Inspekcja Azure SQL Database i usługi Azure Synapse AnalyticsAuditing for Azure SQL Database and Azure Synapse Analytics

dotyczy:  tak Azure SQL Database  tak, aby usługa Azure Synapse Analytics (wersja zapoznawcza)APPLIES TO: yesAzure SQL Database yesAzure Synapse Analytics (Preview)

Inspekcja dla Azure SQL Database i usługi Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, log Analytics obszarze roboczym lub Event Hubs.Auditing for Azure SQL Database and Azure Synapse Analytics tracks database events and writes them to an audit log in your Azure storage account, Log Analytics workspace, or Event Hubs.

Ponadto inspekcja:Auditing also:

  • Pomaga zachować zgodność z przepisami, analizować aktywność bazy danych oraz uzyskać wgląd w odchylenia i anomalie, które mogą oznaczać problemy biznesowe lub podejrzane naruszenia zabezpieczeń.Helps you maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.

  • Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności.Enables and facilitates adherence to compliance standards, although it doesn't guarantee compliance. Aby uzyskać więcej informacji na temat programów platformy Azure, które obsługują zgodność ze standardami, zobacz Centrum zaufania Azure , w którym można znaleźć najbardziej aktualną listę certyfikatów zgodności z usługą Azure SQL.For more information about Azure programs that support standards compliance, see the Azure Trust Center where you can find the most current list of Azure SQL compliance certifications.

Uwaga

Aby uzyskać informacje na temat inspekcji wystąpienia zarządzanego usługi Azure SQL, zobacz następujący artykuł: wprowadzenie do inspekcji wystąpienia zarządzanego SQL.For information on Azure SQL Managed Instance auditing, see the following article, Get started with SQL Managed Instance auditing.

PodsumowanieOverview

Inspekcji SQL Database można użyć do:You can use SQL Database auditing to:

  • Zachowaj dziennik inspekcji dla wybranych zdarzeń.Retain an audit trail of selected events. Możesz zdefiniować kategorie akcji bazy danych, które mają być poddane inspekcji.You can define categories of database actions to be audited.
  • Raport dotyczący działania bazy danych.Report on database activity. Możesz użyć wstępnie skonfigurowanych raportów i pulpitu nawigacyjnego, aby szybko rozpocząć pracę z raportowaniem aktywności i zdarzeń.You can use pre-configured reports and a dashboard to get started quickly with activity and event reporting.
  • Analizuj raporty.Analyze reports. Można znaleźć podejrzane zdarzenia, nietypową aktywność i trendy.You can find suspicious events, unusual activity, and trends.

Ważne

Inspekcja Azure SQL Database jest zoptymalizowana pod kątem dostępności i wydajności.Azure SQL Database auditing is optimized for availability and performance. Podczas bardzo dużego działania Azure SQL Database lub usługa Azure Synapse umożliwia wykonywanie operacji i może nie rejestrować niektórych zdarzeń poddawanych inspekcji.During very high activity Azure SQL Database or Azure Synapse allows operations to proceed and may not record some audited events.

Ograniczenia inspekcjiAuditing limitations

  • Usługa Premium Storage nie jest obecnie obsługiwana.Premium storage is currently not supported.
  • Hierarchiczna przestrzeń nazw dla konta usługi Azure Data Lake Storage Gen2 Storage nie jest obecnie obsługiwana.Hierarchical namespace for Azure Data Lake Storage Gen2 storage account is currently not supported.
  • Włączanie inspekcji wstrzymanej usługi Azure Synapse nie jest obsługiwane.Enabling auditing on a paused Azure Synapse is not supported. Aby włączyć inspekcję, Wznów działanie usługi Azure Synapse.To enable auditing, resume Azure Synapse.

Definiowanie zasad inspekcji na poziomie serwera i na poziomie bazy danychDefine server-level vs. database-level auditing policy

Zasady inspekcji można zdefiniować dla konkretnej bazy danych lub jako domyślne zasady serwera na platformie Azure (które hosty SQL Database lub Azure Synapse):An auditing policy can be defined for a specific database or as a default server policy in Azure (which hosts SQL Database or Azure Synapse):

  • Zasady serwera dotyczą wszystkich istniejących i nowo utworzonych baz danych na serwerze.A server policy applies to all existing and newly created databases on the server.

