Samouczek: konfigurowanie dzienników inspekcji przy użyciu usługi Azure Database for MySQL — serwer elastyczny

  • Artykuł

DOTYCZY: Azure Database for MySQL — serwer elastyczny

Do konfigurowania dzienników inspekcji można użyć elastycznego serwera usługi Azure Database for MySQL. Dzienniki inspekcji mogą służyć do śledzenia aktywności na poziomie bazy danych, w tym połączeń, administracji, języka definicji danych (DDL) i zdarzeń języka manipulowania danymi (DML). Te typy dzienników są często używane na potrzeby zapewniania zgodności. Zazwyczaj inspekcja bazy danych jest używana do:

  • Konto dla wszystkich akcji, które mają miejsce w określonym schemacie, tabeli lub wierszu, lub które mają wpływ na określoną zawartość.
  • Uniemożliwiaj użytkownikom (lub innym) niewłaściwe działania na podstawie ich odpowiedzialności.
  • Zbadaj podejrzane działania.
  • Monitorowanie i zbieranie danych dotyczących określonych działań bazy danych.

W tym artykule omówiono sposób używania dzienników inspekcji MySQL, narzędzi usługi Log Analytics lub szablonu skoroszytu w celu wizualizacji informacji inspekcji dla serwera elastycznego usługi Azure Database for MySQL.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie inspekcji przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure
  • Konfigurowanie diagnostyki
  • Wyświetlanie dzienników inspekcji przy użyciu usługi Log Analytics
  • Wyświetlanie dzienników inspekcji przy użyciu skoroszytów

Wymagania wstępne

Konfigurowanie inspekcji przy użyciu witryny Azure Portal

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz wystąpienie serwera elastycznego.

  3. W okienku po lewej stronie w obszarze Ustawienia wybierz pozycję Parametry serwera.

    Screenshot showing the 'Server parameters' list.

  4. Dla parametru audit_log_enabled wybierz pozycję .

    Screenshot showing the 'audit_log_enabled' parameter switched to 'ON'.

  5. Dla parametru audit_log_events na liście rozwijanej wybierz typy zdarzeń do zarejestrowania.

    Screenshot of the event options in the 'audit_log_events' dropdown list.

  6. W przypadku parametrów audit_log_exclude_users i audit_log_include_users określ użytkowników programu MySQL, które mają zostać dołączone lub wykluczone z rejestrowania, podając nazwy użytkowników mySQL.

    Screenshot showing the MySQL usernames to be included or excluded from logging.

  7. Wybierz pozycję Zapisz.

    Screenshot of the 'Save' button for saving changes in the parameter values.

Konfigurowanie inspekcji przy użyciu interfejsu wiersza polecenia platformy Azure

Alternatywnie możesz włączyć i skonfigurować inspekcję serwera elastycznego z poziomu interfejsu wiersza polecenia platformy Azure, uruchamiając następujące polecenie:

# Enable audit logs
az mysql flexible-server parameter set \
--name audit_log_enabled \
--resource-group myresourcegroup \
--server-name mydemoserver \
--value ON

Konfigurowanie diagnostyki

Dzienniki inspekcji są zintegrowane z ustawieniami diagnostyki usługi Azure Monitor, aby umożliwić potok dzienniki do dowolnego z trzech ujścia danych:

  • Obszar roboczy usługi Log Analytics
  • Centrum zdarzeń
  • Konto magazynu

Uwaga

Przed skonfigurowaniem ustawień diagnostycznych należy utworzyć ujścia danych. Możesz uzyskać dostęp do dzienników inspekcji w skonfigurowanych ujściach danych. Wyświetlenie dzienników może potrwać do 10 minut.

  1. W okienku po lewej stronie w obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.

  2. W okienku Ustawienia diagnostyki wybierz pozycję Dodaj ustawienie diagnostyczne.

    Screenshot of the 'Add diagnostic setting' link on the 'Diagnostic settings' pane.

  3. W polu Nazwa wprowadź nazwę ustawienia diagnostyki.

    Screenshot of the 'Diagnostics settings' pane for selecting configuration options.

  4. Określ miejsca docelowe (obszar roboczy usługi Log Analytics, centrum zdarzeń lub konto magazynu), do których mają być wysyłane dzienniki inspekcji, zaznaczając odpowiednie pola wyboru.

