditing overview

Sie können die SQL-Datenbank-Überwachung für folgende Zwecke verwenden:You can use SQL database auditing to:

  • Beibehalten eines Überwachungspfads von ausgewählten Ereignissen.Retain an audit trail of selected events. Sie können Kategorien für zu protokollierende Datenbankaktionen und -ereignisse konfigurieren.You can define categories of database actions to be audited.
  • Melden von Datenbankaktivitäten.Report on database activity. Sie können vorkonfigurierte Berichte und ein Dashboard verwenden, um schnell mit der Berichterstattung über Aktivitäten und Ereignisse zu beginnen.You can use pre-configured reports and a dashboard to get started quickly with activity and event reporting.
  • Analysieren von Berichten.Analyze reports. Sie können nach verdächtigen Ereignissen, ungewöhnliche Aktivitäten und Trends suchen.You can find suspicious events, unusual activity, and trends.

Wichtig

Überwachungsprotokolle werden in Ihrem Azure-Abonnement als Anfügeblobs in Azure Blob Storage geschrieben.Audit logs are written to Append Blobs in Azure Blob storage on your Azure subscription.

  • Alle Speicherarten (v1, v2, Blob) werden unterstützt.All storage kinds (v1, v2, blob) are supported.
  • Alle Konfigurationen von Speicherreplikation werden unterstützt.All storage replication configurations are supported.
  • Storage Premium wird derzeit nicht unterstützt.Premium storage is currently not supported.
  • Die Speicherung in VNET wird derzeit nicht unterstützt.Storage in VNet is currently not supported.
  • Speicher hinter einer Firewall wird derzeit nicht unterstützt.Storage behind a Firewall is currently not supported.
  • Der hierarchische Namespace für ein Azure Data Lake Storage Gen2-Speicherkonto wird derzeit nicht unterstützt.Hierarchical namespace for Azure Data Lake Storage Gen2 storage account is currently not supported.

Definieren von Überwachungsrichtlinien auf Serverebene und auf DatenbankebeneDefine server-level vs. database-level auditing policy

Eine Überwachungsrichtlinie kann für eine spezifische Datenbank oder als Standardserverrichtlinie definiert werden:An auditing policy can be defined for a specific database or as a default server policy:

  • Eine Serverrichtlinie wird auf alle vorhandenen und neu erstellten Datenbanken auf dem Server angewendet.A server policy applies to all existing and newly created databases on the server.

  • Wenn die Serverblobüberwachung aktiviert ist, gilt sie immer für die Datenbank.If server blob auditing is enabled, it always applies to the database. Die Datenbank wird unabhängig von den Datenbanküberwachungseinstellungen überwacht.The database will be audited, regardless of the database auditing settings.

  • Die Aktivierung der Blobüberwachung in der Datenbank oder im Data Warehouse sowie auf dem Server hebt die Einstellungen der Serverblobüberwachung nicht auf und ändert sie nicht.Enabling blob auditing on the database or data warehouse, in addition to enabling it on the server, does not override or change any of the settings of the server blob auditing. Beide Überwachungen existieren nebeneinander.Both audits will exist side by side. Das heißt, die Datenbank wird zweimal parallel überwacht: einmal anhand der Serverrichtlinie und einmal anhand der Datenbankrichtlinie.In other words, the database is audited twice in parallel; once by the server policy and once by the database policy.

    Hinweis

    Aktivieren Sie die Serverblobüberwachung und die Datenbankblobüberwachung nicht zusammen, es sei denn:You should avoid enabling both server blob auditing and database blob auditing together, unless:

    • Sie möchten ein anderes Speicherkonto oder eine andere Beibehaltungsdauer für eine bestimmte Datenbank verwenden.You want to use a different storage account or retention period for a specific database.
    • Sie möchten andere Ereignistypen oder Kategorien für eine bestimmte Datenbank überwachen als die, die für die restlichen Datenbanken auf dem Server überwacht werden.You want to audit event types or categories for a specific database that differ from the rest of the databases on the server. Beispielsweise sollen Tabelleneinfügungen nur für eine bestimmte Datenbank überwacht werden.For example, you might have table inserts that need to be audited only for a specific database.