  • Jeśli Inspekcja serwera jest włączona, zawsze ma zastosowanie do bazy danych programu.If server auditing is enabled, it always applies to the database. Baza danych będzie poddawana inspekcji, niezależnie od ustawień inspekcji bazy danych.The database will be audited, regardless of the database auditing settings.

  • Włączenie inspekcji bazy danych, poza włączeniem jej na serwerze, nie przesłania ani nie zmienia żadnych ustawień inspekcji serwera.Enabling auditing on the database, in addition to enabling it on the server, does not override or change any of the settings of the server auditing. Obie inspekcje będą istnieć obok siebie.Both audits will exist side by side. Inaczej mówiąc, baza danych jest monitorowana dwukrotnie. raz przez zasady serwera i jeden raz przez zasady bazy danych.In other words, the database is audited twice in parallel; once by the server policy and once by the database policy.

    Uwaga

    Należy unikać jednoczesnego włączania inspekcji serwera i inspekcji obiektów BLOB bazy danych, chyba że:You should avoid enabling both server auditing and database blob auditing together, unless:

    • Chcesz użyć innego konta magazynu, okresu przechowywania lub log Analytics obszaru roboczego dla określonej bazy danych.You want to use a different storage account, retention period or Log Analytics Workspace for a specific database.
    • Chcesz przeprowadzić inspekcję typów zdarzeń lub kategorii dla określonej bazy danych, która różni się od reszty baz danych na serwerze.You want to audit event types or categories for a specific database that differ from the rest of the databases on the server. Na przykład można mieć wstawienia tabeli, które muszą być poddane inspekcji tylko dla określonej bazy danych.For example, you might have table inserts that need to be audited only for a specific database.

    W przeciwnym razie zalecamy włączenie tylko inspekcji na poziomie serwera i pozostawienie wyłączonej inspekcji na poziomie bazy danych dla wszystkich baz danych.Otherwise, we recommended that you enable only server-level auditing and leave the database-level auditing disabled for all databases.

Skonfiguruj inspekcję serweraSet up auditing for your server

Domyślne zasady inspekcji obejmują wszystkie akcje i następujący zestaw grup akcji, który przeprowadzi inspekcję wszystkich zapytań i procedur składowanych wykonywanych w bazie danych, jak również pomyślnie i nieudanych logowań:The default auditing policy includes all actions and the following set of action groups, which will audit all the queries and stored procedures executed against the database, as well as successful and failed logins:

  • BATCH_COMPLETED_GROUPBATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUPSUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUPFAILED_DATABASE_AUTHENTICATION_GROUP

Inspekcję dla różnych typów akcji i grup akcji można skonfigurować przy użyciu programu PowerShell, zgodnie z opisem w sekcji Zarządzanie inspekcją SQL Database przy użyciu Azure PowerShell .You can configure auditing for different types of actions and action groups using PowerShell, as described in the Manage SQL Database auditing using Azure PowerShell section.

Azure SQL Database i usługa Azure Synapse Audit przechowuje 4000 znaków danych dla pól znaków w rekordzie inspekcji.Azure SQL Database and Azure Synapse Audit stores 4000 characters of data for character fields in an audit record. Gdy instrukcja lub data_sensitivity_information wartości zwracane z akcji objętej inspekcją zawierają więcej niż 4000 znaków, wszystkie dane spoza pierwszych 4000 znaków będą obcinane i nieobjęte inspekcją.When the statement or the data_sensitivity_information values returned from an auditable action contain more than 4000 characters, any data beyond the first 4000 characters will be truncated and not audited. W poniższej sekcji opisano konfigurację inspekcji przy użyciu Azure Portal.The following section describes the configuration of auditing using the Azure portal.

