Bien démarrer avec l’audit de bases de données SQLGet started with SQL database auditing

L’audit pour Azure SQL Database et SQL Data Warehouse suit les événements de base de données et les écrit dans un journal d’audit dans votre compte de stockage Azure, votre espace de travail Log Analytics ou Event Hubs.Auditing for Azure SQL Database and SQL Data Warehouse tracks database events and writes them to an audit log in your Azure storage account, Log Analytics workspace or Event Hubs. Par ailleurs, l’audit :Auditing also:

  • peut vous aider à respecter une conformité réglementaire, à comprendre l’activité de la base de données ainsi qu’à découvrir des discordances et anomalies susceptibles d’indiquer des problèmes pour l’entreprise ou des violations de la sécurité ;Helps you maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.

  • permet et facilite le respect de normes de conformité, même s’il ne garantit pas cette conformité.Enables and facilitates adherence to compliance standards, although it doesn't guarantee compliance. Pour plus d’informations sur les programmes Azure qui prennent en charge la conformité aux normes, consultez le Centre de confidentialité Azure où vous trouverez la liste actualisée des certifications de conformité SQL Database.For more information about Azure programs that support standards compliance, see the Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Notes

Cette rubrique s’applique à un serveur SQL Azure et aux bases de données SQL Database et SQL Data Warehouse créées sur le serveur SQL Azure.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Par souci de simplicité, la base de données SQL est utilisée pour faire référence à SQL Database et SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Notes

Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.See Azure Monitor terminology changes for details.

Vue d’ensemble de l’audit de bases de données Azure SQLAzure SQL database auditing overview

Vous pouvez utiliser l’audit de bases de données SQL pour :You can use SQL database auditing to:

  • La rétention d’une piste d’audit d’événements sélectionnés.Retain an audit trail of selected events. Définissez les catégories d'actions et d'événements de base de données à auditer.You can define categories of database actions to be audited.
  • La génération de rapports sur les activités de la base de données.Report on database activity. Vous pouvez utiliser des rapports préconfigurés et un tableau de bord pour une prise en main rapide de la génération de rapports d’activités et d’événements.You can use pre-configured reports and a dashboard to get started quickly with activity and event reporting.
  • L'analyse des rapports.Analyze reports. Vous pouvez repérer les événements suspects, les activités inhabituelles et les tendances.You can find suspicious events, unusual activity, and trends.

Important

Les journaux d’audit sont écrits dans des Blobs d’ajout dans un stockage blob Azure avec votre abonnement Azure.Audit logs are written to Append Blobs in Azure Blob storage on your Azure subscription.

  • Tous les types de stockage (v1, v2, blob) sont pris en charge.All storage kinds (v1, v2, blob) are supported.
  • Toutes les configurations de réplication de stockage sont prises en charge.All storage replication configurations are supported.
  • Le stockage Premium n'est actuellement pas pris en charge.Premium storage is currently not supported.
  • Le stockage dans un réseau virtuel n’est actuellement pas pris en charge.Storage in VNet is currently not supported.
  • Le stockage derrière un pare-feu n’est actuellement pas pris en charge.Storage behind a Firewall is currently not supported.
  • L’espace de noms hiérarchique pour un compte de stockage Azure Data Lake Storage Gen2 n’est actuellement pas pris en charge.Hierarchical namespace for Azure Data Lake Storage Gen2 storage account is currently not supported.

Définir une stratégie d’audit au niveau du serveur ou au niveau de la base de donnéesDefine server-level vs. database-level auditing policy

Une stratégie d’audit peut être définie pour une base de données spécifique ou en tant que stratégie de serveur par défaut :An auditing policy can be defined for a specific database or as a default server policy:

  • Une stratégie de serveur s’applique aux bases de données existantes et à celles qui sont nouvellement créées sur le serveur.A server policy applies to all existing and newly created databases on the server.

  • Si l’audit d’objets blob serveur est activé, il s’applique toujours à la base de données.If server blob auditing is enabled, it always applies to the database. La base de données est auditée, quels que soient les paramètres d’audit de la base de données.The database will be audited, regardless of the database auditing settings.

