Introduzione al controllo del database SQLGet started with SQL database auditing

Il controllo per il database SQL di azure e SQL data warehouse tiene traccia degli eventi di database e li scrive in un log di controllo nell'account di archiviazione di Azure, log Analytics area di lavoro o hub eventi.Auditing for Azure SQL Database and SQL Data Warehouse tracks database events and writes them to an audit log in your Azure storage account, Log Analytics workspace or Event Hubs. Inoltre, il servizio di controllo:Auditing also:

  • Consente di gestire la conformità alle normative, ottenere informazioni sull'attività del database e rilevare discrepanze e anomalie che potrebbero indicare problemi aziendali o possibili violazioni della sicurezza.Helps you maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.

  • Supporta e facilita il rispetto degli standard di conformità, pur non garantendo la conformità.Enables and facilitates adherence to compliance standards, although it doesn't guarantee compliance. Per ulteriori informazioni sui programmi di Azure che supportano la conformità agli standard, vedere la Centro protezione di Azure in cui è possibile trovare l'elenco più aggiornato delle certificazioni di conformità del database SQL.For more information about Azure programs that support standards compliance, see the Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Nota

Questo argomento è applicabile al server SQL di Azure e ai database SQL e di SQL Data Warehouse creati nel server SQL di Azure.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Per semplicità, "database SQL" viene usato per fare riferimento sia al database SQL che al database di SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Nota

Questo articolo è stato aggiornato di recente in modo da usare il termine log di Monitoraggio di Azure anziché Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. I dati di log vengono comunque archiviati in un'area di lavoro Log Analytics e vengano ancora raccolti e analizzati dallo stesso servizio Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Si sta procedendo a un aggiornamento della terminologia per riflettere meglio il ruolo dei log in Monitoraggio di Azure.We are updating the terminology to better reflect the role of logs in Azure Monitor. Per informazioni dettagliate, vedere Modifiche della terminologia di Monitoraggio di Azure.See Azure Monitor terminology changes for details.

Panoramica del servizio di controllo del database SQL di AzureAzure SQL database auditing overview

È possibile usare il servizio di controllo del database SQL per eseguire le operazioni seguenti:You can use SQL database auditing to:

  • Conservare un audit trail di eventi selezionati.Retain an audit trail of selected events. È possibile definire categorie di azioni di database da controllare.You can define categories of database actions to be audited.
  • Creare report sulle attività del database.Report on database activity. È possibile usare i report preconfigurati e un dashboard per iniziare rapidamente a usare l'attività e la segnalazione di eventi.You can use pre-configured reports and a dashboard to get started quickly with activity and event reporting.
  • Analizzare i report.Analyze reports. È possibile individuare eventi sospetti, attività insolite e tendenze.You can find suspicious events, unusual activity, and trends.

Importante

I log di controllo vengono scritti in BLOB di accodamento nella risorsa di archiviazione BLOB di Azure della sottoscrizione di Azure.Audit logs are written to Append Blobs in Azure Blob storage on your Azure subscription.

  • Sono supportati tutti i tipi di archiviazione (v1, v2, BLOB).All storage kinds (v1, v2, blob) are supported.
  • Sono supportate tutte le configurazioni di replica di archiviazione.All storage replication configurations are supported.
  • Archiviazione Premium attualmente non è supportata.Premium storage is currently not supported.
  • Storage in VNet attualmente non è supportato.Storage in VNet is currently not supported.
  • L'archiviazione protetta da firewall attualmente non è supportataStorage behind a Firewall is currently not supported

Definire criteri di controllo a livello di server o a livello di databaseDefine server-level vs. database-level auditing policy

I criteri di controllo possono essere definiti per un database specifico o come criteri server predefiniti:An auditing policy can be defined for a specific database or as a default server policy:

  • I criteri server si applicano a tutti i database nuovi ed esistenti in un server.A server policy applies to all existing and newly created databases on the server.

  • Se il controllo BLOB del server è abilitato, si applica sempre al database.If server blob auditing is enabled, it always applies to the database. Il database verrà controllato, indipendentemente dalle impostazioni di controllo del database.The database will be audited, regardless of the database auditing settings.

