Начало работы с аудитом базы данных SQLGet started with SQL database auditing

Аудит для базы данных SQL Azure и хранилища данных SQL отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure, log Analytics рабочей области или концентраторах событий.Auditing for Azure SQL Database and SQL Data Warehouse tracks database events and writes them to an audit log in your Azure storage account, Log Analytics workspace or Event Hubs. Аудит также дает следующие возможности:Auditing also:

  • Аудит может помочь вам соблюсти требования нормативов, проанализировать работу с базой данных и получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности.Helps you maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate business concerns or suspected security violations.

  • Средства аудита способствуют соблюдению стандартов соответствия, но не гарантируют их выполнение.Enables and facilitates adherence to compliance standards, although it doesn't guarantee compliance. Дополнительные сведения о программах Azure, поддерживающих соответствие стандартам, см. в центр управления безопасностью Azure , где можно найти самый актуальный список сертификатов соответствия базы данных SQL.For more information about Azure programs that support standards compliance, see the Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Примечание

Этот раздел относится к Azure SQL Server, а также к базам данных SQL и хранилища данных SQL, создаваемым на сервере Azure SQL Server.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Для простоты база данных SQL используется как для базы данных SQL, так и для хранилища данных SQL.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor".This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.See Azure Monitor terminology changes for details.

Обзор аудита баз данных SQL AzureAzure SQL database auditing overview

Используйте аудит базы данных SQL, чтобы выполнять следующие действия:You can use SQL database auditing to:

  • Сохранить журнал аудита выбранных событий.Retain an audit trail of selected events. Вы можете указать, какие категории действий базы данных должны проходить аудит.You can define categories of database actions to be audited.
  • Создавать отчеты по действиям, производимым с базой данных.Report on database activity. Вы можете использовать предварительно настроенные отчеты и панель мониторинга для быстрого начала работы с отчетностью по действиям и событиям.You can use pre-configured reports and a dashboard to get started quickly with activity and event reporting.
  • Анализировать отчеты.Analyze reports. Вы можете искать подозрительные события, необычную деятельность и тенденции.You can find suspicious events, unusual activity, and trends.

Важно!

Журналы аудита записываются в Добавочные BLOB-объекты в хранилище BLOB-объектов Azure в подписке Azure.Audit logs are written to Append Blobs in Azure Blob storage on your Azure subscription.

  • Поддерживаются все типы хранилища (v1, v2, BLOB-объектов).All storage kinds (v1, v2, blob) are supported.
  • Поддерживаются все конфигурации репликации хранилища.All storage replication configurations are supported.
  • Хранилище класса "Премиум" сейчас не поддерживается.Premium storage is currently not supported.
  • Хранилище в виртуальной сети в настоящее время не поддерживается.Storage in VNet is currently not supported.
  • Хранилище за брандмауэром сейчас не поддерживается.Storage behind a Firewall is currently not supported.
  • Иерархическое пространство имен для учетной записи хранения Azure Data Lake Storage 2-го поколения в настоящее время не поддерживается.Hierarchical namespace for Azure Data Lake Storage Gen2 storage account is currently not supported.

Определение политики аудита уровня сервера и базы данныхDefine server-level vs. database-level auditing policy

Политику аудита можно определить для конкретной базы данных или как политику сервера по умолчанию.An auditing policy can be defined for a specific database or as a default server policy:

  • Политика сервера применяется ко всем существующим и новым базам данных на сервере.A server policy applies to all existing and newly created databases on the server.

  • Если включен аудит больших двоичных объектов для сервера, он обязательно применяется к базе данных.If server blob auditing is enabled, it always applies to the database. Аудит базы данных будет выполнен независимо от его параметров.The database will be audited, regardless of the database auditing settings.

  • Включение аудита больших двоичных объектов для базы данных или хранилища данных (одновременно с аудитом, включенным для сервера), не приводит к переопределению или изменению настроек аудита больших двоичных объектов для сервера.Enabling blob auditing on the database or data warehouse, in addition to enabling it on the server, does not override or change any of the settings of the server blob auditing. Оба аудита будут выполняться параллельно.Both audits will exist side by side. Таким образом, аудит базы данных выполняется дважды: один раз в соответствии с политикой сервера и еще раз в соответствии с политикой базы данных.In other words, the database is audited twice in parallel; once by the server policy and once by the database policy.