  • L’activation de l’audit d’objets blob dans la base de données ou l’entrepôt de données, en plus de son activation sur le serveur, ne remplace pas et ne modifie pas non plus les paramètres de l’audit d’objets blob serveur.Enabling blob auditing on the database or data warehouse, in addition to enabling it on the server, does not override or change any of the settings of the server blob auditing. Les deux audits coexistent.Both audits will exist side by side. En d’autres termes, la base de données est auditée deux fois en parallèle (une fois par la stratégie du serveur et une autre fois par la stratégie de la base de données).In other words, the database is audited twice in parallel; once by the server policy and once by the database policy.

    Notes

    Vous devez éviter d’activer à la fois l’audit d’objets blob du serveur et l’audit d’objets blob de la base de données, sauf si :You should avoid enabling both server blob auditing and database blob auditing together, unless:

    • Vous voulez utiliser un autre compte de stockage ou une autre période de rétention pour une base de données spécifique.You want to use a different storage account or retention period for a specific database.
    • Vous souhaitez auditer des types ou des catégories d’événements pour une base de données qui sont différents de ceux qui sont audités pour les autres bases de données du serveur.You want to audit event types or categories for a specific database that differ from the rest of the databases on the server. Par exemple, il est possible que des insertions de table doivent être auditées uniquement pour une base de données spécifique.For example, you might have table inserts that need to be audited only for a specific database.

    Sinon, nous vous recommandons d’activer uniquement l’audit d’objets blob au niveau du serveur et de laisser l’audit au niveau de la base de données désactivé pour toutes les bases de données.Otherwise, we recommended that you enable only server-level blob auditing and leave the database-level auditing disabled for all databases.

Configuration de l’audit pour votre base de donnéesSet up auditing for your database

La section suivante décrit la configuration de l’audit à l’aide du portail Azure.The following section describes the configuration of auditing using the Azure portal.

  1. Accédez au portail Azure.Go to the Azure portal.

  2. Accédez à Audit sous l’en-tête Sécurité dans votre volet de serveur/base de données SQL.Navigate to Auditing under the Security heading in your SQL database/server pane.

    Volet de navigationNavigation pane

  3. Si vous préférez définir une stratégie d’audit de serveur, vous pouvez sélectionner le lien Afficher les paramètres du serveur dans la page d’audit de la base de données.If you prefer to set up a server auditing policy, you can select the View server settings link on the database auditing page. Vous pouvez alors afficher ou modifier les paramètres d’audit du serveur.You can then view or modify the server auditing settings. Les stratégies d’audit de serveur s’appliquent aux bases de données existantes et à celles qui sont nouvellement créées sur le serveur.Server auditing policies apply to all existing and newly created databases on this server.

    Volet de navigation

  4. Si vous préférez activer l’audit au niveau base de données, définissez Audit sur ACTIVÉ.If you prefer to enable auditing on the database level, switch Auditing to ON.

    Si l’audit d’objets du serveur est activé, l’audit configuré pour la base de données coexiste avec celui-ci.If server auditing is enabled, the database-configured audit will exist side-by-side with the server audit.

    Volet de navigation

  5. Nouveau : Vous disposez désormais de plusieurs options pour configurer l’emplacement d’écriture des journaux d’audit.New - You now have multiple options for configuring where audit logs will be written. Vous pouvez écrire des journaux d’activité dans un compte de stockage Azure ou dans un espace de travail Log Analytics pour qu’ils soient consommés par des journaux Azure Monitor, ou dans un hub d’événements pour qu’ils soient consommés par ce hub.You can write logs to an Azure storage account, to a Log Analytics workspace for consumption by Azure Monitor logs, or to event hub for consumption using event hub. Vous pouvez associer ces options comme vous le souhaitez. Les journaux d’audit seront écrits dans chacun des emplacements choisis.You can configure any combination of these options, and audit logs will be written to each.

    Avertissement

    L’activation de l’audit sur Log Analytics implique des frais selon les taux d’ingestion.Enabling auditing to Log Analytics will incur cost based on ingestion rates. Notez le coût associé à l’utilisation de cette option, ou envisagez de stocker les journaux d’audit dans un compte de stockage Azure.Please be aware of the associated cost with using this option, or consider storing the audit logs in an Azure storage account.

    Options de stockage

  6. Pour configurer l’écriture des journaux d’audit dans un compte de stockage, sélectionnez Stockage, puis ouvrez Détails du stockage.To configure writing audit logs to a storage account, select Storage and open Storage details. Sélectionnez le compte de stockage Azure dans lequel les journaux d’activité seront enregistrés, puis sélectionnez la période de rétention.Select the Azure storage account where logs will be saved, and then select the retention period. Les anciens journaux d’activité seront supprimés.The old logs will be deleted. Cliquez ensuite sur OK.Then click OK.