  • L'abilitazione del controllo BLOB nel database o nel data warehouse in aggiunta all'abilitazione nel server non sostituisce né modifica le impostazioni del controllo BLOB del server.Enabling blob auditing on the database or data warehouse, in addition to enabling it on the server, does not override or change any of the settings of the server blob auditing. I due controlli coesisteranno.Both audits will exist side by side. In altre parole, il database viene controllato due volte in parallelo, una volta con i criteri del server e una volta con i criteri del database.In other words, the database is audited twice in parallel; once by the server policy and once by the database policy.

    Nota

    È consigliabile evitare di abilitare contemporaneamente il controllo BLOB del server e il controllo BLOB del database ad eccezione dei casi seguenti:You should avoid enabling both server blob auditing and database blob auditing together, unless:

    • Si vuole usare un account di archiviazione o un periodo di conservazione diverso per un database specifico.You want to use a different storage account or retention period for a specific database.
    • Per un database specifico si vogliono controllare tipi o categorie di eventi diversi dagli altri database nel server.You want to audit event types or categories for a specific database that differ from the rest of the databases on the server. Ad esempio, potrebbe essere necessario controllare gli inserimenti di tabella solo per un database specifico.For example, you might have table inserts that need to be audited only for a specific database.

    Negli altri casi, è consigliabile abilitare solo il controllo BLOB a livello di server e lasciare disabilitato il controllo a livello di database per tutti i database.Otherwise, we recommended that you enable only server-level blob auditing and leave the database-level auditing disabled for all databases.

Configurare il controllo per il databaseSet up auditing for your database

Nella sezione seguente è descritta la configurazione del controllo mediante il portale di Azure.The following section describes the configuration of auditing using the Azure portal.

  1. Accedere al portale di Azure.Go to the Azure portal.

  2. Passare a Controllo nell'intestazione Sicurezza nel riquadro del database SQL o del server.Navigate to Auditing under the Security heading in your SQL database/server pane.

    Riquadro di spostamentoNavigation pane

  3. Se si preferisce configurare un criterio di controllo del server, è possibile selezionare il collegamento Visualizza impostazioni del server nella pagina relativa al controllo del database.If you prefer to set up a server auditing policy, you can select the View server settings link on the database auditing page. Si possono quindi visualizzare o modificare le impostazioni di controllo del server.You can then view or modify the server auditing settings. I criteri di controllo del server si applicano a tutti i database esistenti e ai nuovi database creati in questo server.Server auditing policies apply to all existing and newly created databases on this server.

    Riquadro di spostamento

  4. Se si preferisce abilitare il controllo a livello di database, impostare Controllo su ATTIVA.If you prefer to enable auditing on the database level, switch Auditing to ON.

    Se il controllo del server è abilitato, il controllo configurato del database coesisterà con il controllo del server.If server auditing is enabled, the database-configured audit will exist side-by-side with the server audit.

    Riquadro di spostamento

  5. Nuovo -sono ora disponibili più opzioni per la configurazione in cui verranno scritti i log di controllo.New - You now have multiple options for configuring where audit logs will be written. È possibile scrivere i log in un account di archiviazione di Azure, in un'area di lavoro Log Analytics per l'uso da log di monitoraggio di Azure o nell'hub eventi per l'uso con hub eventi.You can write logs to an Azure storage account, to a Log Analytics workspace for consumption by Azure Monitor logs, or to event hub for consumption using event hub. È possibile configurare qualsiasi combinazione di queste opzioni e verranno scritti i log di controllo per ognuno.You can configure any combination of these options, and audit logs will be written to each.

