Создание и настройка наблюдателя за базой данных (предварительная версия)

Применимо к:База данных SQL Azure Управляемый экземпляр SQL Azure

Наблюдатель за базами данных не требует развертывания и обслуживания агентов мониторинга или другой инфраструктуры мониторинга. В минутах можно включить подробный мониторинг ресурсов SQL Azure.

В этой статье содержатся подробные инструкции по созданию, настройке и запуску наблюдателя за базами данных в портал Azure.

Пошаговый пример создания и настройки наблюдателя за базами данных см . в кратком руководстве по созданию наблюдателя за базами данных для мониторинга SQL Azure.

Сведения о том, как создать и настроить наблюдатель за базами данных с помощью Bicep или шаблона ARM, см. в статье "Создание наблюдателя за базами данных".

Сведения о программном управлении наблюдателями баз данных см. в документации по REST API наблюдателя за базами данных.

Примечание.

Наблюдатель за базами данных в настоящее время находится в предварительной версии. Предварительные версии функций выпускаются с ограниченными возможностями, но предоставляются на основе предварительной версии , чтобы клиенты могли получать ранний доступ и предоставлять отзывы. Предварительные версии функций применяются к отдельным дополнительным предварительным условиям и не относятся к соглашениям об уровне обслуживания. Поддержка предоставляется в качестве наилучших усилий в некоторых случаях. Однако служба поддержки Майкрософт стремится получить отзывы о функциях предварительной версии и может обеспечить поддержку наилучших усилий в некоторых случаях. Предварительные версии функций могут иметь ограниченные или ограниченные функциональные возможности и могут быть доступны только в выбранных географических областях.

Необходимые компоненты

Чтобы использовать наблюдатель за базой данных, необходимы следующие предварительные требования.

• Вам потребуется активная подписка Azure. Если ее нет, создайте бесплатную учетную запись. Необходимо быть членом роли участника или роли владельца подписки или группы ресурсов, чтобы иметь возможность создавать ресурсы.

• Чтобы настроить наблюдатель за базами данных, вам потребуется существующий целевой объект SQL: база данных SQL Azure, эластичные пулы или управляемый экземпляр SQL.

  • Если у вас еще нет созданной базы данных SQL Azure, перейдите в краткое руководство. Создание одной базы данных. Найдите вариант, чтобы использовать ваше предложение, чтобы попробовать База данных SQL Azure бесплатно (предварительная версия).
  • Кроме того, попробуйте бесплатно Управляемый экземпляр SQL Azure (предварительная версия).

• Microsoft.KustoПоставщики Microsoft.DatabaseWatcherресурсов и Microsoft.Network поставщики ресурсов должны быть зарегистрированы в подписке Azure.

  • Чтобы использовать проверку подлинности SQL для подключений к ресурсам SQL Azure, Microsoft.KeyVault необходимо также зарегистрировать поставщика ресурсов. Дополнительные сведения о настройке для использования проверки подлинности SQL.

  Регистрация поставщика ресурсов выполняется автоматически, если у вас есть членство в роли владельца или участникаRBAC на уровне подписки. В противном случае пользователь в одной из этих ролей должен зарегистрировать поставщиков ресурсов перед созданием и настройкой наблюдателя. Дополнительные сведения см. в разделе Регистрация поставщика ресурсов.

• Пользователь, который создает и настраивает наблюдателя и ресурсы кластера Azure Data Обозреватель, должны быть членом роли владельца или участника RBAC для группы ресурсов или подписки, в которой создаются эти ресурсы.

  Кроме того, при использовании проверки подлинности SQL пользователь должен быть членом роли владельца группы ресурсов или членом роли администратора доступа владельца или пользователя для хранилища ключей, в которой хранятся учетные данные проверки подлинности SQL.

• Пользователь, который настраивает наблюдателя, должен иметь доступ администратора к целевым объектам SQL Azure. Наблюдатель предоставляет ограниченный доступ к целевым объектам мониторинга SQL. Дополнительные сведения см. в разделе "Предоставление доступа к целевым объектам".

• Чтобы предоставить наблюдателю доступ к целевому объекту SQL, необходимо выполнить скрипты T-SQL. Вы можете использовать SQL Server Management Studio (SSMS),Azure Data Studio или Visual Studio Code с расширением mssql SQL Server.

• Чтобы использовать Приватный канал Azure для частного подключения к ресурсам Azure, пользователь, утверждающий частную конечную точку, должен быть членом роли RBAC владельца или иметь необходимые разрешения RBAC. Дополнительные сведения см. в разделе "Утверждение RBAC" для частной конечной точки.

Создание наблюдателя

1. В меню навигации портал Azure выберите все службы. Выберите "Монитор" в качестве категории и в разделе "Средства мониторинга" выберите "Наблюдатели за базами данных". Кроме того, можно ввести наблюдатель за базой данных в поле поиска в верхней части страницы портала и выбрать наблюдателя за базами данных.

   Когда откроется представление "Наблюдатели за базами данных", нажмите кнопку "Создать".

2. На вкладке "Основные сведения" выберите подписку и группу ресурсов для наблюдателя, введите имя наблюдателя и выберите регион Azure.

   Совет

   Во время предварительной версии, если наблюдатель за базами данных еще недоступен в вашем регионе, его можно создать в другом регионе. Дополнительные сведения см. в разделе "Региональная доступность".