    Important

    • La valeur par défaut de la période de conservation est 0 (conservation illimitée).The default value for retention period is 0 (unlimited retention). Vous pouvez changer cette valeur en déplaçant le curseur Rétention (jours) dans Paramètres de stockage lors de la configuration du compte de stockage à des fins d’audit.You can change this value by moving the Retention (Days) slider in Storage settings when configuring the storage account for auditing.
    • Si vous remplacez la valeur 0 de la période de rétention (rétention illimitée) par une autre valeur, notez que la rétention s’appliquera uniquement aux journaux écrits après la modification de la valeur de rétention (les journaux écrits au cours de la période pendant laquelle la rétention était définie sur illimité sont conservés, même après activation de la rétention)If you change retention period from 0 (unlimited retention) to any other value, please note that retention will only apply to logs written after retention value was changed (logs written during the period when retention was set to unlimited are preserved, even after retention is enabled)

    compte de stockage

  7. Pour configurer l’écriture des journaux d’audit dans un espace de travail Log Analytics, sélectionnez Log Analytics (préversion) , puis ouvrez Détails de Log Analytics.To configure writing audit logs to a Log Analytics workspace, select Log Analytics (Preview) and open Log Analytics details. Sélectionnez ou créez l’espace de travail Log Analytics où les journaux d’activité doivent être écrits, puis cliquez sur OK.Select or create the Log Analytics workspace where logs will be written and then click OK.

    Espace de travail Log Analytics

  8. Pour configurer l’écriture des journaux d’audit dans un hub d’événements, sélectionnez Hub d’événements (préversion) , puis ouvrez Détails du hub d’événements.To configure writing audit logs to an event hub, select Event Hub (Preview) and open Event Hub details. Sélectionnez le hub d’événements dans lequel les journaux d’activité doivent être écrits, puis cliquez sur OK.Select the event hub where logs will be written and then click OK. Veillez à ce que le hub d’événements se trouve dans la même région que votre base de données et votre serveur.Be sure that the event hub is in the same region as your database and server.

    Event Hub

  9. Cliquez sur Enregistrer.Click Save.

  10. Si vous souhaitez personnaliser les événements audités, vous pouvez le faire avec des applets de commande PowerShell ou l’API REST.If you want to customize the audited events, you can do this via PowerShell cmdlets or the REST API.

  11. Une fois que vous avez configuré vos paramètres d’audit, vous pouvez activer la nouvelle fonctionnalité de détection des menaces et configurer les adresses e-mail de réception des alertes de sécurité.After you've configured your auditing settings, you can turn on the new threat detection feature and configure emails to receive security alerts. La détection des menaces vous permet de recevoir des alertes proactives sur des activités anormales de la base de données qui peuvent indiquer des menaces de sécurité potentielles.When you use threat detection, you receive proactive alerts on anomalous database activities that can indicate potential security threats. Pour plus d’informations, consultez Bien démarrer avec la détection des menaces.For more information, see Getting started with threat detection.

Important

L’activation de l’audit sur un Azure SQL Data Warehouse interrompu est impossible.Enabling auditing on an paused Azure SQL Data Warehouse is not possible. Pour l’activer, annulez l’interruption de l’entrepôt de données.To enable it, un-pause the Data Warehouse.

Avertissement

L’activation de l’audit sur un serveur avec un entrepôt Azure SQL Data Warehouse, entraîne la reprise de l’entrepôt Data Warehouse, même s’il avait précédemment été interrompu, ce qui peut entraîner des frais de facturation.Enabling auditing on a server that has an Azure SQL Data Warehouse on it will result in the Data Warehouse being resumed and re-paused again which may incur in billing charges.

Analyse des journaux et des rapports d’auditAnalyze audit logs and reports

Si vous avez choisi d’écrire les journaux d’audit dans des journaux Azure Monitor :If you chose to write audit logs to Azure Monitor logs:

  • Utilisez le portail Azure.Use the Azure portal. Ouvrez la base de données appropriée.Open the relevant database. En haut de la page Audit de la base de données, cliquez sur Afficher les journaux d’audit.At the top of the database's Auditing page, click View audit logs.

