Ismerkedés az Azure SQL Managed Instance naplózásával

A következőre vonatkozik: Felügyelt Azure SQL-példány

A felügyelt Azure SQL-példány naplózása nyomon követi az adatbázis-eseményeket, és egy naplóba írja őket az Azure Storage-fiókjában. A naplózás további előnyei:

• Segít a jogszabályi megfelelőség fenntartásában és az adatbázison végzett tevékenység megértésében, valamint az esetleg üzleti veszélyeket vagy biztonsági problémákat jelző rendellenességek feltárásában.
• Lehetővé teszi és megkönnyíti a megfelelőségi szabványok betartását, bár nem mindig garantálja a megfelelőséget. További információt a Microsoft Azure Adatvédelmi központban talál, ahol megtalálhatja a felügyelt SQL-példányok megfelelőségi tanúsítványainak legfrissebb listáját.

Fontos

Az Azure SQL Database, az Azure Synapse és az Azure SQL Managed Instance naplózása a rendelkezésre álláshoz és a teljesítményhez van optimalizálva. Az Azure SQL Database, az Azure Synapse és az Azure SQL Managed Instance nagyon nagy tevékenység vagy magas hálózati terhelés esetén lehetővé teszi a műveletek folytatását, és előfordulhat, hogy nem rögzít néhány naplózott eseményt.

A kiszolgáló naplózásának beállítása az Azure Storage-ba

A következő szakasz a felügyelt példány naplózásának konfigurációját ismerteti.

1. Nyissa meg az Azure Portalt.

2. Hozzon létre egy Azure Storage-tárolót, amelyben naplók vannak tárolva.

   1. Lépjen arra az Azure Storage-fiókra, ahol tárolni szeretné az auditnaplókat.

      • Használjon egy tárfiókot a felügyelt példánysal azonos régióban a régiók közötti olvasások/írások elkerülése érdekében.
      • Ha a tárfiók virtuális hálózat vagy tűzfal mögött található, olvassa el a Hozzáférés engedélyezése virtuális hálózatról című témakört.
      • Ha 0-ról (korlátlan megőrzésre) módosítja a megőrzési időtartamot bármely más értékre, a megőrzés csak a megőrzési érték módosítása után írt naplókra vonatkozik (a korlátlan megőrzési időszak alatt írt naplók megmaradnak, még a megőrzés engedélyezése után is).

   2. A tárfiókban nyissa meg az Áttekintés lehetőséget, és válassza a Blobok lehetőséget.

      

   3. A felső menüben válassza a + Tároló lehetőséget egy új tároló létrehozásához.

      

   4. Adjon meg egy tárolónevet, állítsa be a nyilvános hozzáférési szintet privátra, majd kattintson az OK gombra.

      

   Fontos

   Azoknak az ügyfeleknek, akik nem módosítható naplótárolót szeretnének konfigurálni a kiszolgálói vagy adatbázisszintű naplózási eseményeikhez, az Azure Storage utasításait kell követniük. (Győződjön meg arról, hogy a További hozzáfűzések engedélyezése a nem módosítható blobtároló konfigurálásakor.)

3. Miután létrehozta a naplók tárolóját, kétféleképpen konfigurálhatja azt a naplók célként: a T-SQLvagy az SQL Server Management Studio (SSMS) felhasználói felületének használatával:

   • Blob Storage konfigurálása naplózási naplókhoz a T-SQL használatával:

     1. A tárolók listájában válassza ki az újonnan létrehozott tárolót, majd válassza a Tároló tulajdonságai lehetőséget.

        

     2. Másolja ki a tároló URL-címét a másolás ikon kiválasztásával, és mentse az URL-címet (például Jegyzettömb) későbbi használatra. A tároló URL-formátumának https://<StorageName>.blob.core.windows.net/<ContainerName>

        

     3. Hozzon létre egy Azure Storage SAS-jogkivonatot a felügyelt példány naplózási hozzáférési jogosultságainak a tárfiókhoz való biztosításához:

        • Lépjen arra az Azure Storage-fiókra, ahol az előző lépésben létrehozta a tárolót.

        • Válassza a Megosztott hozzáférésű jogosultságkód lehetőséget a Storage Gépház menüben.

          

        • Konfigurálja az SAS-t az alábbiak szerint:

          • Engedélyezett szolgáltatások: Blob

          • Kezdési dátum: az időzónával kapcsolatos problémák elkerülése érdekében használja a tegnapi dátumot

          • Befejezési dátum: válassza ki azt a dátumot, amelyen ez az SAS-jogkivonat lejár

            Megjegyzés:

            Megújíthatja a jogkivonatot a lejáratkor, hogy elkerülje a naplózási hibákat.

          • Válassza az SAS létrehozása lehetőséget.

            

        • Az SAS-jogkivonat alul jelenik meg. Másolja a jogkivonatot a másolás ikonra kattintva, és mentse (például Jegyzettömb) későbbi használatra.

          

          Fontos

          Távolítsa el a kérdőjel (?) karaktert a jogkivonat elejéről.