    Примечание

    Не устанавливайте политику аудита больших двоичных объектов одновременно для сервера и базы данных, за исключением следующих случаев.You should avoid enabling both server blob auditing and database blob auditing together, unless:

    • Если для определенной базы данных нужно использовать другую учетную запись хранения или другой срок хранения.You want to use a different storage account or retention period for a specific database.
    • Нужно провести аудит типов событий или категорий для конкретной базы данных, которая отличается от остальных баз данных на сервере.You want to audit event types or categories for a specific database that differ from the rest of the databases on the server. Например, может потребоваться выполнить аудит вставки данных в таблицу только для конкретной базы данных.For example, you might have table inserts that need to be audited only for a specific database.

    Во всех остальных случаях мы рекомендуем включать аудит больших двоичных объектов только на уровне сервера, а на уровне баз данных отключить все параметры аудита для всех баз данных.Otherwise, we recommended that you enable only server-level blob auditing and leave the database-level auditing disabled for all databases.

Настройка аудита базы данныхSet up auditing for your database

В следующем разделе описывается настройка аудита на портале Azure.The following section describes the configuration of auditing using the Azure portal.

  1. Перейдите на портал Azure.Go to the Azure portal.

  2. Перейдите к параметру Аудит в разделе "Безопасность" на панели базы данных или сервера SQL.Navigate to Auditing under the Security heading in your SQL database/server pane.

    область навигацииNavigation pane

  3. Если необходимо настроить политику аудита сервера, выберите ссылку Просмотреть параметры сервера на странице аудита базы данных.If you prefer to set up a server auditing policy, you can select the View server settings link on the database auditing page. Вы можете затем просмотреть или изменить параметры аудита сервера.You can then view or modify the server auditing settings. Политики аудита сервера применяются ко всем существующим и создаваемым базам данных на этом сервере.Server auditing policies apply to all existing and newly created databases on this server.

    Область навигации

  4. Если вам нужно включить аудит на уровне базы данных, установите для параметра Аудит значение Вкл.If you prefer to enable auditing on the database level, switch Auditing to ON.

    Если включен аудит сервера, настроенный аудит для базы данных будет существовать параллельно с ним.If server auditing is enabled, the database-configured audit will exist side-by-side with the server audit.

    Область навигации

  5. Новое. Теперь есть несколько вариантов настройки расположения для записи журналов аудита.New - You now have multiple options for configuring where audit logs will be written. Вы можете записывать журналы в учетную запись хранения Azure, в Log Analytics рабочую область для использования с помощью Azure Monitor журналов или в концентратор событий для использования концентратора событий.You can write logs to an Azure storage account, to a Log Analytics workspace for consumption by Azure Monitor logs, or to event hub for consumption using event hub. Вы также можете настроить любое сочетание этих вариантов, и журналы аудита будут записываться в каждый из них.You can configure any combination of these options, and audit logs will be written to each.

Примечание

Клиент, желающий настроить неизменяемое хранилище журналов для событий аудита на уровне сервера или базы данных, должен следовать инструкциям, предоставленным службой хранилища Azure .Customer wishing to configure an immutable log store for their server- or database-level audit events should follow the instructions provided by Azure Storage

Предупреждение

Включение аудита в Log Analytics приведет к затратам на основе ставок приема.Enabling auditing to Log Analytics will incur cost based on ingestion rates. Изучите связанные затраты с помощью этого параметраили Храните журналы аудита в учетной записи хранения Azure.Please be aware of the associated cost with using this option, or consider storing the audit logs in an Azure storage account.

![варианты хранилищ](./media/sql-database-auditing-get-started/auditing-select-destination.png)
  1. Чтобы настроить запись журналов аудита в учетную запись хранения, выберите Хранилище и щелкните Сведения о хранилище.To configure writing audit logs to a storage account, select Storage and open Storage details. Выберите учетную запись хранения Azure, в которой будут храниться журналы, и укажите срок хранения.Select the Azure storage account where logs will be saved, and then select the retention period. Старые журналы будут удалены.The old logs will be deleted. Нажмите кнопку ОК.Then click OK.

    Важно!