    Andernfalls wird empfohlen, die Blobüberwachung nur auf Serverebene zu aktivieren und die Überwachung auf Datenbankebene für alle Datenbanken deaktiviert zu lassen.Otherwise, we recommended that you enable only server-level blob auditing and leave the database-level auditing disabled for all databases.

Einrichten der Überwachung für Ihre DatenbankSet up auditing for your database

Der folgende Abschnitt beschreibt die Konfiguration der Überwachung über das Azure-Portal.The following section describes the configuration of auditing using the Azure portal.

  1. Öffnen Sie das Azure-Portal.Go to the Azure portal.

  2. Navigieren Sie im Bereich für die SQL-Datenbank oder den SQL Server unter der Überschrift „Sicherheit“ zu Überwachung.Navigate to Auditing under the Security heading in your SQL database/server pane.

    NavigationsbereichNavigation pane

  3. Wenn Sie eine Serverüberwachungsrichtlinie einrichten möchten, wählen Sie auf dem Blatt für die Datenbanküberwachung den Link Servereinstellungen anzeigen aus.If you prefer to set up a server auditing policy, you can select the View server settings link on the database auditing page. Anschließend können Sie die Serverüberwachungseinstellungen anzeigen oder ändern.You can then view or modify the server auditing settings. Eine Standardrichtlinie für die Serverüberwachung wird auf alle vorhandenen und neu erstellten Datenbanken auf einem Server angewendet.Server auditing policies apply to all existing and newly created databases on this server.

    Navigationsbereich

  4. Wenn Sie die Überwachung auf Datenbankebene aktivieren möchten, ändern Sie Überwachung in EIN.If you prefer to enable auditing on the database level, switch Auditing to ON.

    Wenn die Serverüberwachung aktiviert ist, existiert die konfigurierte Datenbanküberwachung parallel zur Serverüberwachung.If server auditing is enabled, the database-configured audit will exist side-by-side with the server audit.

    Navigationsbereich

  5. Neu: Sie haben nun mehrere Optionen zur Auswahl, um zu konfigurieren, wohin Überwachungsprotokolle geschrieben werden sollen.New - You now have multiple options for configuring where audit logs will be written. Sie können die Protokolle in ein Azure Storage-Konto, in einen Log Analytics-Arbeitsbereich für die Nutzung durch Azure Monitor-Protokolle oder in einen Event Hub für die Nutzung durch den Event Hub schreiben.You can write logs to an Azure storage account, to a Log Analytics workspace for consumption by Azure Monitor logs, or to event hub for consumption using event hub. Sie können eine beliebige Kombination dieser Optionen konfigurieren, und die Überwachungsprotokolle werden in die jeweils angegebenen Speicherorte geschrieben.You can configure any combination of these options, and audit logs will be written to each.

Hinweis

Kunden, die eine unveränderliche Protokollspeicherung für Überwachungsereignisse auf Server- oder Datenbankebene konfigurieren möchten, sollten der von Azure Storage bereitgestellten Anleitung folgen.Customer wishing to configure an immutable log store for their server- or database-level audit events should follow the instructions provided by Azure Storage

Warnung

Wenn Sie die Überwachung mit Log Analytics aktivieren, fallen Kosten an, deren Höhe sich nach der Erfassungsrate richtet.Enabling auditing to Log Analytics will incur cost based on ingestion rates. Beachten Sie die entsprechenden Kosten bei der Verwendung dieser Option, oder speichern Sie die Überwachungsprotokolle in einem Azure-Speicherkonto.Please be aware of the associated cost with using this option, or consider storing the audit logs in an Azure storage account.

![Speicheroptionen](./media/sql-database-auditing-get-started/auditing-select-destination.png)
  1. Um das Schreiben von Überwachungsprotokollen in ein Speicherkonto zu konfigurieren, wählen Sie Storage aus, und öffnen Sie Speicherdetails.To configure writing audit logs to a storage account, select Storage and open Storage details. Wählen Sie das Azure Storage-Konto, in dem die Protokolle gespeichert werden sollen, und dann die Beibehaltungsdauer aus.Select the Azure storage account where logs will be saved, and then select the retention period. Die alten Protokolle werden gelöscht.The old logs will be deleted. Klicken Sie dann auf OK.Then click OK.