    Avviso

    L'abilitazione del controllo per Log Analytics comporterà costi in base ai tassi di inserimento.Enabling auditing to Log Analytics will incur cost based on ingestion rates. Per conoscere i costi associati, usare questa opzioneoppure prendere in considerazione l'archiviazione dei log di controllo in un account di archiviazione di Azure.Please be aware of the associated cost with using this option, or consider storing the audit logs in an Azure storage account.

    opzioni di archiviazione

  6. Per configurare la scrittura dei log per un account di archiviazione, selezionare memorizzazione e aprire dettagli archiviazione.To configure writing audit logs to a storage account, select Storage and open Storage details. Selezionare l'account di archiviazione di Azure in cui verranno salvati i log e quindi selezionare il periodo di conservazione.Select the Azure storage account where logs will be saved, and then select the retention period. I log meno recenti verranno eliminati.The old logs will be deleted. Fare quindi clic su OK.Then click OK.

    Importante

    Il valore predefinito per il periodo di memorizzazione è 0 (conservazione illimitata).The default value for retention period is 0 (unlimited retention). È possibile modificare questo valore spostando il dispositivo di scorrimento conservazione (giorni) nelle impostazioni di archiviazione quando si configura l'account di archiviazione per il controllo.You can change this value by moving the Retention (Days) slider in Storage settings when configuring the storage account for auditing.

    archiviazione di Azure

  7. Per configurare la scrittura dei log di controllo in un'area di lavoro Log Analytics, selezionare Log Analytics (anteprima) e aprire Dettagli di Log Analytics.To configure writing audit logs to a Log Analytics workspace, select Log Analytics (Preview) and open Log Analytics details. Selezionare o creare l'area di lavoro Log Analytics in cui verranno scritti i log e quindi scegliere OK.Select or create the Log Analytics workspace where logs will be written and then click OK.

    Area di lavoro Log Analytics

  8. Per configurare la scrittura dei log a un hub eventi, selezionare Hub eventi (anteprima) e aprire i dettagli dell'Hub eventi.To configure writing audit logs to an event hub, select Event Hub (Preview) and open Event Hub details. Selezionare l'hub eventi in cui verranno scritti i log e quindi fare clic su OK.Select the event hub where logs will be written and then click OK. Assicurarsi che l'hub eventi si trovi nella stessa area del database e server.Be sure that the event hub is in the same region as your database and server.

    Hub eventi

  9. Fare clic su Save.Click Save.

  10. Per personalizzare gli eventi controllati, è possibile usare i cmdlet PowerShell o l'API REST.If you want to customize the audited events, you can do this via PowerShell cmdlets or the REST API.

  11. Dopo aver configurato le impostazioni di controllo, è possibile attivare la nuova funzionalità di rilevamento delle minacce e configurare gli indirizzi di posta elettronica per ricevere gli avvisi di sicurezza.After you've configured your auditing settings, you can turn on the new threat detection feature and configure emails to receive security alerts. Quando si usa il rilevamento delle minacce, si ricevono avvisi proattivi sulle attività di database anomale che possono indicare potenziali minacce per la sicurezza.When you use threat detection, you receive proactive alerts on anomalous database activities that can indicate potential security threats. Per altre informazioni, vedere Introduzione al rilevamento delle minacce.For more information, see Getting started with threat detection.

Importante

Non è possibile abilitare il controllo in una Azure SQL Data Warehouse sospesa.Enabling auditing on an paused Azure SQL Data Warehouse is not possible. Per abilitarla, annullare la sospensione dell'data warehouse.To enable it, un-pause the Data Warehouse.

Avviso

L'abilitazione del controllo in un server che dispone di un Azure SQL Data Warehouse su di essa comporterà la ripresa della data warehouse e la nuova sospensione, il che potrebbe comportare addebiti per la fatturazione.Enabling auditing on a server that has an Azure SQL Data Warehouse on it will result in the Data Warehouse being resumed and re-paused again which may incur in billing charges.

Analizzare i log di controllo e i reportAnalyze audit logs and reports

Se si sceglie di scrivere i log di controllo nei log di monitoraggio di Azure:If you chose to write audit logs to Azure Monitor logs:

  • Usare il portale di Azure.Use the Azure portal. Aprire il database corrispondente.Open the relevant database. Nella parte superiore della pagina Controllo del database fare clic su Visualizza log di controllo.At the top of the database's Auditing page, click View audit logs.

    visualizzare i log di controllo

  • Quindi, sono disponibili due modi per visualizzare i log:Then, you have two ways to view the logs:

    Facendo clic su log Analytics nella parte superiore della pagina record di controllo , si aprirà la visualizzazione log nell'area di lavoro log Analytics, in cui è possibile personalizzare l'intervallo di tempo e la query di ricerca.Clicking on Log Analytics at the top of the Audit records page will open the Logs view in Log Analytics workspace, where you can customize the time range and the search query.