3. На вкладке "Удостоверение" состояние управляемого удостоверения , назначаемое системой, имеет значение On. В настоящее время создание наблюдателя без управляемого удостоверения, назначаемого системой, не поддерживается.

4. Выберите хранилище данных для наблюдателя.

   По умолчанию создание наблюдателя также создает кластер Azure Data Обозреватель и добавляет базу данных в этом кластере в качестве хранилища данных для собранных данных мониторинга.

   • По умолчанию новый кластер данных Azure Обозреватель использует дополнительный номер SKU, оптимизированный для вычислений. Это самый экономичный номер SKU, который по-прежнему предоставляет соглашение об уровне обслуживания (SLA). Этот кластер можно масштабировать позже по мере необходимости.

   • Кроме того, можно использовать базу данных в существующем кластере Azure Data Обозреватель в бесплатном кластере Обозреватель данных Azure или в аналитике в режиме реального времени.

     1. На вкладке "Хранилище данных" выберите параметр "Выбрать хранилище данных" и нажмите кнопку "Добавить".
     2. Выберите базу данных Аналитики в режиме реального времени или кластер Azure Data Обозреватель.
     3. При использовании существующего кластера Обозреватель данных Azure необходимо включить прием потоковой передачи.
     4. Создайте новую базу данных или используйте существующую базу данных.

     Примечание.

     Любая существующую базу данных, которую вы выбрали , должна быть пустой или должна быть базой данных, которая ранее использовалась в качестве хранилища данных наблюдателя за базами данных. Выбор базы данных, содержащей объекты, не созданные наблюдателем за базами данных, не поддерживается.

5. На вкладке целевых объектов SQL добавьте один или несколько ресурсов SQL Azure для мониторинга. Вы можете пропустить добавление целевых объектов SQL при создании наблюдателя и добавить их позже. Перед запуском наблюдателя необходимо добавить по крайней мере один целевой объект.

6. На вкладке "Просмотр и создание " проверьте конфигурацию наблюдателя и нажмите кнопку "Создать". Если выбрать параметр по умолчанию для создания нового кластера azure Data Обозреватель, развертывание обычно занимает 15–20 минут. Если выбрать базу данных в существующем кластере Azure Data Обозреватель, в бесплатном кластере azure Data Обозреватель или в аналитике в режиме реального времени развертывание обычно занимает до пяти минут.

7. После завершения развертывания предоставьте наблюдателю доступ к целевым объектам SQL.

   • При создании наблюдателя доступ к базе данных в новом или существующем кластере данных Azure Обозреватель предоставляется автоматически.
   • Однако при выборе базы данных необходимо предоставить доступ к хранилищу данных с помощью команды KQL:
     • Аналитика в режиме реального времени в Microsoft Fabric
     • Бесплатный кластер Azure Data Explorer.

8. Создайте управляемые частные конечные точки, если вы хотите использовать частное подключение.

Запуск и остановка наблюдателя

При создании наблюдателя оно не запускается автоматически, так как может потребоваться дополнительная конфигурация.

Для запуска наблюдателя у него должны быть:

• Хранилище данных.
• Как минимум один целевой объект.
• Доступ к хранилищу данных и целевым объектам
  • Доступ к хранилищу ключей, если для какого-либо целевого объекта выбрана проверка подлинности SQL.
• Частное или общедоступное подключение к целевым объектам, хранилище ключей (при использовании проверки подлинности SQL) и хранилище данных
  • Чтобы использовать частное подключение, необходимо создать частные конечные точки.

После полной настройки наблюдателя на странице обзора нажмите кнопку "Пуск ", чтобы начать сбор данных. Через несколько минут новые данные мониторинга отображаются в хранилище данных и на панелях мониторинга. Если новые данные не отображаются в течение пяти минут, см . раздел "Устранение неполадок".

Вы можете остановить наблюдатель с помощью кнопки "Остановить ", если вам не нужно отслеживать ресурсы SQL Azure в течение некоторого времени.

Чтобы перезапустить наблюдатель, остановите его и снова запустите его.

Изменение наблюдателя

В портал Azure можно добавлять или удалять целевые точки, создавать или удалять частные конечные точки или использовать другое хранилище данных для существующего наблюдателя.

Примечание.

Если не указано по-другому, изменения, внесенные в конфигурацию наблюдателя, становятся эффективными после остановки и перезапуска наблюдателя.

Добавление целевых объектов SQL в наблюдатель

Чтобы включить мониторинг наблюдателя за базами данных SQL Azure, эластичным пулом или управляемым экземпляром SQL, необходимо добавить этот ресурс в качестве целевого объекта SQL.

1. Чтобы добавить целевой объект, на странице целевых объектов SQL нажмите кнопку "Добавить".
2. Найдите ресурс SQL Azure, который вы хотите отслеживать. Выберите тип ресурса и подписку, а затем выберите целевой объект SQL из списка ресурсов. Целевой объект SQL может находиться в любой подписке в том же клиенте Идентификатора Microsoft Entra, что и наблюдатель.
3. Чтобы отслеживать основные реплика и вторичные реплика базы данных, эластичного пула или управляемого экземпляра SQL, добавьте два отдельных целевых объекта для одного ресурса и проверка поле намерения чтения для одного из них.
   • Проверка поля намерений чтения настраивает наблюдателя для мониторинга только вторичных реплика высокой доступности.
   • Не проверка поле намерения чтения, если вы хотите отслеживать только основной реплика, или если для этого ресурса не существует дополнительных реплика высокой доступности или если функция горизонтального масштабирования чтения отключена.