    Afficher les journaux d’audit

  • Ensuite, vous avez deux façons d’afficher les journaux :Then, you have two ways to view the logs:

    Cliquez sur Log Analytics en haut de la page Enregistrements d’audit pour ouvrir la vue Journaux d’activité dans l’espace de travail Log Analytics, où vous pouvez personnaliser la plage de temps et la requête de recherche.Clicking on Log Analytics at the top of the Audit records page will open the Logs view in Log Analytics workspace, where you can customize the time range and the search query.

    ouvrir dans l’espace de travail Log Analytics

    Cliquer sur Afficher le tableau de bord en haut de la page Enregistrements d’audit ouvre un tableau de bord affichant les informations des journaux d’audit, dans lequel vous pouvez accéder aux insights de sécurité, l’accès aux données sensibles et plus encore.Clicking View dashboard at the top of the Audit records page will open a dashboard displaying audit logs info, where you can drill down into Security Insights, Access to Sensitive Data and more. Ce tableau de bord est conçu pour vous aider à obtenir des Insights sur la sécurité de vos données.This dashboard is designed to help you gain security insights for your data. Vous pouvez également personnaliser l’intervalle de temps et la requête de recherche.You can also customize the time range and search query. Afficher le tableau de bord Log AnalyticsView Log Analytics Dashboard

    Tableau de bord Log Analytics

    Insights sur la sécurité Log Analytics

  • Vous pouvez également accéder aux journaux d’audit à partir du panneau Log Analytics.Alternatively, you can also access the audit logs from Log Analytics blade. Ouvrez votre espace de travail Log Analytics, puis, dans la section Général, cliquez sur Journaux d’activité.Open your Log Analytics workspace and under General section, click Logs. Vous pouvez démarrer par une requête simple, telle que : search "SQLSecurityAuditEvents" pour afficher les journaux d’audit.You can start with a simple query, such as: search "SQLSecurityAuditEvents" to view the audit logs. Vous pouvez également utiliser les journaux Azure Monitor pour exécuter des recherches avancées sur les données de votre journal d’audit.From here, you can also use Azure Monitor logs to run advanced searches on your audit log data. Les journaux Azure Monitor vous donnent des insights opérationnels en temps réel à l’aide d’une recherche intégrée et de tableaux de bord personnalisés permettant d’analyser facilement des millions d’enregistrements dans l’ensemble de vos charges de travail et serveurs.Azure Monitor logs gives you real-time operational insights using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers. Pour plus d’informations utiles sur le langage et les commandes de recherche des journaux Azure Monitor, consultez Informations de référence sur la recherche dans les journaux Azure Monitor.For additional useful information about Azure Monitor logs search language and commands, see Azure Monitor logs search reference.

Si vous avez choisi d’écrire les journaux d’audit dans un hub d’événements :If you chose to write audit logs to Event Hub:

  • Pour utiliser les données des journaux d’audit à partir d’un hub d’événements, vous devez configurer un flux de données destiné à consommer les événements et à les écrire dans une cible.To consume audit logs data from Event Hub, you will need to set up a stream to consume events and write them to a target. Pour plus d’informations, consultez la documentation Azure Event Hubs.For more information, see Azure Event Hubs Documentation.
  • Les journaux d’audit d’Event Hub sont capturés dans le corps d’événements Apache Avro et stockés en format JSON avec l’encodage UTF-8.Audit logs in Event Hub are captured in the body of Apache Avro events and stored using JSON formatting with UTF-8 encoding. Pour lire les journaux d’audit, vous pouvez utiliser les outils Avro ou des outils similaires qui traitent ce format.To read the audit logs, you can use Avro Tools or similar tools that process this format.

Si vous choisissez d’écrire les journaux d’audit dans un compte de stockage Azure, plusieurs méthodes existent pour afficher les journaux d’activité :If you chose to write audit logs to an Azure storage account, there are several methods you can use to view the logs:

Notes

L’audit sur les réplicas en lecture seule est activé automatiquement.Auditing on Read-Only Replicas is automatically enabled. Pour plus d’informations sur la hiérarchie des dossiers de stockage, sur les conventions de nommage et sur le format des journaux, consultez la documentation relative au Format des journaux d’audit SQL Database.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Les journaux d’audit sont agrégés dans le compte choisi lors de la configuration.Audit logs are aggregated in the account you chose during setup. Vous pouvez explorer les journaux d’audit avec un outil comme l’Explorateur de stockage Azure.You can explore audit logs by using a tool such as Azure Storage Explorer. Dans le stockage Azure, les journaux d’activité d’audit sont enregistrés sous la forme d’une collection de fichiers d’objets blob dans un conteneur nommé sqldbauditlogs.In Azure storage, auditing logs are saved as a collection of blob files within a container named sqldbauditlogs. Pour plus d’informations sur la hiérarchie des dossiers de stockage, sur les conventions de nommage et sur le format des journaux, consultez la documentation relative au Format des journaux d’audit SQL Database.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Utilisez le portail Azure.Use the Azure portal. Ouvrez la base de données appropriée.Open the relevant database. En haut de la page Audit de la base de données, cliquez sur Afficher les journaux d’audit.At the top of the database's Auditing page, click View audit logs.

    Volet de navigation

    La page Enregistrements d’audit s’ouvre et vous y voyez les journaux d’activité.Audit records opens, from which you'll be able to view the logs.

    • Vous pouvez afficher des dates spécifiques en cliquant sur Filtrer en haut de la page Enregistrements d’audit.You can view specific dates by clicking Filter at the top of the Audit records page.

    • Vous pouvez basculer entre les enregistrements d’audit qui ont été créés par la stratégie d’audit de serveur et la stratégie d’audit de base de données en choisissant la Source de l’audit.You can switch between audit records that were created by the server audit policy and the database audit policy by toggling Audit Source.

    • Vous pouvez afficher uniquement les enregistrements d’audit liés aux injections SQL en cochant la case Afficher uniquement les enregistrements d’audit pour les injections SQL.You can view only SQL injection related audit records by checking Show only audit records for SQL injections checkbox.

      Volet de navigation

  • Utilisez la fonction système sys.fn_get_audit_file (T-SQL) pour retourner les données du journal d’audit sous un format tabulaire.Use the system function sys.fn_get_audit_file (T-SQL) to return the audit log data in tabular format. Pour plus d’informations sur l’utilisation de cette fonction, consultez sys.fn_get_audit_file.For more information on using this function, see sys.fn_get_audit_file.

  • Utilisez Fusionner les fichiers d’audit dans SQL Server Management Studio (à partir de SSMS 17) :Use Merge Audit Files in SQL Server Management Studio (starting with SSMS 17):

    1. Dans le menu SSMS, sélectionnez Fichier > Ouvrir > Fusionner les fichiers d’audit.From the SSMS menu, select File > Open > Merge Audit Files.

      Volet de navigation

    2. La boîte de dialogue Ajouter des fichiers d’audit s’ouvre.The Add Audit Files dialog box opens. Sélectionnez l’une des options Ajouter pour choisir de fusionner les fichiers d’audit à partir d’un disque local ou de les importer à partir du stockage Azure.Select one of the Add options to choose whether to merge audit files from a local disk or import them from Azure Storage. Vous devrez fournir vos informations de stockage Azure et la clé de compte.You are required to provide your Azure Storage details and account key.

    3. Une fois que tous les fichiers à fusionner ont été ajoutés, cliquez sur OK pour terminer l’opération de fusion.After all files to merge have been added, click OK to complete the merge operation.

    4. Le fichier fusionné s’ouvre dans SSMS, où vous pouvez l’afficher et l’analyser, ainsi que l’exporter vers un fichier XEL ou CSV, ou vers une table.The merged file opens in SSMS, where you can view and analyze it, as well as export it to an XEL or CSV file, or to a table.

  • Utilisez Power BI.Use Power BI. Vous pouvez afficher et analyser les données du journal d’audit dans Power BI.You can view and analyze audit log data in Power BI. Pour plus d’informations et pour accéder à un modèle téléchargeable, consultez Analyze audit log data in Power BI (Analyser les données des journaux d’audit dans Power BI).For more information and to access a downloadable template, see Analyze audit log data in Power BI.

  • Téléchargez les fichiers journaux à partir de votre conteneur Azure Storage Blob via le portail ou avec un outil comme l’Explorateur de stockage Azure.Download log files from your Azure Storage blob container via the portal or by using a tool such as Azure Storage Explorer.