    Uwaga

    Na potrzeby tego samouczka wyślesz dzienniki inspekcji do obszaru roboczego usługi Log Analytics.

  5. W obszarze Dziennik jako typ dziennika zaznacz pole wyboru MySqlAuditLogs .

  6. Po skonfigurowaniu ujścia danych do potoku dzienników inspekcji wybierz pozycję Zapisz.

Wyświetlanie dzienników inspekcji przy użyciu usługi Log Analytics

  1. W usłudze Log Analytics w okienku po lewej stronie w obszarze Monitorowanie wybierz pozycję Dzienniki.

  2. Zamknij okno Zapytania.

    Screenshot of the Log Analytics 'Queries' pane.

  3. W oknie zapytania można napisać zapytanie do wykonania. Aby na przykład znaleźć podsumowanie zdarzeń inspekcji na określonym serwerze, użyliśmy następującego zapytania:

    AzureDiagnostics
    |where Category =='MySqlAuditLogs' 
    |project TimeGenerated, Resource, event_class_s, event_subclass_s, event_time_t, user_s ,ip_s , sql_text_s 
    |summarize count() by event_class_s,event_subclass_s 
    |order by event_class_s

    Screenshot of an example Log Analytics query seeking to find a summary of audited events on a particular server.

Wyświetlanie dzienników inspekcji przy użyciu skoroszytów

Szablon skoroszytu używany do inspekcji wymaga utworzenia ustawień diagnostycznych w celu wysyłania dzienników platformy.

  1. W usłudze Azure Monitor w okienku po lewej stronie wybierz pozycję Dziennik aktywności, a następnie wybierz pozycję Ustawienia diagnostyki.

    Screenshot showing the 'Diagnostics settings' tab on the Azure Monitor 'Activity log' pane.

  2. W okienku Ustawienia diagnostyczne możesz dodać nowe ustawienie lub edytować istniejące. Każde ustawienie nie może mieć więcej niż jednego typu miejsca docelowego.

    Screenshot of the Azure Monitor 'Diagnostic setting' pane for selecting log destinations.

    Uwaga

    Możesz uzyskać dostęp do dzienników wolnych zapytań w ujściach danych (obszar roboczy usługi Log Analytics, konto magazynu lub centrum zdarzeń), które zostały już skonfigurowane. Wyświetlenie dzienników może potrwać do 10 minut.

  3. W witrynie Azure Portal w okienku po lewej stronie w obszarze Monitorowanie wystąpienia serwera elastycznego usługi Azure Database for MySQL wybierz pozycję Skoroszyty.

  4. Wybierz skoroszyt inspekcji.

    Screenshot showing all workbooks in the workbook gallery.

W skoroszycie można wyświetlić następujące wizualizacje:

  • Administracja istracyjne akcje w usłudze
  • Podsumowanie inspekcji
  • Podsumowanie zdarzeń inspekcji Połączenie ion
  • Inspekcja zdarzeń Połączenie ion
  • Podsumowanie dostępu do tabel
  • Zidentyfikowane błędy

Screenshot of workbook template 'Administrative Actions on the service'.

Screenshot of workbook template 'Audit Connection Events'.

Uwaga

Akcje Administracja istracyjne w widoku usługi zawierają szczegółowe informacje na temat działania wykonywanego w usłudze. Pomaga określić , co, kto i kiedy dla wszystkich operacji zapisu (PUT, POST, DELETE), które są wykonywane na zasobach w ramach subskrypcji.

Możesz użyć innych wizualizacji, aby lepiej zrozumieć szczegóły działania bazy danych. Zabezpieczenia bazy danych mają cztery części:

  • Zabezpieczenia serwera: Odpowiada za zapobieganie nieautoryzowanemu personelowi dostępu do bazy danych.
  • Połączenie z bazą danych: administrator powinien sprawdzić, czy jakiekolwiek aktualizacje bazy danych zostały wykonane przez autoryzowany personel.
  • Kontrola dostępu do tabel: pokazuje klucze dostępu autoryzowanych użytkowników oraz tabele w bazie danych, które są autoryzowane do obsługi.
  • Ograniczenie dostępu do bazy danych: szczególnie ważne dla tych, którzy przekazali bazę danych do Internetu, i pomaga zapobiec uzyskiwaniu dostępu do bazy danych zewnętrznych źródeł.

Następne kroki