Membuat dan mengonfigurasi pengamat database (pratinjau)

Berlaku untuk:Azure SQL DatabaseAzure SQL Managed Instance

Pengamat database tidak mengharuskan Anda untuk menyebarkan dan memelihara agen pemantauan atau infrastruktur pemantauan lainnya. Anda dapat mengaktifkan pemantauan database mendalam sumber daya Azure SQL Anda dalam hitungan menit.

Artikel ini berisi langkah-langkah terperinci untuk membuat, mengonfigurasi, dan memulai pengamat database di portal Azure.

Untuk contoh langkah demi langkah dalam membuat dan mengonfigurasi pengamat database, lihat Mulai Cepat: Membuat pengamat database untuk memantau Azure SQL.

Untuk melihat cara membuat dan mengonfigurasi pengamat database dengan Bicep atau templat ARM, lihat Membuat pengamat database.

Untuk mengelola pengamat database secara terprogram, lihat dokumentasi REST API pengamat database.

Catatan

Pengamat database saat ini dalam pratinjau. Fitur pratinjau dirilis dengan kemampuan terbatas, tetapi tersedia berdasarkan pratinjau sehingga pelanggan bisa mendapatkan akses awal dan memberikan umpan balik. Fitur pratinjau tunduk pada istilah pratinjau tambahan terpisah, dan tidak tunduk pada SLA. Dukungan diberikan sebagai upaya terbaik dalam kasus tertentu. Namun, Dukungan Microsoft sangat ingin mendapatkan umpan balik Anda tentang fungsionalitas pratinjau, dan mungkin memberikan dukungan upaya terbaik dalam kasus tertentu. Fitur pratinjau mungkin memiliki fungsionalitas terbatas atau terbatas, dan mungkin hanya tersedia di area geografis yang dipilih.

Prasyarat

Untuk menggunakan pengamat database, prasyarat berikut diperlukan.

• Anda akan memerlukan langganan Azure aktif. Jika Anda tidak memilikinya, buat akun gratis. Anda harus menjadi anggota peran Kontributor atau peran Pemilik untuk langganan atau grup sumber daya untuk dapat membuat sumber daya.

• Untuk mengonfigurasi pengamat database, Anda memerlukan target SQL yang ada: database Azure SQL, kumpulan elastis, atau instans terkelola SQL.

  • Jika Anda belum membuat database Azure SQL, kunjungi Mulai Cepat: Membuat database tunggal. Cari opsi untuk menggunakan penawaran Anda untuk mencoba Azure SQL Database secara gratis (pratinjau).
  • Atau, Coba Azure SQL Managed Instance secara gratis (pratinjau).

• Penyedia Microsoft.DatabaseWatchersumber daya , Microsoft.Kusto, dan Microsoft.Network harus terdaftar di langganan Azure Anda.

  • Untuk menggunakan autentikasi SQL untuk koneksi ke sumber daya Azure SQL Anda, Microsoft.KeyVault penyedia sumber daya juga harus terdaftar. Lihat Konfigurasi tambahan untuk menggunakan autentikasi SQL.

  Pendaftaran penyedia sumber daya otomatis jika Anda memiliki keanggotaan peran RBAC Pemilik atau Kontributordi tingkat langganan. Jika tidak, pengguna dalam salah satu peran ini harus mendaftarkan penyedia sumber daya sebelum Anda dapat membuat dan mengonfigurasi pengamat. Untuk informasi selengkapnya, lihat Mendaftarkan penyedia sumber daya.

• Pengguna yang membuat dan mengonfigurasi pengamat dan sumber daya kluster Azure Data Explorer harus menjadi anggota peran RBAC Pemilik atau Kontributor untuk grup sumber daya atau langganan tempat sumber daya ini dibuat.

  Selain itu, jika menggunakan autentikasi SQL, pengguna harus menjadi anggota peran Pemilik untuk grup sumber daya, atau anggota peran administrator akses Pemilik atau Pengguna untuk brankas kunci yang menyimpan kredensial autentikasi SQL.

• Pengguna yang mengonfigurasi pengamat harus memiliki akses administrator ke target Azure SQL. Pengamat diberikan akses terbatas dan spesifik ke target pemantauan SQL. Untuk informasi selengkapnya, lihat Memberikan akses ke target.

• Untuk memberikan akses pengamat ke target SQL, Anda perlu menjalankan skrip T-SQL. Anda dapat menggunakan SQL Server Management Studio (SSMS), Azure Data Studio, atau Visual Studio Code dengan ekstensi mssql server SQL.

• Untuk menggunakan Azure Private Link untuk konektivitas privat ke sumber daya Azure, pengguna yang menyetujui titik akhir privat harus menjadi anggota peran RBAC Pemilik , atau harus memiliki izin RBAC yang diperlukan. Untuk informasi selengkapnya, lihat Persetujuan RBAC untuk titik akhir privat.

Membuat pengamat

1. Di portal Azure, di menu navigasi, pilih Semua layanan. Pilih Pantau sebagai kategori, dan di bawah Alat pemantauan, pilih Pengamat database. Atau, Anda dapat mengetikkan pengamat database di kotak Pencarian di bagian atas halaman portal, dan pilih Pengamat database.

   Setelah tampilan Pengamat database terbuka, pilih Buat.

2. Pada tab Dasar , pilih grup langganan dan sumber daya untuk pengamat, masukkan nama pengamat, dan pilih wilayah Azure.

   Tip

   Selama pratinjau, jika pengamat database belum tersedia di wilayah Anda, Anda dapat membuatnya di wilayah yang berbeda. Untuk informasi selengkapnya, lihat Ketersediaan regional.

3. Pada tab Identitas , status identitas terkelola yang ditetapkan sistem diatur ke Aktif. Saat ini, membuat pengamat tanpa identitas terkelola yang ditetapkan sistem tidak didukung.