    Apri in area di lavoro Log Analytics

    Facendo clic su Visualizza dashboard nella parte superiore della pagina record di controllo , si aprirà un dashboard che visualizza le informazioni sui log di controllo, in cui è possibile eseguire il drill-down nelle informazioni dettagliate sulla sicurezza, accedere ai dati sensibili e altro ancora.Clicking View dashboard at the top of the Audit records page will open a dashboard displaying audit logs info, where you can drill down into Security Insights, Access to Sensitive Data and more. Questo dashboard è stato progettato per ottenere informazioni approfondite sulla sicurezza per i dati.This dashboard is designed to help you gain security insights for your data. È anche possibile personalizzare l'intervallo di tempo e la query di ricerca.You can also customize the time range and search query. Visualizza dashboard Log AnalyticsView Log Analytics Dashboard

    Dashboard Log Analytics

    Informazioni dettagliate sulla sicurezza Log Analytics

  • In alternativa, è possibile accedere anche i log di controllo dal pannello Log Analytics.Alternatively, you can also access the audit logs from Log Analytics blade. Aprire l'area di lavoro Log Analytics e nella sezione generale fare clic su log.Open your Log Analytics workspace and under General section, click Logs. È possibile iniziare con una query semplice, ad esempio: cercare "SQLSecurityAuditEvents" per visualizzare i log di controllo.You can start with a simple query, such as: search "SQLSecurityAuditEvents" to view the audit logs. Da qui è anche possibile usare i log di monitoraggio di Azure per eseguire ricerche avanzate sui dati del log di controllo.From here, you can also use Azure Monitor logs to run advanced searches on your audit log data. Log di monitoraggio di Azure offre informazioni operative in tempo reale usando la ricerca integrata e i dashboard personalizzati per analizzare rapidamente milioni di record in tutti i carichi di lavoro e i server.Azure Monitor logs gives you real-time operational insights using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers. Per altre informazioni utili sul linguaggio di ricerca dei log di Azure e sui comandi, vedere i riferimenti alla ricerca nei log di monitoraggiodi Azure.For additional useful information about Azure Monitor logs search language and commands, see Azure Monitor logs search reference.

Se si sceglie di scrivere i log di controllo su Hub eventi:If you chose to write audit logs to Event Hub:

  • Per utilizzare i dati dei log di controllo da Hub eventi, è necessario configurare un flusso per utilizzare gli eventi e scriverli in una destinazione.To consume audit logs data from Event Hub, you will need to set up a stream to consume events and write them to a target. Per altre informazioni, vedere la documentazione di Hub eventi di Azure.For more information, see Azure Event Hubs Documentation.
  • I log di controllo in Hub eventi vengono acquisiti nel corpo degli eventi di Apache Avro e archiviati usando la formattazione JSON con codifica UTF-8.Audit logs in Event Hub are captured in the body of Apache Avro events and stored using JSON formatting with UTF-8 encoding. Per leggere i log di controllo, è possibile usare Avro Tools o strumenti simili in grado di elaborare tale formato.To read the audit logs, you can use Avro Tools or similar tools that process this format.

Se si sceglie di scrivere i log di controllo in un account di archiviazione di Azure, esistono diversi metodi che è possibile usare per visualizzare i log:If you chose to write audit logs to an Azure storage account, there are several methods you can use to view the logs:

  • I log di controllo vengono aggregati nell'account selezionato durante la configurazione.Audit logs are aggregated in the account you chose during setup. È possibile esplorare i log di controllo con uno strumento come Azure Storage Explorer.You can explore audit logs by using a tool such as Azure Storage Explorer. Nell'archiviazione di Azure, i log del controllo vengono salvati come raccolta di file BLOB in un contenitore denominato sqldbauditlogs.In Azure storage, auditing logs are saved as a collection of blob files within a container named sqldbauditlogs. Per ulteriori informazioni sulla gerarchia della cartella di archiviazione, le convenzioni di denominazione e il formato di log, vedere il formato del registro di controllo del database SQL.For further details about the hierarchy of the storage folder, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Usare il portale di Azure.Use the Azure portal. Aprire il database corrispondente.Open the relevant database. Nella parte superiore della pagina Controllo del database fare clic su Visualizza log di controllo.At the top of the database's Auditing page, click View audit logs.