    • Une fois que vous avez téléchargé localement un fichier journal, double-cliquez sur le fichier pour ouvrir, afficher et analyser les journaux d’activité dans SSMS.After you have downloaded a log file locally, double-click the file to open, view, and analyze the logs in SSMS.
    • Vous pouvez également télécharger plusieurs fichiers simultanément avec l’Explorateur de stockage Azure.You can also download multiple files simultaneously via Azure Storage Explorer. Pour cela, cliquez avec le bouton droit sur un sous-dossier, puis sélectionnez Enregistrer en tant que pour l’enregistrer dans un dossier local.To do so, right-click a specific subfolder and select Save as to save in a local folder.
  • Autres méthodes :Additional methods:

    • Après avoir téléchargé plusieurs fichiers (ou un sous-dossier contenant des fichiers journaux), vous pouvez les fusionner localement en suivant les instructions relatives à l’option Fusionner les fichiers d’audit dans SSMS, décrites précédemment.After downloading several files or a subfolder that contains log files, you can merge them locally as described in the SSMS Merge Audit Files instructions described previously.

    • Affichez des journaux d’activité d’audit d’objets blob par programmation :View blob auditing logs programmatically:

Pratiques de productionProduction practices

Audit des bases de données géorépliquéesAuditing geo-replicated databases

Avec les bases de données géorépliquées, lorsque vous activez l’audit dans la base de données primaire, la même stratégie d’audit est appliquée à la base de données secondaire.With geo-replicated databases, when you enable auditing on the primary database the secondary database will have an identical auditing policy. Il est également possible de configurer l’audit dans la base de données secondaire en activant l’audit dans le serveur secondaire, indépendamment de la base de données primaire.It is also possible to set up auditing on the secondary database by enabling auditing on the secondary server, independently from the primary database.

  • Au niveau du serveur (recommandé) : activez l’audit sur le serveur principal et le serveur secondaire. Les bases de données primaire et secondaire sont auditées, indépendamment l’une de l’autre, en fonction de leur stratégie de niveau serveur respective.Server-level (recommended): Turn on auditing on both the primary server as well as the secondary server - the primary and secondary databases will each be audited independently based on their respective server-level policy.
  • Au niveau de la base de données : l’audit au niveau de la base de données ne peut être configuré pour les bases de données secondaires qu’à partir des paramètres d’audit de la base de données primaire.Database-level: Database-level auditing for secondary databases can only be configured from Primary database auditing settings.
    • L’audit doit être activé sur la base de données primaire elle-même, et non pas sur le serveur.Auditing must be enabled on the primary database itself, not the server.

    • Une fois que l’audit est activé sur la base de données primaire, il est également activé sur la base de données secondaire.After auditing is enabled on the primary database, it will also become enabled on the secondary database.

      Important

      Avec l’audit au niveau de la base de données, les paramètres de stockage de la base de données secondaire sont identiques à ceux de la base de données primaire, ce qui entraîne un trafic entre régions.With database-level auditing, the storage settings for the secondary database will be identical to those of the primary database, causing cross-regional traffic. Il est conseillé d’activer uniquement l’audit d’objets blob au niveau du serveur et de laisser l’audit au niveau de la base de données désactivé pour toutes les bases de données.We recommend that you enable only server-level auditing, and leave the database-level auditing disabled for all databases.

Régénération des clés de stockageStorage key regeneration

Dans un environnement de production, vous allez probablement actualiser périodiquement vos clés de stockage.In production, you are likely to refresh your storage keys periodically. Si vous écrivez les journaux d’audit dans le stockage Azure, vous devez réenregistrer votre stratégie d’audit lors de l’actualisation de vos clés.When writing audit logs to Azure storage, you need to resave your auditing policy when refreshing your keys. Pour ce faire, procédez comme suit :The process is as follows:

  1. Ouvrez Détails du stockage.Open Storage Details. Dans la zone Clé d’accès de stockage, sélectionnez Secondaire, puis cliquez sur OK.In the Storage Access Key box, select Secondary, and click OK. Cliquez ensuite sur Enregistrer en haut de la page de configuration de l’audit.Then click Save at the top of the auditing configuration page.

    Volet de navigation

  2. Accédez à la page de configuration du stockage, puis regénérez la clé d’accès primaire.Go to the storage configuration page and regenerate the primary access key.

    Volet de navigation

  3. Revenez à la page de configuration de l’audit, remplacez la clé d’accès de stockage secondaire par la clé primaire, puis cliquez sur OK.Go back to the auditing configuration page, switch the storage access key from secondary to primary, and then click OK. Cliquez ensuite sur Enregistrer en haut de la page de configuration de l’audit.Then click Save at the top of the auditing configuration page.