4. Pilih penyimpanan data untuk pengamat.

   Secara default, membuat pengamat juga membuat kluster Azure Data Explorer , dan menambahkan database pada kluster tersebut sebagai penyimpanan data untuk data pemantauan yang dikumpulkan.

   • Secara default, kluster Azure Data Explorer baru menggunakan SKU ekstra kecil yang dioptimalkan Komputasi. Ini adalah SKU paling ekonomis yang masih menyediakan Perjanjian Tingkat Layanan (SLA). Anda dapat menskalakan kluster ini nanti sesuai kebutuhan.

   • Atau, Anda dapat menggunakan database pada kluster Azure Data Explorer yang ada, pada kluster Azure Data Explorer gratis, atau di Analitik Real Time.

     1. Pada tab Penyimpanan data, pilih opsi Pilih penyimpanan data, dan pilih Tambahkan.
     2. Pilih database Analitik Real Time atau kluster Azure Data Explorer.
     3. Jika menggunakan kluster Azure Data Explorer yang ada, Anda harus mengaktifkan penyerapan streaming.
     4. Buat database baru atau gunakan database yang sudah ada.

     Catatan

     Database yang sudah ada yang Anda pilih harus kosong, atau harus berupa database yang sebelumnya telah Anda gunakan sebagai penyimpanan data pengamat database. Memilih database yang berisi objek apa pun yang tidak dibuat oleh pengamat database tidak didukung.

5. Pada tab target SQL, tambahkan satu atau beberapa sumber daya Azure SQL untuk dipantau. Anda dapat melewati penambahan target SQL saat membuat pengamat dan menambahkannya nanti. Anda perlu menambahkan setidaknya satu target sebelum memulai pengamat.

6. Pada tab Tinjau + buat , tinjau konfigurasi pengamat, dan pilih Buat. Jika Anda memilih opsi default untuk membuat kluster Azure Data Explorer baru, penyebaran biasanya membutuhkan waktu 15-20 menit. Jika Anda memilih database pada kluster Azure Data Explorer yang ada, pada kluster Azure Data Explorer gratis, atau di Analitik Real Time, penyebaran biasanya membutuhkan waktu hingga lima menit.

7. Setelah penyebaran selesai, berikan akses pengamat ke target SQL.

   • Akses ke database pada kluster Azure Data Explorer baru atau yang sudah ada diberikan secara otomatis saat pengamat dibuat.
   • Namun, Anda harus memberikan akses ke penyimpanan data menggunakan perintah KQL jika Anda memilih database di:
     • Analitik Real Time di Microsoft Fabric
     • Kluster Azure Data Explorer gratis

8. Buat titik akhir privat terkelola jika Anda ingin menggunakan konektivitas privat.

Memulai dan menghentikan pengamat

Saat pengamat dibuat, pengamat tidak dimulai secara otomatis karena konfigurasi tambahan mungkin diperlukan.

Untuk memulai pengamat, pengamat harus memiliki:

• Penyimpanan data
• Setidaknya satu target
• Akses ke penyimpanan data dan target
  • Akses ke brankas kunci juga diperlukan jika autentikasi SQL dipilih untuk target apa pun.
• Baik konektivitas privat atau publik ke target, brankas kunci (jika menggunakan autentikasi SQL), dan penyimpanan data
  • Untuk menggunakan konektivitas privat, buat titik akhir privat.

Setelah pengamat dikonfigurasi sepenuhnya, pada halaman Gambaran Umum gunakan tombol Mulai untuk memulai pengumpulan data. Dalam beberapa menit, data pemantauan baru muncul di penyimpanan data dan di dasbor. Jika Anda tidak melihat data baru dalam waktu lima menit, lihat Pemecahan Masalah.

Anda dapat menghentikan pengamat dengan tombol Berhenti jika Anda tidak perlu memantau sumber daya Azure SQL untuk beberapa waktu.

Untuk menghidupkan ulang pengamat, hentikan lalu mulai lagi.

Memodifikasi pengamat

Di portal Azure, Anda dapat menambahkan atau menghapus target, membuat atau menghapus titik akhir privat, atau menggunakan penyimpanan data yang berbeda untuk pengamat yang sudah ada.

Catatan

Kecuali dicatat secara berbeda, perubahan yang Anda buat pada konfigurasi pengamat menjadi efektif setelah Anda menghentikan dan menghidupkan ulang pengamat.

Menambahkan target SQL ke pengamat

Untuk mengaktifkan pemantauan pengamat database untuk database Azure SQL, kumpulan elastis, atau instans terkelola SQL, Anda perlu menambahkan sumber daya ini sebagai target SQL.

1. Untuk menambahkan target, pada halaman target SQL, pilih Tambahkan.
2. Temukan sumber daya Azure SQL yang ingin Anda pantau. Pilih jenis sumber daya dan langganan, lalu pilih target SQL dari daftar sumber daya. Target SQL dapat berada dalam langganan apa pun dalam penyewa MICROSOFT Entra ID yang sama dengan pengamat.
3. Untuk memantau replika utama dan replika sekunder ketersediaan tinggi database, kumpulan elastis, atau instans terkelola SQL, tambahkan dua target terpisah untuk sumber daya yang sama, dan centang kotak Baca niat untuk salah satunya.
   • Mencentang kotak Baca niat mengonfigurasi pengamat untuk memantau replika sekunder ketersediaan tinggi saja.
   • Jangan centang kotak Baca niat jika Anda hanya ingin memantau replika utama, atau jika replika sekunder ketersediaan tinggi tidak ada untuk sumber daya ini, atau jika fitur peluasan skala baca dinonaktifkan.