    Riquadro di spostamento

    Verrà aperto Record di controllo, da cui sarà possibile visualizzare i log.Audit records opens, from which you'll be able to view the logs.

    • È possibile visualizzare date specifiche facendo clic su Filtro nella parte superiore della pagina Record di controllo.You can view specific dates by clicking Filter at the top of the Audit records page.

    • È possibile passare da un record di controllo all'altro creato dai criteri di controllo del server e dai criteri di controllo del database attivando o disattivando Origine controllo.You can switch between audit records that were created by the server audit policy and the database audit policy by toggling Audit Source.

    • È possibile visualizzare solo i record di controllo correlati a SQL injection selezionando la casella di controllo Visualizza solo i record di controllo per SQL injection.You can view only SQL injection related audit records by checking Show only audit records for SQL injections checkbox.

      Riquadro di spostamento

  • Usare la funzione di sistema sys.fn_get_audit_file (T-SQL) per tornare ai dati dei log di controllo in formato tabulare.Use the system function sys.fn_get_audit_file (T-SQL) to return the audit log data in tabular format. Per altre informazioni su questa funzione, vedere sys.fn_get_audit_file.For more information on using this function, see sys.fn_get_audit_file.

  • Usare Unisci file di controllo in SQL Server Management Studio (a partire da SSMS 17):Use Merge Audit Files in SQL Server Management Studio (starting with SSMS 17):

    1. Dalla barra dei menu di SSMS selezionare File > Apri > Unisci file di controllo.From the SSMS menu, select File > Open > Merge Audit Files.

      Riquadro di spostamento

    2. Verrà visualizzata la finestra di dialogo Aggiunti file di controllo.The Add Audit Files dialog box opens. Selezionare una delle opzioni Aggiungi per scegliere se unire i file di controllo da un disco locale oppure importarli da Archiviazione di Azure.Select one of the Add options to choose whether to merge audit files from a local disk or import them from Azure Storage. È necessario specificare i dettagli e la chiave dell'account di Archiviazione di Azure.You are required to provide your Azure Storage details and account key.

    3. Dopo aver aggiunto tutti i file da unire, fare clic su OK per completare l'operazione di unione.After all files to merge have been added, click OK to complete the merge operation.

    4. Il file unito verrà aperto in SSMS, dove potrà essere visualizzato, analizzato ed esportato in un file XEL o CSV o in una tabella.The merged file opens in SSMS, where you can view and analyze it, as well as export it to an XEL or CSV file, or to a table.

  • Usare Power BI.Use Power BI. È possibile visualizzare e analizzare i dati dei log di controllo in Power BI.You can view and analyze audit log data in Power BI. Per altre informazioni e per accedere a un modello scaricabile, vedere Analyze audit log data in Power BI (Analizzare i dati di log di controllo in Power BI).For more information and to access a downloadable template, see Analyze audit log data in Power BI.

  • Scaricare i file di log dal contenitore BLOB del servizio di archiviazione di Azure tramite il portale o con uno strumento come Azure Storage Explorer.Download log files from your Azure Storage blob container via the portal or by using a tool such as Azure Storage Explorer.