     4. Csatlakozás a felügyelt példányra az SQL Server Management Studióval vagy bármely más támogatott eszközzel.

     5. Hajtsa végre a következő T-SQL-utasítást egy új hitelesítő adat létrehozásához az előző lépésekben létrehozott tároló URL-címével és SAS-jogkivonatával:

        CREATE CREDENTIAL [<container_url>]
        WITH IDENTITY='SHARED ACCESS SIGNATURE',
        SECRET = '<SAS KEY>'
        GO
        

     6. Hajtsa végre a következő T-SQL-utasítást egy új kiszolgálónapló létrehozásához (válassza ki a saját naplózási nevét, és használja az előző lépésekben létrehozott tároló URL-címét). Ha nincs megadva, az RETENTION_DAYS alapértelmezett érték 0 (korlátlan megőrzés):

        CREATE SERVER AUDIT [<your_audit_name>]
        TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
        GO
        

     7. Folytassa egy kiszolgálói naplózási specifikáció vagy adatbázis-naplózási specifikáció létrehozásával.

   • Blob Storage konfigurálása naplózási naplókhoz az SQL Server Management Studio 18 és újabb verzióival:

     1. Csatlakozás a felügyelt példányhoz az SQL Server Management Studio felhasználói felületén.

     2. Bontsa ki az Object Explorer gyökérjegyzetét.

     3. Bontsa ki a Biztonsági csomópontot, kattintson a jobb gombbal a Naplózás csomópontra, és válassza az Új naplózás lehetőséget:

        

     4. Győződjön meg arról, hogy az URL-cím ki van jelölve a naplózási célhelyen, és válassza a Tallózás lehetőséget:

        

     5. (Nem kötelező) Jelentkezzen be az Azure-fiókjába:

        

     6. Válasszon ki egy előfizetést, tárfiókot és blobtárolót a legördülő listából, vagy hozzon létre egy saját tárolót a Létrehozás gombra kattintva. Ha végzett, válassza az OK elemet:

        

     7. Válassza az OK gombot a Naplózás létrehozása párbeszédpanelen.

        Megjegyzés:

        Ha az SQL Server Management Studio felhasználói felületét használja naplózás létrehozásához, a rendszer automatikusan létrehoz egy hitelesítő adatokat a tárolóhoz SAS-kulccsal.

     8. Miután a blobtárolót célként konfigurálta az auditnaplókhoz, hozzon létre és engedélyezze a kiszolgálói naplózási specifikációt vagy az adatbázis-naplózási specifikációt az SQL Serverhez hasonlóan:

   • Kiszolgálói naplózási specifikáció létrehozása – T-SQL-útmutató

   • Adatbázis-naplózási specifikáció létrehozása – T-SQL-útmutató

4. Engedélyezze a 3. lépésben létrehozott kiszolgálói naplózást:

   ALTER SERVER AUDIT [<your_audit_name>]
   WITH (STATE = ON);
   GO
   

További információ:

• A felügyelt Azure SQL-példány és az SQL Server-adatbázis közötti különbségek naplózása
• CREATE Standard kiadás RVER AUDIT
• ALTER Standard kiadás RVER AUDIT

Microsoft ügyfélszolgálata műveletek naplózása

A felügyelt SQL-példány Microsoft ügyfélszolgálata műveleteinek naplózásával naplózhatja a Microsoft támogatási mérnökeinek műveleteit, amikor egy támogatási kérelem során hozzá kell férniük a kiszolgálóhoz. Ennek a képességnek a naplózással együtt történő használata lehetővé teszi a munkaerő nagyobb fokú láthatóságát és az anomáliadetektálást, a trendek megjelenítését és az adatveszteség elkerülését.

A Microsoft ügyfélszolgálata műveletek naplózásának engedélyezéséhez lépjen a Naplózás létrehozása a biztonsági>naplózás területen az SQL Manage Instanceben, és válassza a Microsoft támogatási műveleteit.

Megjegyzés:

Külön kiszolgálói naplózást kell létrehoznia a Microsoft-műveletek naplózásához. Ha engedélyezi ezt a jelölőnégyzetet egy meglévő naplózáshoz, az felülírja az auditot, és csak a naplótámogatási műveleteket.

A kiszolgáló naplózásának beállítása az Event Hubsra vagy az Azure Monitor-naplókra

A felügyelt példány naplói elküldhetők az Azure Event Hubsba vagy az Azure Monitor-naplókba. Ez a szakasz a következő konfigurálást ismerteti:

1. Navigáljon az Azure Portalon a felügyelt példányhoz.

2. Válassza a Diagnosztikai beállítások lehetőséget.

3. Válassza a Diagnosztika bekapcsolása lehetőséget. Ha a diagnosztika már engedélyezve van, a +Diagnosztikai beállítás hozzáadása beállítás jelenik meg helyette.

4. Válassza az SQLSecurityAuditEvents lehetőséget a naplók listájában.

5. Ha a Microsoft támogatási műveleteit konfigurálja, válassza a DevOps-műveletek naplózási naplóit a naplók listájában.

6. Válassza ki a naplózási események célhelyét: Event Hubs, Azure Monitor-naplók vagy mindkettő. Minden célhoz konfigurálja a szükséges paramétereket (például Log Analytics-munkaterületet).