Secara default, pengamat database menggunakan autentikasi Microsoft Entra saat menyambungkan ke target SQL. Jika Anda ingin pengamat menggunakan autentikasi SQL, centang kotak Gunakan autentikasi SQL dan masukkan detail yang diperlukan. Untuk informasi selengkapnya, lihat Konfigurasi tambahan untuk menggunakan autentikasi SQL.

Menghapus target SQL dari pengamat

Untuk menghapus satu atau beberapa target, buka halaman target SQL, pilih target yang ingin Anda hapus dalam daftar, dan pilih Hapus.

Menghapus target berhenti memantau sumber daya Azure SQL setelah pengamat dimulai ulang, tetapi tidak menghapus sumber daya yang sebenarnya.

Jika Anda menghapus sumber daya Azure SQL yang dipantau oleh pengamat database, Anda juga harus menghapus target yang sesuai. Karena ada batasan jumlah target SQL yang dapat dimiliki pengamat, menjaga target usang mungkin memblokir Anda untuk menambahkan target baru.

Buat titik akhir privat terkelola

Anda harus membuat titik akhir privat terkelola jika Ingin menggunakan konektivitas privat untuk pengumpulan data dari target SQL, untuk penyerapan ke penyimpanan data, dan untuk menyambungkan ke brankas kunci. Jika Anda tidak membuat titik akhir privat, pengamat database default menggunakan konektivitas publik.

Untuk membuat titik akhir privat terkelola:

1. Jika ada kunci baca-saja pada sumber daya, grup sumber daya, atau langganan sumber daya tempat Anda membuat titik akhir privat terkelola, hapus kunci. Anda dapat menambahkan kunci lagi setelah titik akhir privat berhasil dibuat.

2. Navigasi ke pengamat database di portal Azure, buka halaman Titik akhir privat terkelola, dan pilih Tambahkan.

3. Masukkan nama untuk titik akhir privat.

4. Pilih langganan sumber daya Azure yang ingin Anda buat titik akhir privatnya.

5. Bergantung pada sumber daya yang ingin Anda buat titik akhir privatnya , pilih jenis Sumber Daya dan Sub-sumber daya Target sebagai berikut:

   Sumber daya	Jenis Sumber Daya	Sub-sumber daya target
   Server logika	Microsoft.Sql/servers	sqlServer
   SQL managed instance	Microsoft.Sql/managedInstances	managedInstance
   Kluster Azure Data Explorer	Microsoft.Kusto/clusters	cluster
   Brankas kunci	Microsoft.KeyVault/vaults	vault

6. Pilih sumber daya yang ingin Anda buat titik akhir privatnya. Ini bisa menjadi server logis Azure SQL atau instans terkelola SQL, kluster Azure Data Explorer, atau brankas kunci.

   • Membuat titik akhir privat untuk server logis Azure SQL Database memungkinkan konektivitas privat pengamat database untuk semua target database dan kumpulan elastis di server tersebut.

7. Secara opsional, masukkan deskripsi untuk titik akhir privat. Ini dapat membantu pemilik sumber daya menyetujui permintaan.

8. Pilih Buat. Dibutuhkan satu atau dua menit untuk membuat titik akhir privat. Titik akhir privat dibuat setelah status provisinya berubah dari Diterima atau Berjalan menjadi Berhasil. Refresh tampilan untuk melihat status provisi saat ini.

   Penting

   Titik akhir privat dibuat dalam status Tertunda. Ini harus disetujui oleh pemilik sumber daya sebelum pengamat database dapat menggunakannya untuk menyambungkan ke sumber daya.

   Untuk membiarkan pemilik sumber daya mengontrol konektivitas jaringan, titik akhir privat pengamat database tidak disetujui secara otomatis.

9. Pemilik sumber daya harus menyetujui permintaan titik akhir privat.

   • Di portal Azure, pemilik sumber daya harus mencari Private Link untuk membuka Private Link Center. Di bawah Koneksi tertunda, temukan titik akhir privat yang Anda buat, konfirmasikan deskripsi dan detailnya, dan pilih Setujui.
   • Anda juga dapat menyetujui permintaan titik akhir privat menggunakan Azure CLI.

Jika pengamat sudah berjalan saat titik akhir privat disetujui, pengamat harus dimulai ulang untuk mulai menggunakan konektivitas privat.

Menghapus titik akhir privat terkelola

1. Jika ada kunci penghapusan pada sumber daya, grup sumber daya, atau langganan sumber daya tempat Anda membuat titik akhir privat terkelola, hapus kunci. Anda dapat menambahkan kunci lagi setelah titik akhir privat berhasil dihapus.
2. Di halaman portal Azure untuk pengamat database Anda, buka halaman Titik akhir privat terkelola.
3. Pilih titik akhir privat yang ingin Anda hapus.
4. Pilih Hapus.

Menghapus titik akhir privat terkelola menghentikan pengumpulan data dari target SQL yang menggunakan titik akhir privat ini. Menghapus titik akhir privat terkelola untuk kluster Azure Data Explorer menghentikan pengumpulan data untuk semua target. Untuk melanjutkan pengumpulan data, buat ulang titik akhir privat atau aktifkan konektivitas publik, dan mulai ulang pengamat.

Mengubah penyimpanan data untuk pengamat

Pengamat hanya dapat memiliki satu penyimpanan data.

Untuk mengubah penyimpanan data saat ini, hapus penyimpanan data yang ada, lalu tambahkan penyimpanan data baru.

• Untuk menghapus penyimpanan data saat ini, buka halaman Penyimpanan data, pilih penyimpanan data di kisi, dan pilih Hapus.

  • Menghapus penyimpanan data tidak menghapus database penyimpanan data aktual pada kluster Azure Data Explorer atau di Real-Time Analytics di Microsoft Fabric.
  • Untuk menghentikan pengumpulan data ke penyimpanan data yang dihapus, hentikan pengamat.
  • Jika Anda menghapus penyimpanan data, Anda harus menambahkan penyimpanan data baru sebelum dapat memulai pengamat lagi.