    Wichtig

    • Der Standardwert für die Beibehaltungsdauer ist „0“ (unbegrenzte Aufbewahrung).The default value for retention period is 0 (unlimited retention). Sie können diesen Wert ändern, indem Sie den Schieberegler Beibehaltung (Tage) in Speichereinstellungen verschieben, wenn Sie das Speicherkonto für die Überwachung konfigurieren.You can change this value by moving the Retention (Days) slider in Storage settings when configuring the storage account for auditing.
    • Wenn Sie die Beibehaltungsdauer von „0“ (unbegrenzte Aufbewahrung) in einen anderen Wert ändern, beachten Sie, dass die Beibehaltung nur auf Protokolle angewendet wird, die nach dem Ändern des Beibehaltungswerts geschrieben wurden (Protokolle, die in dem Zeitraum geschrieben wurden, in dem die Beibehaltung auf unbegrenzt festgelegt war, bleiben auch nach Aktivieren der Beibehaltung erhalten).If you change retention period from 0 (unlimited retention) to any other value, please note that retention will only apply to logs written after retention value was changed (logs written during the period when retention was set to unlimited are preserved, even after retention is enabled)

    Speicherkonto

  2. Um das Schreiben von Überwachungsprotokollen in einen Log Analytics-Arbeitsbereich zu konfigurieren, wählen Sie Log Analytics (Vorschau) aus und öffnen Log Analytics-Details.To configure writing audit logs to a Log Analytics workspace, select Log Analytics (Preview) and open Log Analytics details. Wählen Sie den Log Analytics-Arbeitsbereich aus (oder erstellen Sie ihn), in den Protokolle geschrieben werden sollen, und klicken Sie dann auf OK.Select or create the Log Analytics workspace where logs will be written and then click OK.

    Log Analytics-Arbeitsbereich

  3. Um das Schreiben von Überwachungsprotokollen in einen Event Hub zu konfigurieren, wählen Sie Event Hub (Vorschau) aus, und öffnen Sie Event Hub-Details.To configure writing audit logs to an event hub, select Event Hub (Preview) and open Event Hub details. Wählen Sie den Event Hub aus, in den die Protokolle geschrieben werden sollen, und klicken Sie dann auf OK.Select the event hub where logs will be written and then click OK. Achten Sie darauf, dass sich der Event Hub in derselben Region wie Ihre Datenbank und der Server befindet.Be sure that the event hub is in the same region as your database and server.

    Event Hub

  4. Klicken Sie auf Speichern.Click Save.

  5. Wenn Sie die überwachten Ereignisse anpassen möchten, können Sie PowerShell-Cmdlets oder die REST-API verwenden.If you want to customize the audited events, you can do this via PowerShell cmdlets or the REST API.

  6. Nachdem Sie Ihre Überwachungseinstellungen konfiguriert haben, können Sie das neue Feature der Bedrohungserkennung aktivieren und die E-Mail-Konten konfigurieren, an die Sicherheitswarnungen gesendet werden sollen.After you've configured your auditing settings, you can turn on the new threat detection feature and configure emails to receive security alerts. Mit der Bedrohungserkennung können Sie proaktive Warnungen bei anomalen Datenbankaktivitäten erhalten, die auf mögliche Sicherheitsbedrohungen hinweisen können.When you use threat detection, you receive proactive alerts on anomalous database activities that can indicate potential security threats. Weitere Informationen finden Sie unter Erste Schritte mit der Bedrohungserkennung.For more information, see Getting started with threat detection.

Wichtig

Das Aktivieren der Überwachung auf einer angehaltenen Azure SQL Data Warehouse-Instanz ist nicht möglich.Enabling auditing on an paused Azure SQL Data Warehouse is not possible. Um sie aktivieren, nehmen Sie die Instanz wieder in Betrieb.To enable it, un-pause the Data Warehouse.

Warnung

Das Aktivieren der Überwachung auf einem Server mit einer Azure SQL Data Warehouse-Instanz führt dazu, dass die Instanz fortgesetzt und wieder angehalten wird. Dadurch können Gebühren anfallen.Enabling auditing on a server that has an Azure SQL Data Warehouse on it will result in the Data Warehouse being resumed and re-paused again which may incur in billing charges.