  1. Przejdź do Azure Portal.Go to the Azure portal.

  2. Przejdź do opcji Inspekcja pod nagłówkiem zabezpieczenia w okienku bazy danych SQL lub SQL Server .Navigate to Auditing under the Security heading in your SQL database or SQL server pane.

  3. Jeśli wolisz skonfigurować zasady inspekcji serwera, możesz wybrać łącze Wyświetl ustawienia serwera na stronie Inspekcja bazy danych.If you prefer to set up a server auditing policy, you can select the View server settings link on the database auditing page. Następnie można wyświetlić lub zmodyfikować ustawienia inspekcji serwera.You can then view or modify the server auditing settings. Zasady inspekcji serwera dotyczą wszystkich istniejących i nowo utworzonych baz danych na tym serwerze.Server auditing policies apply to all existing and newly created databases on this server.

    Okienko nawigacji

  4. Jeśli wolisz włączyć inspekcję na poziomie bazy danych, przełącz inspekcję na wartość włączone.If you prefer to enable auditing on the database level, switch Auditing to ON. Jeśli Inspekcja serwera jest włączona, inspekcja skonfigurowana dla bazy danych będzie istnieć równolegle z inspekcją serwera.If server auditing is enabled, the database-configured audit will exist side-by-side with the server audit.

  5. Istnieje wiele opcji konfigurowania, w których będą zapisywane dzienniki inspekcji.You have multiple options for configuring where audit logs will be written. Dzienniki można zapisywać na koncie usługi Azure Storage, w obszarze roboczym Log Analytics do użycia przez dzienniki Azure Monitor (wersja zapoznawcza) lub do centrum zdarzeń w celu użycia przy użyciu centrum zdarzeń (wersja zapoznawcza).You can write logs to an Azure storage account, to a Log Analytics workspace for consumption by Azure Monitor logs (preview), or to event hub for consumption using event hub (preview). Można skonfigurować dowolną kombinację tych opcji, a dzienniki inspekcji będą zapisywane w każdym z nich.You can configure any combination of these options, and audit logs will be written to each.

    Opcje magazynu

Inspekcja w miejscu docelowym magazynuAudit to storage destination

Aby skonfigurować zapisywanie dzienników inspekcji na koncie magazynu, wybierz pozycję Magazyn i Otwórz szczegóły magazynu.To configure writing audit logs to a storage account, select Storage and open Storage details. Wybierz konto usługi Azure Storage, na którym będą zapisywane dzienniki, a następnie wybierz okres przechowywania.Select the Azure storage account where logs will be saved, and then select the retention period. Następnie kliknij przycisk OK.Then click OK. Dzienniki starsze niż okres przechowywania są usuwane.Logs older than the retention period are deleted.

  • Wartość domyślna okresu przechowywania to 0 (nieograniczony czas przechowywania).The default value for retention period is 0 (unlimited retention). Tę wartość można zmienić, przesuwając suwak przechowywanie (dni) w ustawieniach magazynu podczas konfigurowania konta magazynu na potrzeby inspekcji.You can change this value by moving the Retention (Days) slider in Storage settings when configuring the storage account for auditing.

    • Jeśli zmienisz okres przechowywania z 0 (nieograniczony czas przechowywania) na inną wartość, należy pamiętać, że przechowywanie będzie dotyczyło tylko dzienników utworzonych po zmianie wartości przechowywania (dzienniki zapisane w okresie, gdy czas przechowywania był ustawiony na nieograniczony, nawet po włączeniu przechowywania).If you change retention period from 0 (unlimited retention) to any other value, please note that retention will only apply to logs written after retention value was changed (logs written during the period when retention was set to unlimited are preserved, even after retention is enabled).