• Untuk menambahkan penyimpanan data, pilih Tambahkan di halaman Penyimpanan data, lalu pilih atau buat database di kluster Azure Data Explorer, atau di Analitik Real Time.

  • Database yang Anda pilih harus kosong, atau harus berupa database yang sebelumnya telah Anda gunakan sebagai penyimpanan data pengamat database. Memilih database yang berisi objek apa pun yang tidak dibuat oleh pengamat database tidak didukung.
  • Setelah menambahkan penyimpanan data, Anda harus memberikan akses pengamat untuk menggunakannya. Untuk informasi selengkapnya, lihat Memberikan akses ke penyimpanan data.
  • Penyimpanan data baru digunakan setelah pengamat dimulai ulang.

Menghapus pengamat

Saat Anda menghapus pengamat, identitas terkelola yang ditetapkan sistem juga akan dihapus. Ini menghapus akses apa pun yang Anda berikan ke identitas ini. Jika Anda membuat ulang pengamat nanti, Anda perlu memberikan akses ke identitas terkelola yang ditetapkan sistem dari pengamat baru untuk mengautentikasi ke setiap sumber daya. Drive ini termasuk:

• Target
• Penyimpanan data
• Dan brankas kunci (jika digunakan)

Anda harus memberikan akses ke pengamat yang dibuat ulang, bahkan jika Anda menggunakan nama pengamat yang sama.

Saat Anda menghapus pengamat, sumber daya Azure yang dirujuk sebagai target dan penyimpanan datanya tidak dihapus. Anda menyimpan data pemantauan SQL yang dikumpulkan di penyimpanan data, dan Anda dapat menggunakan database yang sama dengan penyimpanan data jika Anda membuat pengamat baru nanti.

Memberikan akses ke target SQL

Untuk memungkinkan pengamat mengumpulkan data pemantauan SQL, Anda perlu menjalankan skrip T-SQL yang memberikan izin SQL khusus pengamat.

• Untuk menjalankan skrip di Azure SQL Database, Anda memerlukan akses administrator server ke server logis yang berisi database dan kumpulan elastis yang ingin Anda pantau.

  • Di Azure SQL Database, Anda hanya perlu menjalankan skrip sekali per server logis untuk setiap pengamat yang Anda buat. Ini memberikan akses pengamat ke semua database dan kumpulan elastis yang ada dan baru di server tersebut.

• Untuk menjalankan skrip di Azure SQL Managed Instance, Anda harus menjadi anggota salah satu sysadmin atau securityadmin peran server, atau memiliki CONTROL izin server pada instans terkelola SQL.

  • Di Azure SQL Managed Instance, Anda perlu menjalankan skrip pada setiap instans yang ingin Anda pantau.

1. Navigasikan ke pengamat di portal Azure, pilih target SQL, pilih salah satu tautan Berikan akses untuk membuka skrip T-SQL, dan salin skrip. Pastikan untuk memilih tautan yang benar untuk jenis target Anda dan jenis autentikasi yang ingin Anda gunakan.

   Penting

   Skrip autentikasi Microsoft Entra di portal Azure khusus untuk pengamat karena menyertakan nama pengamat. Untuk versi generik skrip ini yang dapat Anda sesuaikan untuk setiap pengamat, lihat Memberikan akses ke target SQL dengan skrip T-SQL.

2. Di SQL Server Management Studio, Azure Data Studio, atau alat klien SQL lainnya, buka jendela kueri baru dan sambungkan ke master database di server logis Azure SQL yang berisi target, atau ke master database pada target instans terkelola SQL.

3. Tempel dan jalankan skrip T-SQL untuk memberikan akses ke pengamat. Skrip membuat login yang akan digunakan pengamat untuk terhubung, dan memberikan izin terbatas tertentu untuk mengumpulkan data pemantauan.

   1. Jika Anda menggunakan skrip autentikasi Microsoft Entra, pengamat harus sudah dibuat saat Anda menjalankan skrip. Selain itu, Anda harus tersambung dengan autentikasi Microsoft Entra.

Jika Anda menambahkan target baru ke pengamat nanti, Anda perlu memberikan akses ke target ini dengan cara yang sama kecuali target ini berada di server logis tempat akses telah diberikan.

Memberikan akses ke target SQL dengan skrip T-SQL

Ada berbagai skrip untuk autentikasi Microsoft Entra dan autentikasi SQL, dan untuk target Azure SQL Database dan Azure SQL Managed Instance.

Penting

Selalu gunakan skrip yang disediakan untuk memberikan akses ke pengamat database. Memberikan akses dengan cara yang berbeda dapat memblokir pengumpulan data. Untuk informasi selengkapnya, lihat Otorisasi Pengamat.

Sebelum menjalankan skrip, ganti semua instans tempat penampung yang mungkin ada dalam skrip, seperti login-name-placeholder, user-name-placeholder, dan password-placeholder dengan nilai aktual.

Memberikan akses ke pengamat terautentikasi Microsoft Entra

Microsoft Azure SQL Database

Skrip ini membuat login autentikasi Microsoft Entra (sebelumnya dikenal sebagai Azure Active Directory) di server logis di Azure SQL Database. Login dibuat untuk identitas terkelola pengamat. Skrip ini memberi pengamat izin yang diperlukan dan memadai untuk mengumpulkan data pemantauan dari semua database dan kumpulan elastis di server logis.

Anda harus menggunakan nama pengamat sebagai nama masuk. Skrip harus dijalankan dalam master database di server logis. Anda harus masuk menggunakan login autentikasi Microsoft Entra yang merupakan administrator server.