Analysieren von Überwachungsprotokollen und -berichtenAnalyze audit logs and reports

Führen Sie die folgenden Schritte aus, wenn Sie Überwachungsprotokolle in Azure Monitor-Protokolle schreiben möchten:If you chose to write audit logs to Azure Monitor logs:

  • Verwenden Sie das Azure-Portal.Use the Azure portal. Öffnen Sie die entsprechende Datenbank.Open the relevant database. Klicken Sie in der Datenbank oben auf der Seite Überwachung auf Überwachungsprotokolle anzeigen.At the top of the database's Auditing page, click View audit logs.

    Überwachungsprotokolle anzeigen

  • Anschließend haben Sie zwei Möglichkeiten, die Protokolle anzuzeigen:Then, you have two ways to view the logs:

    Klicken Sie am oberen Rand der Seite Überwachungsdatensätze auf Log Analytics. Daraufhin wird die Protokollansicht im Log Analytics-Arbeitsbereich geöffnet, in der Sie den Zeitbereich und die Suchabfrage anpassen können.Clicking on Log Analytics at the top of the Audit records page will open the Logs view in Log Analytics workspace, where you can customize the time range and the search query.

    In Log Analytics-Arbeitsbereich öffnen

    Wenn Sie oben auf der Seite Überwachungsdatensätze auf Dashboard anzeigen klicken, wird ein Dashboard geöffnet, das Überwachungsprotokollinformationen anzeigt, für die Sie in Security Insights ein Drilldown ausführen oder auf vertrauliche Daten zugreifen können und vieles mehr.Clicking View dashboard at the top of the Audit records page will open a dashboard displaying audit logs info, where you can drill down into Security Insights, Access to Sensitive Data and more. Dieses Dashboard soll Ihnen helfen, Sicherheitseinblicke in Ihre Daten zu erhalten.This dashboard is designed to help you gain security insights for your data. Sie können den Zeitbereich und die Suchabfrage auch anpassen.You can also customize the time range and search query. Anzeigen des Log Analytics-DashboardsView Log Analytics Dashboard

    Log Analytics-Dashboard

    Log Analytics Security Insights

  • Alternativ können Sie auch vom Blatt „Log Analytics“ auf die Überwachungsprotokolle zugreifen.Alternatively, you can also access the audit logs from Log Analytics blade. Öffnen Sie Ihren Log Analytics-Arbeitsbereich und klicken Sie im Abschnitt Allgemein auf Protokolle.Open your Log Analytics workspace and under General section, click Logs. Beginnen Sie mit einer einfachen Abfrage, wie z. B. "SQLSecurityAuditEvents" suchen, um die Überwachungsprotokolle anzuzeigen.You can start with a simple query, such as: search "SQLSecurityAuditEvents" to view the audit logs. Hier können Sie auch Azure Monitor-Protokolle nutzen, um erweiterte Suchen für Ihre Überwachungsprotokolldaten durchzuführen.From here, you can also use Azure Monitor logs to run advanced searches on your audit log data. Mithilfe integrierter Suchfunktionen und benutzerdefinierter Dashboards bieten Azure Monitor-Protokolle Ihnen in Echtzeit Erkenntnisse zu Betriebsabläufen, sodass Sie Millionen von Datensätzen für alle Ihre Workloads und Server analysieren können.Azure Monitor logs gives you real-time operational insights using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers. Weitere nützliche Informationen zur Suchsprache und den Befehlen in Azure Monitor-Protokolle finden Sie unter Referenz zur Suche in Azure Monitor-Protokolle.For additional useful information about Azure Monitor logs search language and commands, see Azure Monitor logs search reference.

Wenn Sie Überwachungsprotokolle in Event Hub schreiben möchten:If you chose to write audit logs to Event Hub:

  • Um die Überwachungsprotokolldaten von Event Hub zu nutzen, müssen Sie einen Stream zum Nutzen von Ereignissen einrichten und diese in ein Ziel schreiben.To consume audit logs data from Event Hub, you will need to set up a stream to consume events and write them to a target. Weitere Informationen finden Sie in der Dokumentation zu Azure Event Hubs.For more information, see Azure Event Hubs Documentation.
  • Überwachungsprotokolle werden in Event Hub derzeit im Text von Apache Avro-Ereignissen erfasst und im JSON-Format mit UTF-8-Codierung gespeichert.Audit logs in Event Hub are captured in the body of Apache Avro events and stored using JSON formatting with UTF-8 encoding. Zum Lesen der Überwachungsprotokolle können Sie Avro Tools oder ähnliche Tools verwenden, die dieses Format verarbeiten können.To read the audit logs, you can use Avro Tools or similar tools that process this format.