    konto magazynu

UwagiRemarks

  • Dzienniki inspekcji są zapisywane w celu dołączania obiektów BLOB w usłudze Azure Blob Storage w ramach subskrypcji platformy AzureAudit logs are written to Append Blobs in an Azure Blob storage on your Azure subscription
  • Aby skonfigurować niezmienny magazyn dzienników dla zdarzeń inspekcji na poziomie serwera lub bazy danych, postępuj zgodnie z instrukcjami dostarczonymi przez usługę Azure Storage.To configure an immutable log store for the server or database-level audit events, follow the instructions provided by Azure Storage. Upewnij się, że wybrano opcję Zezwalaj na dodatkowe dołączenia podczas konfigurowania niezmiennego magazynu obiektów BLOB.Make sure you have selected Allow additional appends when you configure the immutable blob storage.
  • Dzienniki inspekcji można zapisywać na koncie usługi Azure Storage za siecią wirtualną lub zaporą.You can write audit logs to a an Azure Storage account behind a VNet or firewall. Aby uzyskać szczegółowe instrukcje, zobacz Inspekcja zapisu na koncie magazynu za siecią wirtualną i zaporą.For specific instructions see, Write audit to a storage account behind VNet and firewall.
  • Po skonfigurowaniu ustawień inspekcji można włączyć nową funkcję wykrywania zagrożeń i skonfigurować wiadomości e-mail w celu otrzymywania alertów zabezpieczeń.After you've configured your auditing settings, you can turn on the new threat detection feature and configure emails to receive security alerts. W przypadku korzystania z wykrywania zagrożeń otrzymywane są aktywne alerty dotyczące nietypowych działań bazy danych, które mogą wskazywać na potencjalne zagrożenia bezpieczeństwa.When you use threat detection, you receive proactive alerts on anomalous database activities that can indicate potential security threats. Aby uzyskać więcej informacji, zobacz wprowadzenie do wykrywania zagrożeń.For more information, see Getting started with threat detection.
  • Aby uzyskać szczegółowe informacje na temat formatu dziennika, hierarchii folderu magazynu i konwencji nazewnictwa, zobacz dokumentacja formatu dziennika inspekcji obiektów BLOB.For details about the log format, hierarchy of the storage folder and naming conventions, see the Blob Audit Log Format Reference.
  • W przypadku korzystania z uwierzytelniania usługi AAD rekordy nieudanych logowań nie będą widoczne w dzienniku inspekcji SQL.When using AAD Authentication, failed logins records will not appear in the SQL audit log. Aby wyświetlić nieudane rekordy inspekcji logowania, należy odwiedzić portal Azure Active Directory, w którym znajdują się szczegóły dotyczące tych zdarzeń.To view failed login audit records, you need to visit the Azure Active Directory portal, which logs details of these events.
  • Inspekcja replik tylko do odczytu jest włączana automatycznie.Auditing on Read-Only Replicas is automatically enabled. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz format dziennika inspekcji SQL Database.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

Inspekcja w celu Log Analytics lokalizacji docelowejAudit to Log Analytics destination

Aby skonfigurować zapisywanie dzienników inspekcji do obszaru roboczego Log Analytics, wybierz pozycję log Analytics (wersja zapoznawcza) i Otwórz log Analytics szczegóły.To configure writing audit logs to a Log Analytics workspace, select Log Analytics (Preview) and open Log Analytics details. Wybierz lub Utwórz obszar roboczy Log Analytics, w którym będą zapisywane dzienniki, a następnie kliknij przycisk OK.Select or create the Log Analytics workspace where logs will be written and then click OK.

LogAnalyticsworkspace

Inspekcja w miejscu docelowym centrum zdarzeńAudit to Event Hub destination

Ostrzeżenie

Włączenie inspekcji na serwerze, który ma pulę SQL Database, powoduje, że pula SQL Database zostaje wznowiona i ponownie wstrzymana , co może spowodować naliczenie opłat.Enabling auditing on a server that has a SQL Database pool on it results in the SQL Database pool being resumed and re-paused again which may incur billing charges. Włączanie inspekcji wstrzymanej puli SQL Database nie jest możliwe.Enabling auditing on a paused SQL Database pool is not possible. Aby ją włączyć, Cofnij wstrzymanie puli SQL Database.To enable it, un-pause the SQL Database pool.