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [watcher-name-placeholder];

SQL Managed Instance

Skrip ini membuat login autentikasi Microsoft Entra (sebelumnya dikenal sebagai Azure Active Directory) pada instans terkelola SQL. Login dibuat untuk identitas terkelola pengamat. Skrip memberi pengamat izin yang diperlukan dan memadai untuk mengumpulkan data pemantauan dari instans.

Anda harus menggunakan nama pengamat sebagai nama masuk. Skrip harus dijalankan dalam master database pada instans terkelola. Anda harus masuk menggunakan login autentikasi Microsoft Entra yang merupakan anggota dari salah satu sysadmin atau securityadmin peran server, atau memiliki CONTROL izin server.

USE master;

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [watcher-name-placeholder];

USE msdb;

CREATE USER [watcher-name-placeholder] FOR LOGIN [watcher-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [watcher-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [watcher-name-placeholder];

Memberikan akses ke pengamat terautentikasi SQL

Langkah tambahan diperlukan saat menggunakan autentikasi SQL, lihat Konfigurasi tambahan untuk menggunakan autentikasi SQL.

Microsoft Azure SQL Database

Skrip ini membuat login autentikasi SQL di server logis di Azure SQL Database. Ini memberikan masuk izin yang diperlukan dan memadai untuk mengumpulkan data pemantauan dari semua database dan kumpulan elastis di server logis tersebut.

Skrip harus dijalankan dalam master database di server logis, menggunakan login yang merupakan administrator server logis.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

SQL Managed Instance

Skrip ini membuat login autentikasi SQL pada instans terkelola SQL. Ini memberikan izin masuk yang diperlukan dan memadai untuk mengumpulkan data pemantauan dari instans.

Skrip harus dijalankan dalam master database pada instans, menggunakan login yang merupakan anggota atau sysadminsecurityadmin peran server, atau memiliki CONTROL izin server.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Konfigurasi tambahan untuk menggunakan autentikasi SQL

Untuk menyimpan kredensial autentikasi dengan aman, menggunakan autentikasi SQL di database watcher memerlukan konfigurasi tambahan.

Tip

Untuk konfigurasi yang lebih aman, lebih sederhana, dan kurang rawan kesalahan, sebaiknya aktifkan autentikasi Microsoft Entra untuk sumber daya Azure SQL Anda dan menggunakannya alih-alih autentikasi SQL.

Untuk mengonfigurasi pengamat database untuk menyambungkan ke target menggunakan autentikasi SQL, ikuti langkah-langkah berikut:

1. Buat vault di Azure Key Vault, atau identifikasi vault yang sudah ada yang dapat Anda gunakan. Vault harus menggunakan model izin RBAC. Model izin RBAC adalah default untuk vault baru. Jika Anda ingin menggunakan vault yang ada, pastikan vault tersebut tidak dikonfigurasi untuk menggunakan model kebijakan akses yang lebih lama.

   Jika Anda ingin menggunakan konektivitas privat ke vault, buat titik akhir privat di halaman Titik akhir privat terkelola. Pilih Microsoft.KeyVault/vaults sebagai Jenis sumber daya, dan vault sebagai Sub-sumber daya Target. Pastikan bahwa titik akhir privat disetujui sebelum memulai pengamat.

   Jika Anda ingin menggunakan konektivitas publik, vault harus mengaktifkan akses publik dari semua jaringan. Membatasi konektivitas vault publik ke jaringan tertentu tidak didukung di pengamat database.

2. Buat login autentikasi SQL di setiap server logis Azure SQL atau instans terkelola yang ingin Anda pantau, dan berikan izin yang diperlukan. Gunakan skrip akses yang disediakan untuk autentikasi SQL, dan ganti nama login, nama pengguna, dan tempat penampung kata sandi dengan nilai aktual. Gunakan kata sandi yang kuat.

3. Di brankas, buat dua rahasia: rahasia untuk nama masuk, dan rahasia terpisah untuk kata sandi. Gunakan nama yang valid sebagai nama rahasia, dan masukkan nama login atau kata sandi yang Anda gunakan dalam skrip T-SQL sebagai nilai rahasia.

   Misalnya, nama untuk dua rahasia mungkin database-watcher-login-name dan database-watcher-password. Nilai rahasia akan menjadi nama login dan kata sandi yang kuat.

   Untuk membuat rahasia, Anda harus menjadi anggota peran RBAC Petugas Rahasia Key Vault.

4. Dari halaman Kontrol akses (IAM) dari setiap rahasia, tambahkan penetapan peran untuk identitas terkelola pengamat dalam peran RBAC Pengguna Rahasia Key Vault. Untuk mengikuti prinsip hak istimewa paling sedikit, tambahkan penetapan peran ini untuk setiap rahasia, bukan untuk seluruh brankas. Halaman Kontrol akses (IAM) hanya muncul jika vault dikonfigurasi untuk menggunakan model izin RBAC .

5. Tambahkan target SQL ke pengamat. Saat menambahkan target, centang kotak Gunakan autentikasi SQL, dan pilih vault tempat nama masuk dan rahasia kata sandi disimpan. Masukkan nama rahasia untuk nama masuk dan kata sandi.

   Saat menambahkan target SQL, jangan masukkan nama login dan kata sandi yang sebenarnya. Dengan menggunakan contoh sebelumnya, Anda akan memasukkan database-watcher-login-name nama rahasia dan database-watcher-password .

Jika Anda ingin menggunakan login yang berbeda pada target SQL yang berbeda, Anda dapat menggunakan vault yang sama untuk menyimpan semua rahasia.

Catatan

Jika Anda memperbarui nilai rahasia untuk nama login atau kata sandi di brankas kunci saat pengamat berjalan, pengamat terhubung kembali ke target menggunakan kredensial autentikasi SQL baru dalam waktu 15 menit. Jika Anda ingin segera mulai menggunakan kredensial baru, hentikan dan mulai ulang pengamat.