Wenn Sie die Überwachungsprotokolle in ein Azure-Speicherkonto schreiben möchten, gibt es mehrere Methoden zum Anzeigen der Protokolle:If you chose to write audit logs to an Azure storage account, there are several methods you can use to view the logs:

Hinweis

Die Überwachung von schreibgeschützten Replikaten wird automatisch aktiviert.Auditing on Read-Only Replicas is automatically enabled. Weitere Informationen zur Hierarchie der Speicherordner, zu Namenskonventionen und zum Protokollformat finden Sie unter Format für SQL-Datenbank-Überwachungsprotokolle.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Überwachungsprotokolle werden in dem Konto aggregiert, das Sie während der Einrichtung ausgewählt haben.Audit logs are aggregated in the account you chose during setup. Sie können Überwachungsprotokolle mithilfe eines Tools wie Azure Storage-Explorer untersuchen.You can explore audit logs by using a tool such as Azure Storage Explorer. In Azure Storage werden Überwachungsprotokolle als Sammlung von Blobdateien in einem Container namens sqldbauditlogs gespeichert.In Azure storage, auditing logs are saved as a collection of blob files within a container named sqldbauditlogs. Weitere Informationen zur Hierarchie der Speicherordner, zu Namenskonventionen und zum Protokollformat finden Sie unter Format für SQL-Datenbank-Überwachungsprotokolle.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Verwenden Sie das Azure-Portal.Use the Azure portal. Öffnen Sie die entsprechende Datenbank.Open the relevant database. Klicken Sie in der Datenbank oben auf der Seite Überwachung auf Überwachungsprotokolle anzeigen.At the top of the database's Auditing page, click View audit logs.

    Navigationsbereich

    Der Bereich Überwachungsdatensätze wird geöffnet, in dem Sie die Protokolle anzeigen können.Audit records opens, from which you'll be able to view the logs.

    • Sie können Protokolle für einen bestimmten Zeitraum anzeigen, indem Sie im oberen Bereich der Seite Überwachungsdatensätze auf Filter klicken.You can view specific dates by clicking Filter at the top of the Audit records page.

    • Sie können zwischen Überwachungsdatensätzen wechseln, die anhand der Serverüberwachungsrichtlinie oder der Datenbanküberwachungsrichtlinie erstellt wurden, indem Sie die Option unter Überwachungsquelle ändern.You can switch between audit records that were created by the server audit policy and the database audit policy by toggling Audit Source.

    • Sie können nur Überwachungsdatensätze zur Einschleusung von SQL-Befehlen anzeigen, indem Sie das Kontrollkästchen Nur Überwachungsdatensätze zur Einschleusung von SQL-Befehlen anzeigen aktivieren.You can view only SQL injection related audit records by checking Show only audit records for SQL injections checkbox.

      Navigationsbereich

  • Verwenden Sie die Systemfunktion sys.fn_get_audit_file (T-SQL), um die Daten der Überwachungsprotokolle im Tabellenformat zurückzugeben.Use the system function sys.fn_get_audit_file (T-SQL) to return the audit log data in tabular format. Weitere Informationen zur Verwendung dieser Funktion finden Sie unter sys.fn_get_audit_file.For more information on using this function, see sys.fn_get_audit_file.

  • Verwenden von Überwachungsdateien zusammenführen in SQL Server Management Studio (ab SSMS 17):Use Merge Audit Files in SQL Server Management Studio (starting with SSMS 17):

    1. Wählen Sie im SSMS-Menü Datei > Öffnen > Überwachungsdateien zusammenführen.From the SSMS menu, select File > Open > Merge Audit Files.

      Navigationsbereich

    2. Das Dialogfeld Überwachungsdateien hinzufügen wird geöffnet.The Add Audit Files dialog box opens. Wählen Sie eine der Optionen zum Hinzufügen aus, um festzulegen, ob die Überwachungsdateien von einem lokalen Datenträger zusammengeführt oder aus Azure Storage importiert werden sollen.Select one of the Add options to choose whether to merge audit files from a local disk or import them from Azure Storage. Sie müssen Ihre Azure Storage-Details und Ihren Kontoschlüssel angeben.You are required to provide your Azure Storage details and account key.