По умолчанию наблюдатель за базами данных использует проверку подлинности Microsoft Entra при подключении к целевым объектам SQL. Если вы хотите, чтобы наблюдатель использовал проверку подлинности SQL, проверка поле "Использовать проверку подлинности SQL" и введите необходимые сведения. Дополнительные сведения см. в статье "Дополнительная конфигурация для использования проверки подлинности SQL".

Удаление целевых объектов SQL из наблюдателя

Чтобы удалить один или несколько целевых объектов, откройте страницу целевых объектов SQL, выберите целевые объекты, которые нужно удалить в списке, и нажмите кнопку "Удалить".

Удаление целевого объекта останавливает мониторинг для ресурса SQL Azure после перезапуска наблюдателя, но не удаляет фактический ресурс.

При удалении ресурса SQL Azure, отслеживаемого наблюдателем за базами данных, необходимо также удалить соответствующий целевой объект. Поскольку существует ограничение на количество целевых объектов SQL, которые могут иметь наблюдатель, сохранение устаревших целевых объектов может блокировать добавление новых целевых объектов.

Создание управляемой частной конечной точки

Если вы хотите использовать частное подключение для сбора данных из целевых объектов SQL, для приема в хранилище данных и подключения к хранилищу ключей необходимо создать управляемые частные конечные точки. Если вы не создаете частные конечные точки, наблюдатель за базами данных по умолчанию использует общедоступное подключение.

Чтобы создать управляемую частную конечную точку, выполните приведенные действия.

1. Если существует блокировка только для чтения для ресурса, группы ресурсов или подписки ресурса, для которого создается управляемая частная конечная точка, удалите блокировку. После успешного создания частной конечной точки можно добавить блокировку.

2. Перейдите к наблюдателю за базами данных в портал Azure, откройте страницу управляемых частных конечных точек и нажмите кнопку "Добавить".

3. Укажите имя частной конечной точки.

4. Выберите подписку ресурса Azure, для которого нужно создать частную конечную точку.

5. В зависимости от ресурса, для которого требуется создать частную конечную точку, выберите тип ресурса и целевой вложенный ресурс следующим образом:

   Ресурс	Тип ресурса	Целевой подресурс
   Логический сервер	Microsoft.Sql/servers	sqlServer
   Управляемый экземпляр SQL	Microsoft.Sql/managedInstances	managedInstance
   Кластер Azure Data Explorer	Microsoft.Kusto/clusters	cluster
   Хранилище ключей	Microsoft.KeyVault/vaults	vault

6. Выберите ресурс, для которого нужно создать частную конечную точку. Это может быть логический сервер SQL Azure или управляемый экземпляр SQL, кластер azure Data Обозреватель или хранилище ключей.

   • Создание частной конечной точки для База данных SQL Azure логического сервера позволяет наблюдателям за базами данных подключаться ко всем целевым объектам базы данных и эластичного пула на этом сервере.

7. При необходимости введите описание частной конечной точки. Это может помочь владельцу ресурса утвердить запрос.

8. Нажмите кнопку создания. Для создания частной конечной точки может потребоваться одна или две минуты. Частная конечная точка создается после изменения состояния подготовки от Accepted или Running to Succeeded. Обновите представление, чтобы просмотреть текущее состояние подготовки.

   Внимание

   Частная конечная точка создается в состоянии ожидания . Он должен быть утвержден владельцем ресурса, прежде чем наблюдатель базы данных может использовать его для подключения к ресурсу.

   Чтобы владельцы ресурсов контролировали сетевое подключение, частные конечные точки наблюдателя за базами данных не утверждены автоматически.

9. Владелец ресурса должен утвердить запрос частной конечной точки.

   • В портал Azure владелец ресурса должен искать Приватный канал, чтобы открыть центр Приватный канал. В разделе "Ожидающие подключения" найдите созданную частную конечную точку, подтвердите его описание и сведения и выберите " Утвердить".
   • Вы также можете утвердить запросы частной конечной точки с помощью Azure CLI.

Если наблюдатель уже запущен при утверждении частной конечной точки, его необходимо перезапустить, чтобы начать использование частного подключения.

Удаление управляемой частной конечной точки

1. Если существует блокировка удаления ресурса, группы ресурсов или подписки ресурса, для которого создается управляемая частная конечная точка, удалите блокировку. Вы можете снова добавить блокировку после успешного удаления частной конечной точки.
2. На странице портал Azure наблюдателя за базой данных откройте страницу управляемых частных конечных точек.
3. Выберите частные конечные точки, которые нужно удалить.
4. Выберите команду Удалить.

Удаление управляемой частной конечной точки останавливает сбор данных из целевых объектов SQL, использующих эту частную конечную точку. Удаление управляемой частной конечной точки для кластера azure Data Обозреватель останавливает сбор данных для всех целевых объектов. Чтобы возобновить сбор данных, создайте частную конечную точку или включите общедоступное подключение и перезапустите наблюдатель.

Изменение хранилища данных для наблюдателя

Наблюдатель может иметь только одно хранилище данных.

Чтобы изменить текущее хранилище данных, удалите существующее хранилище данных, а затем добавьте новое хранилище данных.

• Чтобы удалить текущее хранилище данных, откройте страницу хранилища данных, выберите хранилище данных в сетке и нажмите кнопку "Удалить".