Memberikan akses ke penyimpanan data

Untuk membuat dan mengelola skema database dari waktu ke waktu, dan untuk menyerap data pemantauan, pengamat database memerlukan keanggotaan dalam peran RBAC Admin dalam database penyimpanan data. Pengamat database tidak memerlukan akses tingkat kluster apa pun ke kluster Azure Data Explorer, atau akses apa pun ke database lain yang mungkin ada di kluster yang sama.

Jika Anda membuat kluster dan database Azure Data Explorer baru, atau memilih database pada kluster yang ada saat membuat pengamat, akses ini diberikan secara otomatis jika pengguna yang membuat pengamat adalah anggota peran RBAC Pemilik untuk kluster.

Jika Anda mengubah penyimpanan data untuk pengamat yang sudah ada, atau jika Anda menggunakan database di Real-Time Analytics atau pada kluster Azure Data Explorer gratis, Anda perlu memberikan akses seperti yang dijelaskan di bagian ini.

Memberikan akses ke database Azure Data Explorer menggunakan portal Azure

Anda dapat menggunakan portal Azure untuk memberikan akses ke database di kluster Azure Data Explorer:

1. Untuk database pada kluster Azure Data Explorer, di menu sumber daya di bawah Keamanan + jaringan, pilih Izin. Jangan gunakan halaman Izin kluster.
2. Pilih Tambahkan, dan pilih Admin.
3. Pada halaman Prinsipal Baru, pilih Aplikasi perusahaan, dan ketik nama pengamat di kotak Pencarian .
4. Pilih aplikasi perusahaan dengan nama yang sama dengan pengamat.

Memberikan akses ke database Azure Data Explorer menggunakan KQL

Alih-alih menggunakan portal Azure, Anda juga dapat memberikan akses ke database menggunakan perintah KQL.

1. Koneksi ke database di kluster Azure Data Explorer menggunakan Kusto Explorer atau antarmuka pengguna web Azure Data Explorer. Gunakan metode ini untuk memberikan akses ke database di Real-Time Analytics atau pada kluster Azure Data Explorer gratis.

2. Dalam contoh perintah KQL berikut, ganti tiga tempat penampung:

   .add database [adx-database-name-placeholder] admins ('aadapp=watcher-object-id-placeholder;tenant-primary-domain-placeholder');
   

   Placeholder	Penggantian
   adx-database-name-placeholder	Nama database pada kluster Azure Data Explorer atau di Analitik Real Time.
   watcher-object-id-placeholder	Nilai ID objek (utama) (GUID), ditemukan di halaman Identitas pengamat.
   tenant-primary-domain-placeholder	Nama domain penyewa MICROSOFT Entra ID dari pengamat. Temukan ini di halaman Gambaran Umum ID Microsoft Entra di portal Azure. Alih-alih domain utama penyewa, nilai GUID ID Penyewa juga dapat digunakan. Anda dapat menghilangkan bagian perintah ini (dan titik koma sebelumnya) jika pengamat dan kluster Azure Data Explorer berada di penyewa MICROSOFT Entra ID yang sama.

   Contohnya:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Untuk informasi selengkapnya, lihat Kontrol akses berbasis peran Kusto.

Memberikan akses pengguna dan grup ke penyimpanan data

Anda dapat menggunakan perintah portal Azure atau KQL untuk memberi pengguna dan grup akses ke database pada kluster Azure Data Explorer atau di Analitik Real Time. Untuk memberikan akses, Anda harus menjadi anggota peran Admin RBAC dalam database.

Gunakan perintah KQL untuk memberikan akses ke database pada kluster Azure Data Explorer gratis atau di Analitik Real Time. Untuk mengikuti prinsip hak istimewa paling sedikit, kami sarankan Anda tidak menambahkan pengguna dan grup ke peran RBAC apa pun selain Penampil.

Penting

Pertimbangkan dengan cermat persyaratan privasi dan keamanan data Anda saat memberikan akses untuk melihat data pemantauan SQL yang dikumpulkan oleh pengamat database.

Meskipun pengamat database tidak memiliki kemampuan untuk mengumpulkan data apa pun yang disimpan dalam tabel pengguna di database SQL Anda, himpunan data tertentu seperti Sesi aktif, Metadata indeks, Indeks yang hilang, Statistik runtime kueri, Statistik tunggu kueri, Statistik sesi, dan metadata Tabel mungkin berisi data yang berpotensi sensitif, seperti nama tabel dan indeks, teks kueri, nilai parameter kueri, nama login, dll.

Dengan memberikan akses tampilan ke penyimpanan data kepada pengguna yang tidak memiliki akses untuk melihat data ini dalam database SQL, Anda mungkin memungkinkan mereka melihat data sensitif yang tidak akan dapat mereka lihat sebaliknya.

Memberikan akses ke penyimpanan data menggunakan portal Azure

Anda bisa menggunakan portal Azure untuk memberi pengguna dan grup akses ke database di kluster Azure Data Explorer:

1. Untuk database di kluster Azure Data Explorer, di menu sumber daya di bawah Keamanan + jaringan, pilih Izin. Jangan gunakan halaman Izin kluster.
2. Pilih Tambahkan, dan pilih Penampil.
3. Pada halaman Prinsipal Baru, ketik nama pengguna atau grup di kotak Pencarian .
4. Pilih pengguna atau grup.

Memberikan akses ke penyimpanan data menggunakan KQL

Alih-alih menggunakan portal Azure, Anda juga dapat memberi pengguna dan grup akses ke database menggunakan perintah KQL. Contoh perintah KQL berikut memberikan akses baca data kepada mary@contoso.com pengguna, dan ke SQLMonitoringUsers@contoso.com grup di penyewa ID Microsoft Entra dengan nilai ID penyewa tertentu:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Untuk informasi selengkapnya, lihat Kontrol akses berbasis peran Kusto.