    3. Nachdem Sie alle zusammenzuführenden Dateien hinzugefügt haben, klicken Sie auf OK, um die Zusammenführung abzuschließen.After all files to merge have been added, click OK to complete the merge operation.

    4. Die zusammengeführte Datei wird in SSMS geöffnet. Hier können Sie die Datei anzeigen und analysieren und in eine XEL- oder CSV-Datei oder in eine Tabelle exportieren.The merged file opens in SSMS, where you can view and analyze it, as well as export it to an XEL or CSV file, or to a table.

  • Verwenden Sie Power BI.Use Power BI. Sie können Überwachungsprotokolldateien in Power BI anzeigen und analysieren.You can view and analyze audit log data in Power BI. Weitere Informationen finden Sie unter Analysieren von Überwachungsprotokolldaten in Power BI. Dort können Sie auch auf eine herunterladbare Vorlage zugreifen.For more information and to access a downloadable template, see Analyze audit log data in Power BI.

  • Laden Sie Protokolldateien aus Ihrem Azure Storage-Blobcontainer über das Portal oder mithilfe eines Tools wie Azure Storage-Explorer herunter.Download log files from your Azure Storage blob container via the portal or by using a tool such as Azure Storage Explorer.

    • Nachdem Sie die Protokolldatei lokal heruntergeladen haben, können Sie auf die Datei doppelklicken, um die Protokolle in SSMS zu öffnen, anzuzeigen und zu analysieren.After you have downloaded a log file locally, double-click the file to open, view, and analyze the logs in SSMS.
    • Sie können mit dem Azure Storage-Explorer auch mehrere Dateien gleichzeitig herunterladen.You can also download multiple files simultaneously via Azure Storage Explorer. Klicken Sie dazu mit der rechten Maustaste auf einen bestimmten Unterordner, und wählen Sie Speichern unter aus, um die Dateien in einem lokalen Ordner zu speichern.To do so, right-click a specific subfolder and select Save as to save in a local folder.
  • Weitere Methoden:Additional methods:

    • Nach dem Herunterladen mehrerer Dateien oder eines Unterordners, der Protokolldateien enthält, können Sie die Dateien lokal zusammenführen, wie in den Anweisungen weiter oben für das Zusammenführen von Überwachungsdateien in SSMS beschrieben.After downloading several files or a subfolder that contains log files, you can merge them locally as described in the SSMS Merge Audit Files instructions described previously.

    • Programmgesteuertes Anzeigen von Blobüberwachungsprotokollen:View blob auditing logs programmatically:

ProduktionsverfahrenProduction practices

Überwachung von georeplizierten DatenbankenAuditing geo-replicated databases

Wenn Sie bei georeplizierten Datenbanken die Überwachung für die primäre Datenbank aktivieren, verfügt die sekundäre Datenbank über eine identische Überwachungsrichtlinie.With geo-replicated databases, when you enable auditing on the primary database the secondary database will have an identical auditing policy. Es ist auch möglich, die Überwachung für die sekundäre Datenbank einzurichten, indem Sie die Überwachung auf dem sekundären Server unabhängig von der primären Datenbank aktivieren.It is also possible to set up auditing on the secondary database by enabling auditing on the secondary server, independently from the primary database.

  • Auf Serverebene (empfohlen): Aktivieren Sie die Überwachung sowohl auf dem primären Server als auch auf dem sekundären Server. Dadurch werden die primäre und die sekundäre Datenbank jeweils unabhängig voneinander anhand der jeweiligen Richtlinie auf Serverebene überwacht.Server-level (recommended): Turn on auditing on both the primary server as well as the secondary server - the primary and secondary databases will each be audited independently based on their respective server-level policy.
  • Auf Datenbankebene: Die Überwachung auf Datenbankebene kann für sekundäre Datenbanken nur über die Überwachungseinstellungen der primären Datenbank konfiguriert werden.Database-level: Database-level auditing for secondary databases can only be configured from Primary database auditing settings.
    • Die Überwachung muss in der primären Datenbank selbst aktiviert werden, nicht auf dem Server.Auditing must be enabled on the primary database itself, not the server.

    • Nachdem die Überwachung in der primären Datenbank aktiviert wurde, wird sie auch in der sekundären Datenbank aktiv.After auditing is enabled on the primary database, it will also become enabled on the secondary database.