  • Удаление хранилища данных не удаляет фактическую базу данных хранилища данных в кластере azure data Обозреватель или в Аналитике в режиме реального времени в Microsoft Fabric.
  • Чтобы остановить сбор данных в удаленное хранилище данных, остановите наблюдателя.
  • При удалении хранилища данных необходимо добавить новое хранилище данных, прежде чем снова запустить наблюдатель.

• Чтобы добавить хранилище данных, выберите "Добавить" на странице хранилища данных, а затем выберите или создайте базу данных в кластере azure Data Обозреватель или в аналитике в режиме реального времени.

  • Выбранная база данных должна быть пустой или должна быть базой данных, которая ранее использовалась в качестве хранилища данных наблюдателя за базами данных. Выбор базы данных, содержащей объекты, не созданные наблюдателем за базами данных, не поддерживается.
  • После добавления хранилища данных необходимо предоставить наблюдателю доступ к нему. Дополнительные сведения см. в разделе "Предоставление доступа к хранилищу данных".
  • Новое хранилище данных используется после перезапуска наблюдателя.

Удаление наблюдателя

При удалении наблюдателя также удаляется управляемое удостоверение, назначаемое системой. При этом вы удаляете доступ, предоставленный этому удостоверению. При повторном создании наблюдателя необходимо предоставить доступ к управляемому удостоверению, назначенному системой, новому наблюдателю, чтобы пройти проверку подлинности в каждом ресурсе. В том числе:

• Целевые объекты
• Хранилище данных
• И хранилище ключей (если используется)

Необходимо предоставить доступ к повторно созданному наблюдателю, даже если вы используете то же имя наблюдателя.

При удалении наблюдателя ресурсы Azure, указанные в качестве целевых объектов и хранилища данных, не удаляются. Вы сохраняете собранные данные мониторинга SQL в хранилище данных и можете использовать ту же базу данных, что и хранилище данных, если вы создадите новый наблюдатель позже.

Предоставление доступа к целевым объектам SQL

Чтобы наблюдатель могли собирать данные мониторинга SQL, необходимо выполнить скрипт T-SQL, предоставляющий наблюдателям ограниченные разрешения SQL.

• Чтобы выполнить скрипт в База данных SQL Azure, вам нужен доступ администратора сервера к логическому серверу, содержаму базы данных и эластичным пулам, которые необходимо отслеживать.

  • В База данных SQL Azure необходимо выполнить скрипт только один раз на логическом сервере для каждого создаваемого наблюдателя. Это предоставляет наблюдателю доступ ко всем существующим и новым базам данных и эластичным пулам на этом сервере.

• Чтобы выполнить скрипт в Управляемый экземпляр SQL Azure, необходимо быть членом sysadmin роли сервера или securityadmin серверной роли или иметь CONTROL разрешение сервера на управляемом экземпляре SQL.

  • В Управляемый экземпляр SQL Azure необходимо выполнить скрипт на каждом экземпляре, который требуется отслеживать.

1. Перейдите к наблюдателю в портал Azure, выберите целевые объекты SQL, выберите одну из ссылок предоставления доступа, чтобы открыть скрипт T-SQL и скопировать скрипт. Обязательно выберите правильную ссылку для целевого типа и тип проверки подлинности, который вы хотите использовать.

   Внимание

   Сценарий проверки подлинности Microsoft Entra в портал Azure относится к наблюдателю, так как он содержит имя наблюдателя. Универсальная версия этого скрипта, которую можно настроить для каждого наблюдателя, см. в статье Предоставление доступа к целевым объектам SQL с помощью скриптов T-SQL.

2. В SQL Server Management Studio, Azure Data Studio или любом другом клиентском средстве SQL откройте новое окно запроса и подключите его к master базе данных на логическом сервере SQL Azure, содержащей целевой объект, или master к базе данных в целевом объекте управляемого экземпляра SQL.

3. Вставьте и выполните скрипт T-SQL, чтобы предоставить пользователю доступ. Скрипт создает имя входа, которое наблюдатель будет использовать для подключения, и предоставляет определенные ограниченные разрешения для сбора данных мониторинга.

   1. Если вы используете сценарий проверки подлинности Microsoft Entra, наблюдатель должен быть уже создан при выполнении скрипта. Кроме того, необходимо подключиться к проверке подлинности Microsoft Entra.

Если вы добавите новые целевые объекты в наблюдатель позже, необходимо предоставить доступ к этим целевым объектам аналогично, если эти целевые объекты не находятся на логическом сервере, где доступ уже предоставлен.

Предоставление доступа к целевым объектам SQL с помощью скриптов T-SQL

Существуют различные сценарии для проверки подлинности Microsoft Entra и проверки подлинности SQL, а также для целевых объектов База данных SQL Azure и Управляемый экземпляр SQL Azure.

Внимание

Всегда используйте предоставленные скрипты для предоставления доступа к наблюдателю за базами данных. Предоставление доступа другим способом может блокировать сбор данных. Дополнительные сведения см. в разделе "Авторизация наблюдателя".

Перед выполнением скрипта замените все экземпляры заполнителей, которые могут присутствовать в скрипте, например login-name-placeholderuser-name-placeholder, и password-placeholder фактическими значениями.