Untuk memberikan akses ke penyimpanan data kepada pengguna dan grup dari penyewa lain, Anda perlu mengaktifkan autentikasi lintas penyewa di kluster Azure Data Explorer Anda. Untuk informasi selengkapnya, lihat Mengizinkan kueri dan perintah lintas penyewa.

Tip

Autentikasi lintas penyewa diaktifkan di Analitik Real Time dan pada kluster Azure Data Explorer gratis. Hal ini memungkinkan Anda memberikan akses ke pengguna dan grup di penyewa ID Microsoft Entra Anda untuk melihat data dalam database ini.

Mengelola penyimpanan data

Bagian ini menjelaskan bagaimana Anda dapat mengelola penyimpanan data pemantauan, termasuk penskalaan, retensi data, dan konfigurasi lainnya. Pertimbangan penskalaan kluster di bagian ini relevan jika Anda menggunakan database pada kluster Azure Data Explorer. Jika Anda menggunakan database di Real-Time Analytics di Fabric, penskalakan dikelola secara otomatis.

Menskalakan kluster Azure Data Explorer

Anda dapat menskalakan kluster Azure Data Explorer sesuai kebutuhan. Misalnya, Anda dapat menurunkan skala kluster Anda ke SKU Ekstra kecil, Dev/test jika perjanjian tingkat layanan (SLA) tidak diperlukan, dan jika kueri dan performa penyerapan data tetap dapat diterima.

Untuk banyak penyebaran pengamat database, SKU kluster ekstra kecil dan komputasi yang dioptimalkan 2 instans default akan cukup tanpa batas waktu. Dalam beberapa kasus, tergantung pada konfigurasi dan perubahan beban kerja Anda dari waktu ke waktu, Anda mungkin perlu menskalakan kluster Anda untuk memastikan performa kueri yang memadai dan mempertahankan latensi penyerapan data yang rendah.

Azure Data Explorer mendukung penskalakan kluster vertikal dan horizontal . Dengan penskalaan vertikal, Anda mengubah SKU kluster, yang mengubah jumlah vCPU, memori, dan cache per instans (node). Dengan penskalaan horizontal, SKU tetap sama, tetapi jumlah instans dalam kluster ditingkatkan atau dikurangi.

Anda perlu meluaskan skala kluster Anda (secara horizontal) atau naik (secara vertikal) jika Anda melihat satu atau beberapa gejala berikut:

• Performa kueri dasbor atau ad hoc menjadi terlalu lambat.
• Anda menjalankan banyak kueri bersamaan pada kluster Anda dan mengamati kesalahan pembatasan.
• Latensi penyerapan data menjadi lebih tinggi secara konsisten daripada yang dapat diterima.

Secara umum, Anda tidak perlu menskalakan kluster Anda karena jumlah data di penyimpanan data meningkat dari waktu ke waktu. Ini karena kueri dasbor dan kueri analitik yang paling umum hanya menggunakan data terbaru, yang di-cache di penyimpanan SSD lokal pada node kluster.

Namun, jika Anda menjalankan kueri analitik yang mencakup rentang waktu yang lebih lama, kueri tersebut mungkin menjadi lebih lambat dari waktu ke waktu karena jumlah total data yang dikumpulkan meningkat dan tidak lagi sesuai dengan penyimpanan SSD lokal. Penskalaan kluster mungkin diperlukan untuk mempertahankan performa kueri yang memadai dalam hal ini.

• Jika Anda perlu menskalakan kluster, kami sarankan Anda menskalakannya secara horizontal terlebih dahulu untuk meningkatkan jumlah instans. Ini membuat kluster tetap tersedia untuk kueri dan penyerapan selama proses penskalaan.

  • Anda dapat mengaktifkan skala otomatis yang dioptimalkan untuk secara otomatis mengurangi atau meningkatkan jumlah instans sebagai respons terhadap perubahan beban kerja atau tren musiman.

• Anda mungkin menemukan bahwa bahkan setelah Anda menskalakan kluster secara horizontal, beberapa kueri masih tidak berfungsi seperti yang diharapkan. Ini mungkin terjadi jika performa kueri terikat oleh sumber daya yang tersedia pada instans (node) kluster. Dalam hal ini, tingkatkan skala kluster secara vertikal.

  • Penskalakan kluster vertikal membutuhkan waktu beberapa menit. Selama proses itu, ada periode waktu henti, yang dapat mengganggu pengumpulan data. Jika itu terjadi, hentikan dan mulai ulang pengamat Anda setelah operasi penskalakan selesai.

Anda tidak dapat menskalakan kluster Azure Data Explorer gratis. Jika Anda menemukan bahwa spesifikasi kluster gratis tidak cukup untuk kebutuhan Anda, tingkatkan ke kluster Azure Data Explorer lengkap. Proses peningkatan menyimpan semua data yang dikumpulkan. Karena mungkin ada periode waktu henti selama peningkatan, Anda mungkin perlu menghentikan dan memulai ulang pengamat untuk melanjutkan pengumpulan data setelah peningkatan selesai.

Mengelola retensi data

Jika Anda tidak memerlukan data yang lebih lama, Anda dapat mengonfigurasi kebijakan retensi data untuk membersihkannya secara otomatis. Secara default, retensi data diatur ke 365 hari dalam database baru pada kluster Azure Data Explorer atau di Analitik Real Time.