    • Dopo aver scaricato un file di log in locale, fare doppio clic sul file per aprire, visualizzare e analizzare i log in SSMS.After you have downloaded a log file locally, double-click the file to open, view, and analyze the logs in SSMS.
    • È anche possibile scaricare più file contemporaneamente tramite Azure Storage Explorer.You can also download multiple files simultaneously via Azure Storage Explorer. Per farlo, fare clic con il pulsante destro del mouse su una sottocartella specifica e scegliere Salva con nome per salvarla in una cartella locale.To do so, right-click a specific subfolder and select Save as to save in a local folder.
  • Altri metodi:Additional methods:

    • Dopo avere scaricato diversi file o una sottocartella contenente i file di log, è possibile unirli in locale come descritto nelle istruzioni relative all'unione di file di controllo in SSMS riportate in precedenza.After downloading several files or a subfolder that contains log files, you can merge them locally as described in the SSMS Merge Audit Files instructions described previously.

    • Visualizzare i log del controllo BLOB a livello di codice:View blob auditing logs programmatically:

Procedure nell'ambiente di produzioneProduction practices

Controllo dei database con replica geograficaAuditing geo-replicated databases

Con i database con replica geografica, quando si abilita il controllo nel database primario il database secondario disporrà di un criterio di controllo identico.With geo-replicated databases, when you enable auditing on the primary database the secondary database will have an identical auditing policy. È anche possibile impostare il controllo nel database secondario abilitando il controllo nel server secondario, in modo indipendente dal database primario.It is also possible to set up auditing on the secondary database by enabling auditing on the secondary server, independently from the primary database.

  • Livello server (consigliato): attivare il controllo sia nel server primario che nel server secondario. I database primari e secondari saranno controllati in modo indipendente in base ai rispettivi criteri a livello di server.Server-level (recommended): Turn on auditing on both the primary server as well as the secondary server - the primary and secondary databases will each be audited independently based on their respective server-level policy.
  • A livello di database: il controllo a livello di database per i database secondari può essere configurato solo mediante le impostazioni di controllo del database primario.Database-level: Database-level auditing for secondary databases can only be configured from Primary database auditing settings.
    • Il controllo deve essere abilitato nello stesso database primario e non nel server.Auditing must be enabled on the primary database itself, not the server.

    • Dopo che il controllo è stato abilitato nel database primario, verrà abilitato anche nel database secondario.After auditing is enabled on the primary database, it will also become enabled on the secondary database.

      Importante

      In caso di controllo a livello di database, le impostazioni di archiviazione per il database secondario sono identiche a quelle del database primario, e causano traffico tra le aree.With database-level auditing, the storage settings for the secondary database will be identical to those of the primary database, causing cross-regional traffic. È consigliabile abilitare solo il controllo a livello di server e lasciare disabilitato il controllo a livello di database per tutti i database.We recommend that you enable only server-level auditing, and leave the database-level auditing disabled for all databases.

Rigenerazione delle chiavi di archiviazioneStorage key regeneration

Durante la produzione è probabile che periodicamente vengano aggiornate le chiavi di archiviazione.In production, you are likely to refresh your storage keys periodically. Quando si scrivono i log di controllo nell'archiviazione di Azure, è necessario salvare nuovamente i criteri di controllo quando si aggiornano le chiavi.When writing audit logs to Azure storage, you need to resave your auditing policy when refreshing your keys. Il processo è il seguente:The process is as follows:

  1. Aprire Dettagli archiviazione.Open Storage Details. Nella casella Chiave di accesso alle risorse di archiviazione selezionare Secondaria e fare clic su OK.In the Storage Access Key box, select Secondary, and click OK. Fare quindi clic su Salva nella parte superiore della pagina di configurazione del controllo.Then click Save at the top of the auditing configuration page.

    Riquadro di spostamento

  2. Passare alla pagina di configurazione dell'archiviazione e rigenerare la chiave di accesso primaria.Go to the storage configuration page and regenerate the primary access key.

    Riquadro di spostamento

  3. Tornare alla pagina di configurazione del controllo, modificare la chiave di accesso alle risorse di archiviazione da secondaria a primaria e quindi fare clic su OK.Go back to the auditing configuration page, switch the storage access key from secondary to primary, and then click OK. Fare quindi clic su Salva nella parte superiore della pagina di configurazione del controllo.Then click Save at the top of the auditing configuration page.