  4. Revenez à la page de configuration du stockage, puis regénérez la clé d’accès secondaire (en préparation du cycle suivant d’actualisation des clés).Go back to the storage configuration page and regenerate the secondary access key (in preparation for the next key's refresh cycle).

Informations supplémentairesAdditional Information

  • Pour plus d’informations sur le format du journal, la hiérarchie du dossier de stockage et les conventions d’affectation de nom,consultez le document de référence sur le format des journaux d’audit d’objets blob.For details about the log format, hierarchy of the storage folder and naming conventions, see the Blob Audit Log Format Reference.

    Important

    L’audit Azure SQL Database stocke 4 000 caractères de données pour des champs de caractères dans un enregistrement d’audit.Azure SQL Database Audit stores 4000 characters of data for character fields in an audit record. Lorsque l’instruction ou les valeurs data_sensitivity_information retournées à partir d’une action pouvant être auditée contiennent plus de 4 000 caractères, toutes les données au-delà des 4 000 premiers caractères sont tronquées et ne sont pas auditées.When the statement or the data_sensitivity_information values returned from an auditable action contain more than 4000 characters, any data beyond the first 4000 characters will be truncated and not audited.

  • Les journaux d’audit sont écrits dans des Blobs d’ajout dans un stockage Blob Azure avec votre abonnement Azure :Audit logs are written to Append Blobs in an Azure Blob storage on your Azure subscription:

    • Stockage Premium n’est actuellement pas pris en charge par l’ajout d’objets blob.Premium Storage is currently not supported by Append Blobs.
    • Le stockage dans un réseau virtuel n’est actuellement pas pris en charge.Storage in VNet is currently not supported.
  • La stratégie d’audit par défaut inclut toutes les actions et l’ensemble suivant de groupes d’actions, qui feront l’audit de toutes les requêtes et procédures stockées exécutées sur la base de données, ainsi que des connexions réussies et échouées :The default auditing policy includes all actions and the following set of action groups, which will audit all the queries and stored procedures executed against the database, as well as successful and failed logins:

    BATCH_COMPLETED_GROUPBATCH_COMPLETED_GROUP
    SUCCESSFUL_DATABASE_AUTHENTICATION_GROUPSUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
    FAILED_DATABASE_AUTHENTICATION_GROUPFAILED_DATABASE_AUTHENTICATION_GROUP

    Vous pouvez configurer l’audit pour différents types d’actions et groupes d’actions à l’aide de PowerShell, comme décrit dans la section Gérer l’audit de base de données SQL avec Azure PowerShell.You can configure auditing for different types of actions and action groups using PowerShell, as described in the Manage SQL database auditing using Azure PowerShell section.

  • Quand vous utilisez l’authentification AAD, les échecs de connexion ne sont pas enregistrés dans le journal d’audit SQL.When using AAD Authentication, failed logins records will not appear in the SQL audit log. Pour voir les enregistrements d’audit des échecs de connexion, accédez au portail Azure Active Directory, qui affiche les détails de ces événements.To view failed login audit records, you need to visit the Azure Active Directory portal, which logs details of these events.

Gérer l’audit de base de données SQL avec Azure PowerShellManage SQL database auditing using Azure PowerShell

Applets de commande PowerShell (y compris prise en charge de la clause WHERE pour un filtrage supplémentaire)  :PowerShell cmdlets (including WHERE clause support for additional filtering):

Pour obtenir un exemple de script, consultez Configurer l’audit et la détection des menaces avec PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Gérer l’audit de base de données SQL à l’aide de l’API RESTManage SQL database auditing using REST API

API REST :REST API:

Prise en charge de la stratégie étendue avec la clause WHERE pour un filtrage supplémentaire :Extended policy with WHERE clause support for additional filtering:

Gérer l’audit des bases de données SQL à l’aide des modèles Azure Resource ManagerManage SQL database auditing using Azure Resource Manager templates

Vous pouvez gérer l’audit de bases de données Azure SQL à l’aide de modèles Azure Resource Manager, comme indiqué dans ces exemples :You can manage Azure SQL database auditing using Azure Resource Manager templates, as shown in these examples:

Notes

Les exemples liés se trouvent sur un référentiel public externe et sont fournis « en l’état », sans garantie et ne sont pas pris en charge dans n’importe quel service/programme de support Microsoft.The linked samples are on an external public repository and are provided 'as is', without warranty, and are not supported under any Microsoft support program/service.