Aby skonfigurować zapisywanie dzienników inspekcji do centrum zdarzeń, wybierz pozycję centrum zdarzeń (wersja zapoznawcza) i Otwórz szczegóły centrum zdarzeń.To configure writing audit logs to an event hub, select Event Hub (Preview) and open Event Hub details. Wybierz centrum zdarzeń, w którym będą zapisywane dzienniki, a następnie kliknij przycisk OK.Select the event hub where logs will be written and then click OK. Upewnij się, że centrum zdarzeń znajduje się w tym samym regionie, w którym znajduje się baza danych i serwer.Be sure that the event hub is in the same region as your database and server.

Eventhub

Analizowanie dzienników i raportów inspekcjiAnalyze audit logs and reports

W przypadku wybrania opcji zapisania dzienników inspekcji do Azure Monitor dzienników:If you chose to write audit logs to Azure Monitor logs:

  • Użyj Azure Portal.Use the Azure portal. Otwórz odpowiednią bazę danych.Open the relevant database. W górnej części strony Inspekcja bazy danych wybierz opcję Wyświetl dzienniki inspekcji.At the top of the database's Auditing page, select View audit logs.

    Wyświetlanie dzienników inspekcji

  • Następnie masz dwa sposoby wyświetlania dzienników:Then, you have two ways to view the logs:

    Kliknięcie log Analytics w górnej części strony rekordy inspekcji spowoduje otwarcie widoku dzienniki w obszarze roboczym log Analytics, gdzie można dostosować zakres czasu i zapytanie wyszukiwania.Clicking on Log Analytics at the top of the Audit records page will open the Logs view in Log Analytics workspace, where you can customize the time range and the search query.

    Otwórz w obszarze roboczym Log Analytics

    Kliknięcie przycisku Wyświetl pulpit nawigacyjny w górnej części strony rekordy inspekcji spowoduje otwarcie pulpitu nawigacyjnego wyświetlającego informacje o dziennikach inspekcji, w którym można przejść do szczegółowych informacji o zabezpieczeniach, uzyskać dostęp do poufnych danych i nie tylko.Clicking View dashboard at the top of the Audit records page will open a dashboard displaying audit logs info, where you can drill down into Security Insights, Access to Sensitive Data and more. Ten pulpit nawigacyjny umożliwia uzyskanie szczegółowych informacji o zabezpieczeniach danych.This dashboard is designed to help you gain security insights for your data. Możesz również dostosować zakres czasu i zapytanie wyszukiwania.You can also customize the time range and search query. Wyświetl pulpit nawigacyjny Log AnalyticsView Log Analytics Dashboard

    Pulpit nawigacyjny Log Analytics

    Log Analytics szczegółowe informacje o zabezpieczeniach

  • Alternatywnie można również uzyskać dostęp do dzienników inspekcji w bloku Log Analytics.Alternatively, you can also access the audit logs from Log Analytics blade. Otwórz obszar roboczy Log Analytics i w sekcji Ogólne kliknij pozycję dzienniki.Open your Log Analytics workspace and under General section, click Logs. Możesz zacząć od prostego zapytania, takiego jak: Search "SQLSecurityAuditEvents" , aby wyświetlić dzienniki inspekcji.You can start with a simple query, such as: search "SQLSecurityAuditEvents" to view the audit logs. W tym miejscu możesz również użyć dzienników Azure monitor , aby uruchomić zaawansowane wyszukiwania w danych dziennika inspekcji.From here, you can also use Azure Monitor logs to run advanced searches on your audit log data. Dzienniki Azure Monitor udostępniają usługi operacyjne w czasie rzeczywistym przy użyciu zintegrowanego wyszukiwania i niestandardowych pulpitów nawigacyjnych, które umożliwiają łatwe analizowanie milionów rekordów na wszystkich obciążeniach i serwerach.Azure Monitor logs gives you real-time operational insights using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers. Aby uzyskać dodatkowe informacje dotyczące Azure Monitor języka i poleceń wyszukiwania dzienników, zobacz artykuł Azure monitor Logs Search Reference.For additional useful information about Azure Monitor logs search language and commands, see Azure Monitor logs search reference.