    • Значение по умолчанию для срока хранения равно 0 (неограниченный срок хранения).The default value for retention period is 0 (unlimited retention). Это значение можно изменить, переместив ползунок retention (дни) в параметрах хранилища при настройке учетной записи хранения для аудита.You can change this value by moving the Retention (Days) slider in Storage settings when configuring the storage account for auditing.
    • Если изменить срок хранения с 0 (неограниченный срок хранения) на любое другое значение, то сохранение будет применяться только к журналам, записанным после изменения значения срока хранения (журналы, записанные в течение периода, когда для параметра retention было задано значение unlimited, сохраняются даже после Хранение включено)If you change retention period from 0 (unlimited retention) to any other value, please note that retention will only apply to logs written after retention value was changed (logs written during the period when retention was set to unlimited are preserved, even after retention is enabled)

    запись хранения Azure

  2. Чтобы настроить запись журналов аудита в рабочую область Log Analytics, выберите Log Analytics (предварительная версия) и щелкните Сведения о Log Analytics.To configure writing audit logs to a Log Analytics workspace, select Log Analytics (Preview) and open Log Analytics details. Выберите или создайте рабочую область Log Analytics, в которую будут записываться журналы, а затем щелкните ОК.Select or create the Log Analytics workspace where logs will be written and then click OK.

    Рабочая область Log Analytics

  3. Чтобы настроить запись журналов аудита в концентратор событий, выберите Концентратор событий (предварительная версия) и щелкните Сведения о концентраторе событий.To configure writing audit logs to an event hub, select Event Hub (Preview) and open Event Hub details. Выберите концентратор событий, в который необходимо записывать журналы, а затем нажмите кнопку ОК.Select the event hub where logs will be written and then click OK. Убедитесь, что концентратор событий находится в том же регионе, что база данных и сервер.Be sure that the event hub is in the same region as your database and server.

    концентратор событий;

  4. Выберите команду Сохранить.Click Save.

  5. Настроить события аудита можно с помощью командлетов PowerShell или REST API.If you want to customize the audited events, you can do this via PowerShell cmdlets or the REST API.

  6. После настройки параметров аудита можно включить новую функцию обнаружения угроз и настроить адреса электронной почты для получения предупреждений системы безопасности.After you've configured your auditing settings, you can turn on the new threat detection feature and configure emails to receive security alerts. Использование функции обнаружения угроз позволяет настроить упреждающие оповещения об аномальной активности в базах данных, которая может указывать на потенциальные угрозы безопасности.When you use threat detection, you receive proactive alerts on anomalous database activities that can indicate potential security threats. Дополнительные сведения см. в статье Обнаружение угроз для базы данных SQL.For more information, see Getting started with threat detection.

Важно!

Включение аудита в приостановленном хранилище данных SQL Azure невозможно.Enabling auditing on an paused Azure SQL Data Warehouse is not possible. Чтобы включить его, отмените приостановку хранилища данных.To enable it, un-pause the Data Warehouse.

Предупреждение

Включение аудита на сервере, на котором есть хранилище данных SQL Azure, приведет к возобновлению и повторной приостановке хранилища данных , что может привести к оплате счетов.Enabling auditing on a server that has an Azure SQL Data Warehouse on it will result in the Data Warehouse being resumed and re-paused again which may incur in billing charges.

Анализ журналов и отчетов аудитаAnalyze audit logs and reports

Если вы решили записать журналы аудита в журналы Azure Monitor:If you chose to write audit logs to Azure Monitor logs:

  • Используйте портал Azure.Use the Azure portal. Откройте соответствующую базу данных.Open the relevant database. В верхней области страницы базы данных Аудит щелкните Ознакомиться с журналами аудита.At the top of the database's Auditing page, click View audit logs.

    просмотр журналов аудита

  • После этого у вас есть два способа просмотра журналов:Then, you have two ways to view the logs:

    Если щелкнуть log Analytics в верхней части страницы записи аудита , откроется представление журналы в log Analytics рабочей области, где можно настроить диапазон времени и поисковый запрос.Clicking on Log Analytics at the top of the Audit records page will open the Logs view in Log Analytics workspace, where you can customize the time range and the search query.