Предоставление доступа к наблюдателям, прошедшим проверку подлинности Microsoft Entra

База данных SQL

Этот скрипт создает имя входа проверки подлинности Microsoft Entra (прежнее название — Azure Active Directory) на логическом сервере в База данных SQL Azure. Имя входа создается для управляемого удостоверения наблюдателя. Скрипт предоставляет наблюдателю необходимые и достаточные разрешения для сбора данных мониторинга со всех баз данных и эластичных пулов на логическом сервере.

В качестве имени входа необходимо использовать имя наблюдателя. Скрипт должен выполняться в master базе данных на логическом сервере. Необходимо войти в систему с помощью имени входа проверки подлинности Microsoft Entra, который является администратором сервера.

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [watcher-name-placeholder];

Управляемый экземпляр SQL

Этот скрипт создает имя входа проверки подлинности Microsoft Entra (прежнее название — Azure Active Directory) в управляемом экземпляре SQL. Имя входа создается для управляемого удостоверения наблюдателя. Скрипт предоставляет наблюдателю необходимые и достаточные разрешения для сбора данных мониторинга из экземпляра.

В качестве имени входа необходимо использовать имя наблюдателя. Скрипт должен выполняться в master базе данных в управляемом экземпляре. Необходимо войти в систему с помощью имени входа проверки подлинности Microsoft Entra, который является членом sysadmin роли сервера или securityadmin имеет CONTROL разрешение сервера.

USE master;

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [watcher-name-placeholder];

USE msdb;

CREATE USER [watcher-name-placeholder] FOR LOGIN [watcher-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [watcher-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [watcher-name-placeholder];

Предоставление доступа к наблюдателям, прошедшим проверку подлинности SQL

Дополнительные действия требуются при использовании проверки подлинности SQL, см . дополнительные настройки для использования проверки подлинности SQL.

База данных SQL

Этот скрипт создает имя входа проверки подлинности SQL на логическом сервере в База данных SQL Azure. Он предоставляет пользователю необходимые и достаточные разрешения для сбора данных мониторинга со всех баз данных и эластичных пулов на этом логическом сервере.

Скрипт должен выполняться в master базе данных на логическом сервере, используя имя входа, которое является администратором логического сервера.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

Управляемый экземпляр SQL

Этот скрипт создает имя входа проверки подлинности SQL в управляемом экземпляре SQL. Он предоставляет имя входа необходимым и достаточным разрешениям для сбора данных мониторинга из экземпляра.

Скрипт должен выполняться в master базе данных экземпляра, используя имя входа, являющееся членом sysadmin роли сервера или securityadmin серверной ролью CONTROL , или имеет разрешение сервера.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Дополнительная конфигурация для использования проверки подлинности SQL

Для безопасного хранения учетных данных проверки подлинности с помощью проверки подлинности SQL в наблюдателе за базами данных требуется дополнительная настройка.

Совет

Для более безопасной, упрощенной и менее подверженной ошибкам конфигурации рекомендуется включить проверку подлинности Microsoft Entra для ресурсов SQL Azure и использовать ее вместо проверки подлинности SQL.

Чтобы настроить наблюдатель за базами данных для подключения к целевому объекту с помощью проверки подлинности SQL, выполните следующие действия.

1. Создайте хранилище в Azure Key Vault или определите существующее хранилище, который можно использовать. Хранилище должно использовать модель разрешений RBAC. Модель разрешений RBAC — это модель разрешений по умолчанию для новых хранилищ. Если вы хотите использовать существующее хранилище, убедитесь, что оно не настроено для использования более старой модели политики доступа.

   Если вы хотите использовать частное подключение к хранилищу, создайте частную конечную точку на странице управляемых частных конечных точек. Выберите Microsoft.KeyVault/vaults тип ресурса и vault в качестве целевого подресурса. Перед запуском наблюдателя убедитесь, что частная конечная точка утверждена.

   Если вы хотите использовать общедоступное подключение, хранилище должно иметь общедоступный доступ из всех сетей. Ограничение подключения общедоступного хранилища к определенным сетям не поддерживается в наблюдателе за базами данных.

2. Создайте имя входа для проверки подлинности SQL на каждом логическом сервере SQL Azure или управляемом экземпляре, который вы хотите отслеживать, и предоставьте необходимые разрешения. Используйте предоставленные скрипты доступа для проверки подлинности SQL и замените имя входа, имя пользователя и заполнители паролей фактическими значениями. Выбирайте надежные пароли.

3. В хранилище создайте два секрета: секрет для имени входа и отдельный секрет для пароля. Используйте любое допустимое имя в качестве секретного имени и введите имя входа или пароль, которые вы использовали в скрипте T-SQL в качестве значения секрета.

   Например, имена двух секретов могут быть database-watcher-login-name и database-watcher-password. Значения секретов — имя входа и надежный пароль.

   Чтобы создать секреты, необходимо быть членом роли RBAC сотрудника по секретам Key Vault.

4. На странице управления доступом (IAM) каждого секрета добавьте назначение роли для управляемого удостоверения наблюдателя в роли пользователя RBAC секретов Key Vault. Чтобы следовать принципу наименьшей привилегии, добавьте это назначение роли для каждого секрета, а не для всего хранилища. Страница управления доступом (IAM) отображается только в том случае, если хранилище настроено для использования модели разрешений RBAC.

5. Добавьте целевой объект SQL в наблюдатель. При добавлении целевого объекта проверка поле "Использовать проверку подлинности SQL" и выберите хранилище, в котором хранятся имена входа и секреты паролей. Введите имена секретов для имени входа и пароля.