W przypadku wybrania opcji zapisania dzienników inspekcji do centrum zdarzeń:If you chose to write audit logs to Event Hub:

  • Aby korzystać z danych inspekcji dzienników z centrum zdarzeń, należy skonfigurować strumień, który będzie korzystał z zdarzeń i zapisywać je w celu.To consume audit logs data from Event Hub, you will need to set up a stream to consume events and write them to a target. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Event Hubs.For more information, see Azure Event Hubs Documentation.
  • Dzienniki inspekcji w centrum zdarzeń są przechwytywane w treści zdarzeń Apache Avro i przechowywane przy użyciu formatowania JSON przy użyciu kodowania UTF-8.Audit logs in Event Hub are captured in the body of Apache Avro events and stored using JSON formatting with UTF-8 encoding. Aby odczytać dzienniki inspekcji, można użyć narzędzi Avro lub podobnych narzędzi, które przetwarzają ten format.To read the audit logs, you can use Avro Tools or similar tools that process this format.

W przypadku wybrania opcji zapisania dzienników inspekcji na koncie usługi Azure Storage istnieje kilka metod wyświetlania dzienników:If you chose to write audit logs to an Azure storage account, there are several methods you can use to view the logs:

  • Dzienniki inspekcji są agregowane na koncie wybranym podczas instalacji.Audit logs are aggregated in the account you chose during setup. Dzienniki inspekcji można eksplorować przy użyciu narzędzia, takiego jak Eksplorator usługi Azure Storage.You can explore audit logs by using a tool such as Azure Storage Explorer. W usłudze Azure Storage dzienniki inspekcji są zapisywane jako kolekcja plików obiektów BLOB w kontenerze o nazwie sqldbauditlogs.In Azure storage, auditing logs are saved as a collection of blob files within a container named sqldbauditlogs. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz format dziennika inspekcji SQL Database.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Użyj Azure Portal.Use the Azure portal. Otwórz odpowiednią bazę danych.Open the relevant database. W górnej części strony Inspekcja bazy danych kliknij pozycję Wyświetl dzienniki inspekcji.At the top of the database's Auditing page, click View audit logs.

    Okienko nawigacji

    Rekordy inspekcji są otwierane, z poziomu którego będziesz mieć możliwość wyświetlania dzienników.Audit records opens, from which you'll be able to view the logs.

    • Aby wyświetlić określone daty, kliknij pozycję Filtruj w górnej części strony Rejestrowanie inspekcji .You can view specific dates by clicking Filter at the top of the Audit records page.

    • Można przełączać się między rekordami inspekcji, które zostały utworzone przez zasady inspekcji serwera i zasad inspekcji bazy danych przez przełączenie źródła inspekcji.You can switch between audit records that were created by the server audit policy and the database audit policy by toggling Audit Source.

    • Można wyświetlić tylko rekordy inspekcji powiązane z iniekcją SQL, zaznaczając pole wyboru Pokaż tylko rekordy inspekcji dla iniekcji kodu SQL .You can view only SQL injection related audit records by checking Show only audit records for SQL injections checkbox.

      Okienko nawigacji

  • Użyj funkcji system sys. fn_get_audit_file (T-SQL), aby zwrócić dane dziennika inspekcji w formacie tabelarycznym.Use the system function sys.fn_get_audit_file (T-SQL) to return the audit log data in tabular format. Aby uzyskać więcej informacji na temat korzystania z tej funkcji, zobacz sys. fn_get_audit_file.For more information on using this function, see sys.fn_get_audit_file.

  • Użyj plików inspekcji scalania w SQL Server Management Studio (począwszy od programu SSMS 17):Use Merge Audit Files in SQL Server Management Studio (starting with SSMS 17):

    1. Z menu programu SSMS wybierz pozycję plik > Otwórz > pliki inspekcji scalania.From the SSMS menu, select File > Open > Merge Audit Files.