  4. Tornare alla pagina di configurazione dell'archiviazione e rigenerare la chiave di accesso secondaria (in preparazione al successivo ciclo di aggiornamento della chiave).Go back to the storage configuration page and regenerate the secondary access key (in preparation for the next key's refresh cycle).

Informazioni aggiuntiveAdditional Information

  • Per dettagli sul formato dei log, sulla gerarchia della cartella di archiviazione e sulle convenzioni di denominazione, vedere le informazioni di riferimento sul formato dei log del controllo BLOB.For details about the log format, hierarchy of the storage folder and naming conventions, see the Blob Audit Log Format Reference.

    Importante

    Il servizio di controllo del database SQL di Azure archivia 4000 caratteri di dati per i campi di tipo carattere in un record di controllo.Azure SQL Database Audit stores 4000 characters of data for character fields in an audit record. Quando i valori statement o data_sensitivity_information restituiti da un'azione controllabile contengono più di 4000 caratteri, i dati oltre i primi 4000 caratteri verranno troncati e non controllati.When the statement or the data_sensitivity_information values returned from an auditable action contain more than 4000 characters, any data beyond the first 4000 characters will be truncated and not audited.

  • I log di controllo vengono scritti in Accodare BLOBnell'archivio BLOB di Azure della sottoscrizione di Azure:Audit logs are written to Append Blobs in an Azure Blob storage on your Azure subscription:

    • Archiviazione Premium attualmente non è supportata da Accodare BLOB.Premium Storage is currently not supported by Append Blobs.
    • Storage in VNet attualmente non è supportato.Storage in VNet is currently not supported.
  • I criteri di controllo predefinito includono tutte le azioni e il set di gruppi di azioni seguente, che controllerà tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:The default auditing policy includes all actions and the following set of action groups, which will audit all the queries and stored procedures executed against the database, as well as successful and failed logins:

    BATCH_COMPLETED_GROUPBATCH_COMPLETED_GROUP
    SUCCESSFUL_DATABASE_AUTHENTICATION_GROUPSUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
    FAILED_DATABASE_AUTHENTICATION_GROUPFAILED_DATABASE_AUTHENTICATION_GROUP

    È possibile configurare il controllo per diversi tipi di azioni e gruppi di azioni tramite PowerShell, come descritto nella sezione Gestire il controllo del database SQL usando Azure PowerShell.You can configure auditing for different types of actions and action groups using PowerShell, as described in the Manage SQL database auditing using Azure PowerShell section.

  • Quando si usa l'autenticazione di AAD, i record degli accessi non riusciti non vengono visualizzati nel log di controllo di SQL.When using AAD Authentication, failed logins records will not appear in the SQL audit log. Per visualizzare i record di controllo degli accessi non riusciti, è necessario visitare il portale di Azure Active Directory, che registra i dettagli di questi eventi.To view failed login audit records, you need to visit the Azure Active Directory portal, which logs details of these events.

Gestire il controllo del database SQL usando Azure PowerShellManage SQL database auditing using Azure PowerShell

Cmdlet PowerShell (incluso il supporto della clausola WHERE per altri filtri) :PowerShell cmdlets (including WHERE clause support for additional filtering):

Per un esempio di script, vedere Configurare il controllo del database SQL e il rilevamento delle minacce usando PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Gestire il controllo del database SQL usando l'API RESTManage SQL database auditing using REST API

API REST:REST API:

Criteri estesi con il supporto della clausola WHERE per altri filtri:Extended policy with WHERE clause support for additional filtering:

Gestire il controllo del database SQL tramite modelli di Azure Resource ManagerManage SQL database auditing using Azure Resource Manager templates

È possibile gestire il controllo del database SQL di Azure usando i modelli di Azure Resource Manager, come illustrato negli esempi seguenti:You can manage Azure SQL database auditing using Azure Resource Manager templates, as shown in these examples:

Nota

Gli esempi collegati si trovano in un repository pubblico esterno e vengono forniti "così come sono", senza garanzia, e non sono supportati in alcun programma o servizio di supporto tecnico Microsoft.The linked samples are on an external public repository and are provided 'as is', without warranty, and are not supported under any Microsoft support program/service.