   При добавлении целевого объекта SQL не введите фактическое имя входа и пароль. Используя предыдущий пример, вы введете database-watcher-login-name имена и database-watcher-password имена секретов.

Если вы хотите использовать разные имена входа в разных целевых объектах SQL, можно использовать одно хранилище для хранения всех секретов.

Примечание.

Если вы обновляете значение секрета для имени входа или пароля в хранилище ключей во время выполнения наблюдателя, наблюдатель повторно подключается к целевым объектам, используя новые учетные данные проверки подлинности SQL в течение 15 минут. Если вы хотите сразу начать использовать новые учетные данные, остановите и перезапустите наблюдатель.

Предоставление доступа к хранилищу данных

Для создания схемы базы данных и управления ими с течением времени и приема данных наблюдения за базами данных требуется членство в роли Администратор RBAC в базе данных хранилища данных. Наблюдатель за базами данных не требует доступа на уровне кластера к кластеру azure Data Обозреватель или доступ к другим базам данных, которые могут существовать в одном кластере.

Если вы создаете новый кластер и базу данных Azure Data Обозреватель или выбираете базу данных в существующем кластере при создании наблюдателя, этот доступ предоставляется автоматически, если пользователь, создающий наблюдатель, является членом роли владельца RBAC для кластера.

Если вы изменяете хранилище данных для существующего наблюдателя или используете базу данных в аналитике реального времени или в бесплатном кластере azure Data Обозреватель, необходимо предоставить доступ, как описано в этом разделе.

Предоставление доступа к базе данных Azure Data Обозреватель с помощью портал Azure

Вы можете использовать портал Azure для предоставления доступа к базе данных в кластере azure Data Обозреватель:

1. Для базы данных в кластере Обозреватель данных Azure в меню ресурсов в разделе "Безопасность и сеть" выберите "Разрешения". Не используйте страницу разрешений кластера.
2. Нажмите кнопку "Добавить" и выберите Администратор.
3. На странице "Новые субъекты" выберите корпоративные приложения и введите имя наблюдателя в поле поиска.
4. Выберите корпоративное приложение с тем же именем, что и наблюдатель.

Предоставление доступа к базе данных Обозреватель Azure с помощью KQL

Вместо использования портал Azure вы также можете предоставить доступ к базе данных с помощью команды KQL.

1. Подключение в базу данных в кластере Обозреватель данных Azure с помощью Kusto Обозреватель или веб-интерфейса Обозреватель данных Azure. Используйте этот метод для предоставления доступа к базе данных в аналитике в режиме реального времени или в бесплатном кластере Обозреватель данных Azure.

2. В следующем примере команды KQL замените три заполнителя:

   .add database [adx-database-name-placeholder] admins ('aadapp=watcher-object-id-placeholder;tenant-primary-domain-placeholder');
   

   Заполнитель	Замена
   adx-database-name-placeholder	Имя базы данных в кластере Обозреватель данных Azure или в аналитике в режиме реального времени.
   watcher-object-id-placeholder	Значение идентификатора объекта (субъект) (GUID), найденное на странице удостоверений наблюдателя.
   tenant-primary-domain-placeholder	Доменное имя клиента Идентификатора Microsoft Entra наблюдателя. Найдите это на странице обзора идентификатора Microsoft Entra в портал Azure. Вместо основного домена клиента можно также использовать значение GUID идентификатора клиента. Эту часть команды (и предыдущую точку с запятой) можно опустить, если наблюдатель и кластер данных Azure Обозреватель находятся в том же клиенте Идентификатора Microsoft Entra ID.

   Например:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Дополнительные сведения см. в разделе "Управление доступом на основе ролей Kusto".

Предоставление пользователям и группам доступа к хранилищу данных

Вы можете использовать портал Azure или команду KQL для предоставления пользователям и группам доступа к базе данных в кластере Обозреватель Azure или в аналитике в режиме реального времени. Чтобы предоставить доступ, необходимо быть членом роли Администратор RBAC в базе данных.

Используйте команду KQL, чтобы предоставить доступ к базе данных в бесплатном кластере azure Data Обозреватель или в Аналитике в режиме реального времени. Чтобы следовать принципу наименьших привилегий, рекомендуется не добавлять пользователей и группы в любую роль RBAC, отличной от средства просмотра.

Внимание

Внимательно рассмотрите требования к конфиденциальности и безопасности данных при предоставлении доступа к просмотру данных мониторинга SQL, собранных наблюдателем за базами данных.

Несмотря на то, что наблюдатель за базами данных не может собирать данные, хранящиеся в пользовательских таблицах в базах данных SQL, определенные наборы данных, такие как активные сеансы, метаданные индекса, отсутствующие индексы, статистика среды выполнения запросов, статистика ожидания запросов, статистика ожидания запросов и метаданные таблицы могут содержать потенциально конфиденциальные данные, такие как имена таблиц и индексов, текст запроса, значения параметров запроса, имена входа и т. д.

Предоставив пользователю доступ к хранилищу данных, у которого нет доступа к этим данным в базе данных SQL, вы можете разрешить им просматривать конфиденциальные данные, которые они не смогут видеть в противном случае.