      Wichtig

      Bei der Überwachung auf Datenbankebene sind die Speichereinstellungen für die sekundäre Datenbank identisch mit den Einstellungen der primären Datenbank, wodurch regionsübergreifender Datenverkehr generiert wird.With database-level auditing, the storage settings for the secondary database will be identical to those of the primary database, causing cross-regional traffic. Es wird empfohlen, die Überwachung nur auf Serverebene zu aktivieren und die Überwachung auf Datenbankebene für alle Datenbanken deaktiviert zu lassen.We recommend that you enable only server-level auditing, and leave the database-level auditing disabled for all databases.

Erneute SpeicherschlüsselgenerierungStorage key regeneration

In einer Produktionsumgebung werden Sie Ihre Speicherschlüssel wahrscheinlich regelmäßig aktualisieren.In production, you are likely to refresh your storage keys periodically. Wenn Sie Überwachungsprotokolle in Azure Storage schreiben, müssen Sie Ihre Überwachungsrichtlinie neu speichern, wenn Sie die Schlüssel aktualisieren.When writing audit logs to Azure storage, you need to resave your auditing policy when refreshing your keys. Der Prozess sieht folgendermaßen aus:The process is as follows:

  1. Öffnen Sie Speicherdetails.Open Storage Details. Wählen Sie im Feld Speicherzugriffsschlüssel die Option Sekundär aus, und klicken Sie dann auf OK.In the Storage Access Key box, select Secondary, and click OK. Klicken Sie anschließend oben auf der Seite für die Überwachungskonfiguration auf Speichern.Then click Save at the top of the auditing configuration page.

    Navigationsbereich

  2. Wechseln Sie zur Seite für die Speicherkonfiguration, und generieren Sie erneut den primären Zugriffsschlüssel.Go to the storage configuration page and regenerate the primary access key.

    Navigationsbereich

  3. Wechseln Sie zurück zur Seite für die Überwachungskonfiguration, ändern Sie den Speicherzugriffsschlüssel von „Sekundär“ in „Primär“, und klicken Sie dann auf OK.Go back to the auditing configuration page, switch the storage access key from secondary to primary, and then click OK. Klicken Sie anschließend oben auf der Seite für die Überwachungskonfiguration auf Speichern.Then click Save at the top of the auditing configuration page.

  4. Wechseln Sie wieder zurück zur Seite für die Speicherkonfiguration, und generieren Sie den sekundären Zugriffsschlüssel erneut (in Vorbereitung auf den nächsten Schlüsselaktualisierungszyklus).Go back to the storage configuration page and regenerate the secondary access key (in preparation for the next key's refresh cycle).

Zusätzliche InformationenAdditional Information

  • Informationen zum Protokollformat, zur Hierarchie des Speicherordners und zu Namenskonventionen finden Sie in der Formatreferenz für Blobüberwachungsprotokolle.For details about the log format, hierarchy of the storage folder and naming conventions, see the Blob Audit Log Format Reference.

    Wichtig

    Die Azure SQL-Datenbank-Überwachung speichert 4.000 Datenzeichen für Zeichenfelder in einem Überwachungsdatensatz.Azure SQL Database Audit stores 4000 characters of data for character fields in an audit record. Wenn der von einer überwachbaren Aktion zurückgegebene Wert statement oder data_sensitivity_information mehr als 4000 Zeichen enthält, werden alle Daten über die ersten 4000 Zeichen hinaus abgeschnitten und nicht überwacht.When the statement or the data_sensitivity_information values returned from an auditable action contain more than 4000 characters, any data beyond the first 4000 characters will be truncated and not audited.

  • Überwachungsprotokolle werden in Ihrem Azure-Abonnement als Anfügeblobs in Azure Blob Storage geschrieben:Audit logs are written to Append Blobs in an Azure Blob storage on your Azure subscription:

    • Bei Storage Premium werden Anfügeblobs derzeit nicht unterstützt.Premium Storage is currently not supported by Append Blobs.
    • Die Speicherung in VNET wird derzeit nicht unterstützt.Storage in VNet is currently not supported.
  • Die Standardüberwachungsrichtlinie enthält alle Aktionen sowie den folgenden Satz von Aktionsgruppen, mit denen alle Abfragen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlerhafte Anmeldungen überwacht werden:The default auditing policy includes all actions and the following set of action groups, which will audit all the queries and stored procedures executed against the database, as well as successful and failed logins:

    BATCH_COMPLETED_GROUPBATCH_COMPLETED_GROUP
    SUCCESSFUL_DATABASE_AUTHENTICATION_GROUPSUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
    FAILED_DATABASE_AUTHENTICATION_GROUPFAILED_DATABASE_AUTHENTICATION_GROUP

    Sie können die Überwachung für verschiedene Arten von Aktionen und Aktionsgruppen mithilfe von PowerShell konfigurieren, wie im Abschnitt Verwalten der Überwachung von SQL-Datenbank mithilfe von Azure PowerShell beschrieben.You can configure auditing for different types of actions and action groups using PowerShell, as described in the Manage SQL database auditing using Azure PowerShell section.

  • Wenn Sie die AAD-Authentifizierung verwenden, werden Datensätze zu Fehlern bei Anmeldungen im SQL-Überwachungsprotokoll nicht angezeigt.When using AAD Authentication, failed logins records will not appear in the SQL audit log. Um Überwachungsdatensätze zu Fehlern bei der Anmeldung anzuzeigen, müssen Sie das Azure Active Directory-Portal verwenden, in dem Details zu diesen Ereignissen protokolliert werden.To view failed login audit records, you need to visit the Azure Active Directory portal, which logs details of these events.

  • Die Überwachung in Azure SQL-Datenbank ist für Verfügbarkeit und Leistung optimiert.Azure SQL Database auditing is optimized for availability & performance. Bei sehr hoher Aktivität erlaubt Azure SQL-Datenbank, dass Vorgänge fortgesetzt werden, und einige überwachte Ereignisse werden dabei möglicherweise nicht gespeichert.During very high activity Azure SQL Database allows operations to proceed and may not record some audited events.

  • Wenn Sie eine unveränderliche Überwachung konfigurieren möchten, finden Sie unter Zulassen von Schreibvorgängen in geschützten Anfügeblobs weitere Informationen.For configuring Immutable Auditing on storage account, see Allow protected append blobs writes. Der Name des Containers für die Überwachung lautet sqldbauditlogs.Please note that the container name for Auditing is sqldbauditlogs.

    Wichtig

    Die Einstellung zum Zulassen von Schreibvorgängen in geschützten Anfügeblobs unter „Zeitbasierte Aufbewahrung“ ist derzeit nur in den folgenden Regionen verfügbar:The allow protected append blobs writes setting under time-based retention is currently available and visible only in the following regions:

    • East USEast US
    • USA Süd MitteSouth Central US
    • USA, Westen 2West US 2

Verwalten der Überwachung von Azure SQL Server und Azure SQL-Datenbank mithilfe von Azure PowerShellManage Azure SQL Server and Database auditing using Azure PowerShell

PowerShell-Cmdlets (einschließlich Unterstützung der WHERE-Klausel für zusätzliche Filterung) :PowerShell cmdlets (including WHERE clause support for additional filtering):

Ein Skriptbeispiel finden Sie unter Konfigurieren von Überwachung von SQL-Datenbank und Bedrohungserkennung mit PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Verwalten der Überwachung von Azure SQL Server und Azure SQL-Datenbank mithilfe der REST-APIManage Azure SQL Server and Database auditing using REST API

REST-API:REST API:

Erweiterte Richtlinie mit Unterstützung der WHERE-Klausel für zusätzliche Filterung:Extended policy with WHERE clause support for additional filtering:

Verwalten der Überwachung von Azure SQL Server und Azure SQL-Datenbank mit Azure Resource Manager-VorlagenManage Azure SQL Server and Database auditing using Azure Resource Manager templates

Sie können die Überwachung von Azure SQL-Datenbank mithilfe von Azure Resource Manager-Vorlagen verwalten, wie die folgenden Beispiele zeigen:You can manage Azure SQL database auditing using Azure Resource Manager templates, as shown in these examples:

Hinweis

Die verknüpften Beispiele befinden sich in einem externen öffentlichen Repository und werden wie besehen ohne Gewähr zur Verfügung gestellt und werden von keinem Microsoft-Supportprogramm/-dienst unterstützt.The linked samples are on an external public repository and are provided 'as is', without warranty, and are not supported under any Microsoft support program/service.