      Okienko nawigacji

    2. Zostanie otwarte okno dialogowe Dodawanie plików inspekcji .The Add Audit Files dialog box opens. Wybierz jedną z opcji dodawania , aby wybrać, czy pliki inspekcji mają być scalane z dysku lokalnego, czy też zaimportować je z usługi Azure Storage.Select one of the Add options to choose whether to merge audit files from a local disk or import them from Azure Storage. Musisz podać szczegóły i klucz konta usługi Azure Storage.You are required to provide your Azure Storage details and account key.

    3. Po dodaniu wszystkich plików do scalenia kliknij przycisk OK , aby ukończyć operację scalania.After all files to merge have been added, click OK to complete the merge operation.

    4. Scalony plik zostanie otwarty w programie SSMS, gdzie można go wyświetlić i przeanalizować, a także wyeksportować do pliku XEL lub CSV lub do tabeli.The merged file opens in SSMS, where you can view and analyze it, as well as export it to an XEL or CSV file, or to a table.

  • Użyj Power BI.Use Power BI. Można wyświetlać i analizować dane dziennika inspekcji w Power BI.You can view and analyze audit log data in Power BI. Aby uzyskać więcej informacji i uzyskać dostęp do możliwego do pobrania szablonu, zobacz Analizowanie danych dziennika inspekcji w Power BI.For more information and to access a downloadable template, see Analyze audit log data in Power BI.

  • Pobierz pliki dziennika z kontenera obiektów BLOB usługi Azure Storage za pośrednictwem portalu lub za pomocą narzędzia, takiego jak Eksplorator usługi Azure Storage.Download log files from your Azure Storage blob container via the portal or by using a tool such as Azure Storage Explorer.

    • Po pobraniu pliku dziennika lokalnie kliknij dwukrotnie plik, aby otworzyć, wyświetlić i analizować dzienniki w programie SSMS.After you have downloaded a log file locally, double-click the file to open, view, and analyze the logs in SSMS.
    • Możesz również pobrać wiele plików jednocześnie za pośrednictwem Eksplorator usługi Azure Storage.You can also download multiple files simultaneously via Azure Storage Explorer. Aby to zrobić, kliknij prawym przyciskiem myszy określony podfolder i wybierz polecenie Zapisz jako do zapisania w folderze lokalnym.To do so, right-click a specific subfolder and select Save as to save in a local folder.
  • Dodatkowe metody:Additional methods:

    • Po pobraniu kilku plików lub podfolderu, który zawiera pliki dziennika, można scalić je lokalnie zgodnie z opisem w artykule informacje o plikach inspekcji scalania programu SSMS opisane wcześniej.After downloading several files or a subfolder that contains log files, you can merge them locally as described in the SSMS Merge Audit Files instructions described previously.

    • Programowe Wyświetlanie dzienników inspekcji obiektów blob:View blob auditing logs programmatically:

Praktyki produkcyjneProduction practices

Inspekcja replikowanych geograficznie baz danychAuditing geo-replicated databases

Po włączeniu inspekcji podstawowej bazy danych przy użyciu baz danych z replikacją geograficzną pomocnicza baza danych będzie miała identyczne zasady inspekcji.With geo-replicated databases, when you enable auditing on the primary database the secondary database will have an identical auditing policy. Istnieje również możliwość skonfigurowania inspekcji pomocniczej bazy danych przez włączenie inspekcji na serwerze pomocniczymniezależnie od podstawowej bazy danych.It is also possible to set up auditing on the secondary database by enabling auditing on the secondary server, independently from the primary database.

  • Poziom serwera (zalecane): Włącz inspekcję zarówno na serwerze podstawowym , jak i na serwerze pomocniczym — podstawowe i pomocnicze bazy danych zostaną poddane inspekcji niezależnie od ich odpowiednich zasad na poziomie serwera.Server-level (recommended): Turn on auditing on both the primary server as well as the secondary server - the primary and secondary databases will each be audited independently based on their respective server-level policy.
  • Poziom bazy danych: Inspekcja na poziomie bazy danych dla pomocniczych baz danych można skonfigurować tylko przy użyciu ustawień inspekcji podstawowej bazy danych.Database-level: Database-level auditing for secondary databases can only be configured from Primary database auditing settings.
    • Inspekcja musi być włączona w podstawowej bazie danych, a nie na serwerze.Auditing must be enabled on the primary database itself, not the server.