Предоставление доступа к хранилищу данных с помощью портал Azure

С помощью портал Azure можно предоставить пользователям и группам доступ к базе данных в кластере Обозреватель данных Azure:

1. Для базы данных в кластере azure Data Обозреватель в меню ресурсов в разделе "Безопасность и сеть" выберите "Разрешения". Не используйте страницу разрешений кластера.
2. Выберите "Добавить" и выберите "Зрители".
3. На странице "Новые субъекты" введите имя пользователя или группы в поле поиска.
4. Выберите пользователя или группу.

Предоставление доступа к хранилищу данных с помощью KQL

Вместо использования портал Azure можно также предоставить пользователям и группам доступ к базе данных с помощью команды KQL. В следующем примере команды KQL предоставляют пользователю доступ на mary@contoso.com чтение данных и SQLMonitoringUsers@contoso.com группу в клиенте Идентификатора Microsoft Entra с определенным значением идентификатора клиента:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Дополнительные сведения см. в разделе "Управление доступом на основе ролей Kusto".

Чтобы предоставить доступ к хранилищу данных пользователям и группам из другого клиента, необходимо включить межтенантную проверку подлинности в кластере Обозреватель данных Azure. Дополнительные сведения см. в разделе "Разрешить межтенантные запросы и команды".

Совет

Межтенантная проверка подлинности включена в аналитике в режиме реального времени и в бесплатных кластерах Обозреватель данных Azure. Это позволяет предоставлять доступ пользователям и группам в клиенте идентификатора Microsoft Entra ID для просмотра данных в этих базах данных.

Управление хранилищем данных

В этом разделе описывается, как управлять хранилищем данных мониторинга, включая масштабирование, хранение данных и другую конфигурацию. Рекомендации по масштабированию кластера в этом разделе важны, если вы используете базу данных в кластере Обозреватель данных Azure. При использовании базы данных в Аналитике в режиме реального времени в Fabric масштабирование выполняется автоматически.

Масштабирование кластера Обозреватель данных Azure

Вы можете масштабировать кластер azure Data Обозреватель по мере необходимости. Например, можно уменьшить масштаб кластера до дополнительного номера SKU разработки и тестирования , если соглашение об уровне обслуживания не требуется, а если производительность приема запросов и данных остается приемлемой.

Для многих развертываний наблюдателя за базами данных номер SKU оптимизированного для 2-экземпляра вычислительных ресурсов будет достаточно на неопределенный срок. В некоторых случаях в зависимости от изменений конфигурации и рабочей нагрузки с течением времени может потребоваться масштабировать кластер, чтобы обеспечить достаточную производительность запросов и обеспечить низкую задержку приема данных.

Azure Data Обозреватель поддерживает вертикальное и горизонтальное масштабирование кластера. При вертикальном масштабировании вы изменяете номер SKU кластера, который изменяет количество виртуальных ЦП, памяти и кэша на экземпляр (узел). При горизонтальном масштабировании номер SKU остается неизменным, но число экземпляров в кластере увеличивается или уменьшается.

Если вы заметили один или несколько следующих симптомов, необходимо масштабировать кластер (горизонтально) или вверх (по вертикали).

• Производительность панели мониторинга или нерегламентированного запроса становится слишком медленной.
• Вы выполняете множество параллельных запросов в кластере и наблюдаете ошибки регулирования.
• Задержка приема данных становится согласованно выше допустимой.

Как правило, не нужно масштабировать кластер по мере увеличения объема данных в хранилище данных с течением времени. Это связано с тем, что запросы панели мониторинга и наиболее распространенные аналитические запросы используют только последние данные, которые кэшируются в локальном хранилище SSD на узлах кластера.

Однако при выполнении аналитических запросов, охватывающих более длинные диапазоны времени, они могут стать медленнее с течением времени, так как общий объем собранных данных увеличивается и больше не помещается в локальное хранилище SSD. Масштабирование кластера может потребоваться для обеспечения достаточной производительности запросов в этом случае.

• Если вам нужно масштабировать кластер, рекомендуется сначала масштабировать его горизонтально , чтобы увеличить количество экземпляров. Это позволяет кластеру получать доступ к запросам и приему во время масштабирования.

  • Вы можете включить оптимизированное автомасштабирование для автоматического уменьшения или увеличения числа экземпляров в ответ на изменения рабочей нагрузки или сезонных тенденций.

• Вы можете обнаружить, что даже после горизонтального масштабирования кластера некоторые запросы по-прежнему не выполняются должным образом. Это может произойти, если производительность запросов привязана к ресурсам, доступным на экземпляре (узле) кластера. В этом случае масштабируйте кластер по вертикали.

  • Вертикальное масштабирование кластера занимает несколько минут. Во время этого процесса существует период простоя, который может прерывать сбор данных. Если это произойдет, остановите и перезапустите наблюдатель после завершения операции масштабирования.

Невозможно масштабировать бесплатный кластер Обозреватель данных Azure. Если вы обнаружите, что спецификации бесплатного кластера недостаточно для ваших требований, обновите до полного кластера данных Azure Обозреватель. Процесс обновления сохраняет все собранные данные. Так как во время обновления может возникнуть период простоя, может потребоваться остановить и перезапустить наблюдатель, чтобы возобновить сбор данных после завершения обновления.

Управление хранением данных

Если вам не нужны старые данные, можно настроить политики хранения данных так, чтобы они автоматически удалялись. По умолчанию срок хранения данных в новой базе данных в кластере Azure Data Explorer или в службе аналитики в режиме реального времени составляет 365 дней.