• Anda dapat mengurangi periode retensi data di tingkat database, atau untuk tabel individual dalam database.
• Anda juga dapat meningkatkan retensi jika Anda perlu menyimpan data pemantauan selama lebih dari satu tahun. Tidak ada batas atas pada periode retensi data.
• Jika Anda mengonfigurasi periode retensi data yang berbeda untuk tabel yang berbeda, dasbor mungkin tidak berfungsi seperti yang diharapkan untuk rentang waktu yang lebih lama. Ini dapat terjadi jika data masih ada di beberapa tabel, tetapi sudah dihapus menyeluruh dalam tabel lain untuk interval waktu yang sama.

Perubahan skema dan akses di penyimpanan data pengamat database

Seiring waktu, Microsoft mungkin memperkenalkan himpunan data pengamat database baru, atau memperluas himpunan data yang ada. Ini berarti bahwa tabel baru di penyimpanan data, atau kolom baru dalam tabel yang ada mungkin ditambahkan secara otomatis.

Untuk melakukan ini, identitas terkelola pengamat database harus menjadi anggota peran RBAC Admin di penyimpanan data. Mencabut keanggotaan peran ini, atau menggantinya dengan keanggotaan dalam peran RBAC lainnya dapat memengaruhi pengumpulan data pengamat database dan manajemen skema, dan tidak didukung.

Demikian pula, membuat objek baru seperti tabel, tabel eksternal, tampilan materialisasi, fungsi, dll. di penyimpanan data pengamat database tidak didukung. Anda dapat menggunakan kueri Lintas kluster dan lintas database untuk mengkueri data di penyimpanan data Anda dari kluster Azure Data Explorer lainnya, atau dari database lain pada kluster yang sama.

Penting

Jika Anda mengubah akses pengamat database ke penyimpanan datanya, atau membuat skema database atau perubahan konfigurasi apa pun yang memengaruhi penyerapan data, Anda mungkin perlu mengubah penyimpanan data untuk pengamat tersebut ke database kosong baru, dan memberikan akses pengamat ke database baru ini untuk melanjutkan pengumpulan data dan kembali ke konfigurasi yang didukung.

Kluster Azure Data Explorer yang dihentikan

Kluster Azure Data Explorer dapat dihentikan untuk menghemat biaya. Secara default, kluster Azure Data Explorer dihentikan secara otomatis setelah beberapa hari tidak aktif. Misalnya, ini dapat terjadi jika Anda menghentikan pengamat yang menyerap data ke dalam satu-satunya database di kluster Anda, dan tidak menjalankan kueri apa pun dalam database ini.

Jika kluster dihentikan, pengumpulan data pengamat database juga berhenti, dan data pemantauan tidak muncul di dasbor. Untuk melanjutkan pengumpulan data dan membuat data dapat diakses melalui dasbor, Anda perlu melanjutkan kluster secara manual. Setelah kluster berjalan, mulai ulang pengamat.

Anda dapat menonaktifkan perilaku berhenti otomatis jika Anda ingin kluster tetap tersedia bahkan ketika tidak aktif. Ini dapat meningkatkan biaya kluster.

Penyerapan streaming

Pengamat database mengharuskan kluster Azure Data Explorer yang berisi database penyimpanan data mengaktifkan penyerapan streaming. Penyerapan streaming secara otomatis diaktifkan untuk kluster Azure Data Explorer baru yang dibuat saat Anda membuat pengamat baru. Ini juga diaktifkan di Real-Time Analytics dan pada kluster Azure Data Explorer gratis.

Jika Anda ingin menggunakan kluster Azure Data Explorer yang sudah ada, pastikan untuk mengaktifkan penyerapan streaming terlebih dahulu. Ini membutuhkan waktu beberapa menit dan memerlukan mulai ulang kluster.

Memantau perkebunan besar

Untuk memantau real estat Azure SQL yang besar, Anda mungkin perlu membuat beberapa pengamat.

Setiap pengamat memerlukan database pada kluster Azure Data Explorer atau di Analitik Real Time sebagai penyimpanan data. Pengamat yang Anda buat dapat menggunakan database tunggal sebagai penyimpanan data umum, atau database terpisah sebagai penyimpanan data terpisah. Pertimbangan berikut dapat membantu Anda membuat pilihan desain yang optimal untuk skenario dan persyaratan pemantauan Anda.

Pertimbangan untuk penyimpanan data umum:

• Ada tampilan panel kaca tunggal dari seluruh properti Azure SQL Anda.
• Namun, pengguna dengan akses ke penyimpanan data memiliki akses ke semua data pemantauan.

Pertimbangan untuk penyimpanan data terpisah:

• Subset estate Azure SQL Anda dipantau secara independen. Dasbor estate di portal Azure memperlihatkan data dari satu penyimpanan data. Pengguna dengan akses ke beberapa penyimpanan data dapat menggunakan kueri KQL lintas kluster atau lintas database untuk mengakses data pemantauan di beberapa penyimpanan data menggunakan satu kueri.
• Karena akses data di Azure Data Explorer dan di Real-Time Analytics dikelola per database, Anda dapat mengelola akses ke data pemantauan untuk subset estate Anda dengan cara yang terperinci.
• Anda dapat menempatkan beberapa database pada kluster Azure Data Explorer yang sama untuk berbagi sumber daya kluster dan menghemat biaya, sambil tetap menjaga data tetap terisolasi di setiap database.
• Jika Anda memerlukan pemisahan lingkungan yang lengkap, termasuk akses jaringan ke kluster Azure Data Explorer, Anda dapat menempatkan database yang berbeda pada kluster yang berbeda.

Konten terkait

• Mulai cepat: Membuat pengamat database untuk memantau Azure SQL (pratinjau)
• Memantau beban kerja Azure SQL dengan pengamat database (pratinjau)
• Pengumpulan data dan himpunan data pengamat database (pratinjau)
• Menganalisis data pemantauan pengamat database (pratinjau)
• Tanya Jawab Umum pengamat database