7. Válassza a Mentés parancsot.

   

8. Csatlakozás a felügyelt példányhoz aSQL Server Management Studio (SSMS) vagy bármely más támogatott ügyfél.

9. Kiszolgálói naplózás létrehozásához hajtsa végre a következő T-SQL-utasítást:

   CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
   GO
   

10. Hozzon létre és engedélyezze a kiszolgáló naplózási specifikációját vagy adatbázis-naplózási specifikációját az SQL Serverhez hasonlóan:

    • Kiszolgáló naplózási specifikációjának létrehozása – T-SQL-útmutató
    • Adatbázis-naplózási specifikáció létrehozása – T-SQL-útmutató

11. Engedélyezze a 8. lépésben létrehozott kiszolgálói naplózást:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Naplózás beállítása a T-SQL használatával

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Auditnaplók felhasználása

Az Azure Storage-ban tárolt naplók felhasználása

A blobnaplók megtekintéséhez számos módszer használható.

• A rendszerfüggvény sys.fn_get_audit_file (T-SQL) használatával táblázatos formátumban adja vissza a naplóadatokat. A függvény használatáról további információt a sys.fn_get_audit_file dokumentációjában talál.

• Az auditnaplókat egy olyan eszközzel vizsgálhatja meg, mint az Azure Storage Explorer. Az Azure Storage-ban a naplózási naplók blobfájlok gyűjteményeként vannak mentve egy olyan tárolóban, amely az auditnaplók tárolására lett meghatározva. A tármappa hierarchiájáról, az elnevezési konvenciókról és a naplóformátumról további információt a Blob Audit Log Format Reference című témakörben talál.

• Az auditnapló-használati módszerek teljes listájáért tekintse meg az Azure SQL Database naplózásának első lépéseit.

Az Event Hubsban tárolt naplók felhasználása

Az Event Hubs naplózási naplóinak felhasználásához be kell állítania egy streamet az események felhasználásához és egy célba való írásához. További információkért tekintse meg az Azure Event Hubs dokumentációját.

Az Azure Monitor-naplókban tárolt naplók felhasználása és elemzése

Ha az auditnaplók az Azure Monitor-naplókba vannak írva, azok a Log Analytics-munkaterületen érhetők el, ahol speciális kereséseket futtathat az auditadatokon. Kiindulópontként lépjen a Log Analytics-munkaterületre. Az Általános szakaszban válassza a Naplók lehetőséget, és adjon meg egy alapszintű lekérdezést, például: search "SQLSecurityAuditEvents" a naplók megtekintéséhez.

Az Azure Monitor-naplók valós idejű üzemeltetési elemzéseket nyújtanak integrált keresési és egyéni irányítópultok használatával, így több millió rekordot elemezhet az összes számítási feladat és kiszolgáló között. Az Azure Monitor-naplók keresési nyelvéről és parancsairól további információt az Azure Monitor naplóinak keresési referenciájában talál.

Megjegyzés:

Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen lesznek tárolva, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi őket. Frissítjük a terminológiát, hogy jobban tükrözzük a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiájának változásait .

A felügyelt Azure SQL-példányban lévő adatbázisok és az SQL Server-adatbázisok közötti különbségek naplózása

A felügyelt Azure SQL-példányban lévő adatbázisok és az SQL Server-adatbázisok naplózása közötti fő különbségek a következők:

• A felügyelt Azure SQL-példány esetében a naplózás kiszolgálószinten működik, és naplófájlokat tárol .xel az Azure Blob Storage-ban.
• Az SQL Serverben a naplózás kiszolgálószinten működik, de az eseményeket a fájlrendszerben és a Windows-eseménynaplókban tárolja.

A felügyelt példányok XEvent-naplózása támogatja az Azure Blob Storage-célokat. A fájl- és Windows-naplók nem támogatottak.

Az Azure Blob Storage-ba történő naplózás szintaxisának főbb különbségei CREATE AUDIT a következők:

• A rendszer új szintaxist TO URL ad meg, és lehetővé teszi annak az Azure Blob Storage-tárolónak az URL-címét, amelybe a .xel fájlok kerülnek.
• A rendszer új szintaxist TO EXTERNAL MONITOR biztosít az Event Hubs és az Azure Monitor naplócéljainak engedélyezéséhez.
• A szintaxis TO FILE nem támogatott, mert a felügyelt Azure SQL-példány nem fér hozzá a Windows-fájlmegosztásokhoz.
• A leállítási beállítás nem támogatott.
• queue_delay a (0 ) nem támogatott.

Következő lépések

• Az auditnapló-használati módszerek teljes listájáért tekintse meg az Azure SQL Database naplózásának első lépéseit.
• A szabványoknak való megfelelőséget támogató Azure-programokról az Azure Adatvédelmi központban talál további információt, ahol megtalálhatja a megfelelőségi tanúsítványok legfrissebb listáját.