• Можно уменьшить срок хранения данных на уровне базы данных или для отдельных таблиц в базе данных.
• Кроме того, этот период можно увеличить, если данные мониторинга требуется хранить более одного года. Верхний лимит для периода хранения данных отсутствует.
• Если вы настраиваете разные периоды хранения данных для разных таблиц, панели мониторинга могут не работать должным образом для более старых диапазонов времени. Это может произойти, если данные по-прежнему присутствуют в некоторых таблицах, но уже очищаются в других таблицах для того же интервала времени.

Изменения схемы и доступа в хранилище данных наблюдателя за базами данных

С течением времени корпорация Майкрософт может вводить новые наборы данных наблюдателя за базами данных или расширять существующие наборы данных. Это означает, что новые таблицы в хранилище данных или новые столбцы в существующих таблицах могут быть добавлены автоматически.

Для этого управляемое удостоверение наблюдателя базы данных должно быть членом роли RBAC Администратор s в хранилище данных. Отмена членства в этой роли или замена ее членством в любой другой роли RBAC может повлиять на сбор данных наблюдателя за базами данных и управление схемами и не поддерживается.

Аналогичным образом создание новых объектов, таких как таблицы, внешние таблицы, материализованные представления, функции и т. д. в хранилище данных наблюдателя за базами данных не поддерживается. Запросы между кластерами и между базами данных можно использовать для запроса данных в хранилище данных из других кластеров azure Data Обозреватель или из других баз данных в одном кластере.

Внимание

Если вы изменяете доступ наблюдателя к хранилищу данных или вносите любые изменения в схему или конфигурацию базы данных, влияющие на прием данных, может потребоваться изменить хранилище данных для этого наблюдателя на новую пустую базу данных и предоставить наблюдателю доступ к этой новой базе данных для возобновления сбора данных и отменить изменения поддерживаемой конфигурации.

Остановлены кластеры Обозреватель данных Azure

Кластер Обозреватель данных Azure можно остановить для экономии затрат. По умолчанию кластер данных Azure Обозреватель автоматически останавливается через несколько дней бездействия. Например, это может произойти, если вы остановите наблюдатель, который отправляет данные в единственную базу данных в кластере, и не выполняет никаких запросов в этой базе данных.

Если кластер остановлен, сбор данных наблюдателя за базами данных останавливается, а данные мониторинга не отображаются на панелях мониторинга. Чтобы возобновить сбор данных и сделать данные доступными с помощью панелей мониторинга, необходимо вручную возобновить кластер. После запуска кластера перезапустите наблюдатель.

Вы можете отключить поведение автоматической остановки, если вы хотите, чтобы кластер оставался доступным, даже если он неактивен. Это может увеличить затраты на кластер.

Прием потоковой передачи

Наблюдатель за базами данных требует, чтобы кластер Azure Data Обозреватель, содержащий базу данных хранилища данных, включил прием потоковой передачи. Прием потоковой передачи автоматически включен для нового кластера Azure Data Обозреватель, созданного при создании нового наблюдателя. Она также включена в аналитике в режиме реального времени и в бесплатном кластере Обозреватель данных Azure.

Если вы хотите использовать существующий кластер Обозреватель данных Azure, сначала включите прием потоковой передачи. Для этого потребуется несколько минут и требуется перезапуск кластера.

Мониторинг больших активов

Чтобы отслеживать большое пространство SQL Azure, может потребоваться создать несколько наблюдателей.

Каждому наблюдателю требуется база данных в кластере azure Data Обозреватель или в аналитике в режиме реального времени в качестве хранилища данных. Наблюдатели, которые вы создаете, могут использовать одну базу данных в качестве общего хранилища данных или отдельные базы данных в качестве отдельных хранилищ данных. Следующие рекомендации помогут вам выбрать оптимальный вариант проектирования для сценариев мониторинга и требований.

Рекомендации по общему хранилищу данных:

• Существует одноуровневое представление всего пространства SQL Azure.
• Однако у пользователей с доступом к хранилищу данных есть доступ ко всем данным мониторинга.

Рекомендации по отдельным хранилищам данных:

• Подмножества вашего хранилища SQL Azure отслеживаются независимо. Панели мониторинга недвижимости в портал Azure отображают данные из одного хранилища данных. Пользователи с доступом к нескольким хранилищам данных могут использовать запросы KQL между кластерами или базами данных для доступа к данным мониторинга в нескольких хранилищах данных с помощью одного запроса.
• Так как доступ к данным Azure Обозреватель и в Аналитике в режиме реального времени управляется для каждой базы данных, вы можете управлять доступом к данным мониторинга для подмножеств вашего имущества детализированно.
• Вы можете разместить несколько баз данных в одном кластере azure Data Обозреватель для совместного использования ресурсов кластера и экономии затрат, сохраняя при этом изолированные данные в каждой базе данных.
• Если требуется полное разделение сред, включая сетевой доступ к кластерам Обозреватель данных Azure, можно разместить разные базы данных в разных кластерах.

Связанный контент

• Краткое руководство. Создание наблюдателя за базами данных для мониторинга SQL Azure (предварительная версия)
• Мониторинг рабочих нагрузок SQL Azure с помощью наблюдателя за базами данных (предварительная версия)
• Сбор и наборы данных наблюдателя за базами данных (предварительная версия)
• Анализ данных мониторинга наблюдателя за базами данных (предварительная версия)
• Вопросы и ответы наблюдателя за базами данных