    • Po włączeniu inspekcji w podstawowej bazie danych zostanie ona również włączona w pomocniczej bazie danych.After auditing is enabled on the primary database, it will also become enabled on the secondary database.

      Ważne

      W przypadku inspekcji na poziomie bazy danych ustawienia magazynu dla pomocniczej bazy danych będą takie same, jak w przypadku ruchu międzyregionalnego.With database-level auditing, the storage settings for the secondary database will be identical to those of the primary database, causing cross-regional traffic. Zalecamy włączenie tylko inspekcji na poziomie serwera i pozostawienie wyłączonej inspekcji na poziomie bazy danych dla wszystkich baz danych.We recommend that you enable only server-level auditing, and leave the database-level auditing disabled for all databases.

Ponowne generowanie klucza magazynuStorage key regeneration

W środowisku produkcyjnym można okresowo odświeżać klucze magazynu.In production, you are likely to refresh your storage keys periodically. Podczas zapisywania dzienników inspekcji w usłudze Azure Storage należy ponownie zapisać zasady inspekcji podczas odświeżania kluczy.When writing audit logs to Azure storage, you need to resave your auditing policy when refreshing your keys. Proces jest następujący:The process is as follows:

  1. Otwórz szczegóły magazynu.Open Storage Details. W polu klucz dostępu do magazynu wybierz pozycję pomocniczy, a następnie kliknij przycisk OK.In the Storage Access Key box, select Secondary, and click OK. Następnie kliknij pozycję Zapisz w górnej części strony Konfiguracja inspekcji.Then click Save at the top of the auditing configuration page.

    Okienko nawigacji

  2. Przejdź do strony Konfiguracja magazynu i ponownie Wygeneruj podstawowy klucz dostępu.Go to the storage configuration page and regenerate the primary access key.

    Okienko nawigacji

  3. Wróć do strony Konfiguracja inspekcji, przełącz klucz dostępu do magazynu z pomocnicza na podstawowy, a następnie kliknij przycisk OK.Go back to the auditing configuration page, switch the storage access key from secondary to primary, and then click OK. Następnie kliknij pozycję Zapisz w górnej części strony Konfiguracja inspekcji.Then click Save at the top of the auditing configuration page.

  4. Wróć do strony Konfiguracja magazynu i Wygeneruj ponownie pomocniczy klucz dostępu (w przygotowaniu dla cyklu odświeżania następnego klucza).Go back to the storage configuration page and regenerate the secondary access key (in preparation for the next key's refresh cycle).

Zarządzanie inspekcją Azure SQL DatabaseManage Azure SQL Database auditing

Korzystanie z programu Azure PowerShellUsing Azure PowerShell

Polecenia cmdlet programu PowerShell (w tym obsługa dodatkowych funkcji filtrowania):PowerShell cmdlets (including WHERE clause support for additional filtering):

Aby zapoznać się z przykładem skryptu, zobacz Konfigurowanie inspekcji i wykrywania zagrożeń przy użyciu programu PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Korzystanie z interfejsu API RESTUsing REST API

interfejs API REST:REST API:

Rozszerzone zasady z klauzulą WHERE obsługują dodatkowe filtrowanie:Extended policy with WHERE clause support for additional filtering:

Używanie szablonów usługi Azure Resource ManagerUsing Azure Resource Manager templates

Inspekcją Azure SQL Database można zarządzać przy użyciu szablonów Azure Resource Manager , jak pokazano w poniższych przykładach:You can manage Azure SQL Database auditing using Azure Resource Manager templates, as shown in these examples:

Uwaga

Połączone przykłady znajdują się w zewnętrznym repozytorium publicznym i są dostarczane w postaci "AS IS", bez rękojmi i nie są obsługiwane w ramach żadnego programu lub usługi pomocy technicznej firmy Microsoft.The linked samples are on an external public repository and are provided 'as is', without warranty, and are not supported under any Microsoft support program/service.