    открыть в Log Analytics рабочей области

    Если щелкнуть Просмотреть панель мониторинга в верхней части страницы записи аудита , откроется панель мониторинга со сведениями о журналах аудита, где можно детализировать анализ безопасности, доступ к конфиденциальным данным и многое другое.Clicking View dashboard at the top of the Audit records page will open a dashboard displaying audit logs info, where you can drill down into Security Insights, Access to Sensitive Data and more. Эта панель мониторинга предназначена для получения ценных сведений о безопасности данных.This dashboard is designed to help you gain security insights for your data. Кроме того, можно настроить диапазон времени и поисковый запрос.You can also customize the time range and search query. Панель мониторинга Log Analytics представления View Log Analytics Dashboard

    Панель мониторинга Log Analytics

    Log Analytics ценная информация по безопасности

  • Кроме того, к журналам аудита также можно перейти в колонке Log Analytics.Alternatively, you can also access the audit logs from Log Analytics blade. Откройте рабочую область Log Analytics и в разделе General (Общие сведения) щелкните Журналы.Open your Log Analytics workspace and under General section, click Logs. Вы можете начать с простого запроса, например выполните поиск SQLSecurityAuditEvents, чтобы просмотреть журналы аудита.You can start with a simple query, such as: search "SQLSecurityAuditEvents" to view the audit logs. Здесь можно также использовать журналы Azure Monitor для выполнения расширенного поиска по данным журнала аудита.From here, you can also use Azure Monitor logs to run advanced searches on your audit log data. Журналы Azure Monitor предоставляют оперативную аналитику в режиме реального времени с помощью встроенных средств поиска и настраиваемых панелей мониторинга для быстрого анализа миллионов записей во всех рабочих нагрузках и серверах.Azure Monitor logs gives you real-time operational insights using integrated search and custom dashboards to readily analyze millions of records across all your workloads and servers. Дополнительные полезные сведения о языке и командах поиска журналов Azure Monitor см. в статье Поиск по Azure Monitor журналов Справочник.For additional useful information about Azure Monitor logs search language and commands, see Azure Monitor logs search reference.

Если журналы аудита записываются в концентратор событий:If you chose to write audit logs to Event Hub:

  • Чтобы работать с данными журналов аудита из концентратора событий, необходимо настроить потоковую передачу для получения событий и их записи в целевой объект.To consume audit logs data from Event Hub, you will need to set up a stream to consume events and write them to a target. Дополнительные сведения см. в документации по Центрам событий Azure.For more information, see Azure Event Hubs Documentation.
  • Журналы аудита в концентраторе событий записываются в текст событий Apache Avro и хранятся в формате JSON с типом кодировки UTF-8.Audit logs in Event Hub are captured in the body of Apache Avro events and stored using JSON formatting with UTF-8 encoding. Для чтения журналов аудита можете использовать средства Avro или похожие средства, которые поддерживают данный формат.To read the audit logs, you can use Avro Tools or similar tools that process this format.

Если журналы аудита записываются в учетную запись хранения Azure, их можно просматривать несколькими способами:If you chose to write audit logs to an Azure storage account, there are several methods you can use to view the logs:

Примечание

Аудит для реплик только для чтения включен автоматически.Auditing on Read-Only Replicas is automatically enabled. Дополнительные сведения об иерархии папок хранилища, соглашениях об именовании и формате журнала см. в разделе Формат журнала аудита базы данных SQL.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Журналы аудита объединяются в учетной записи, выбранной на этапе настройки.Audit logs are aggregated in the account you chose during setup. Журналы аудита можно просматривать с помощью таких инструментов, как обозреватель хранилищ Azure.You can explore audit logs by using a tool such as Azure Storage Explorer. В службе хранилища Azure журналы аудита сохраняются в виде коллекции файлов больших двоичных объектов в контейнере sqldbauditlogs.In Azure storage, auditing logs are saved as a collection of blob files within a container named sqldbauditlogs. Дополнительные сведения об иерархии папок хранилища, соглашениях об именовании и формате журнала см. в разделе Формат журнала аудита базы данных SQL.For further details about the hierarchy of the storage folders, naming conventions, and log format, see the SQL Database Audit Log Format.

  • Используйте портал Azure.Use the Azure portal. Откройте соответствующую базу данных.Open the relevant database. В верхней области страницы базы данных Аудит щелкните Ознакомиться с журналами аудита.At the top of the database's Auditing page, click View audit logs.

    Область навигации

    Откроется колонка Записи аудита, в которой можно просматривать журналы.Audit records opens, from which you'll be able to view the logs.

    • Для просмотра записей за определенную дату щелкните Фильтр в верхней области страницы Записи аудита.You can view specific dates by clicking Filter at the top of the Audit records page.

    • Можно переключаться между записями аудита, созданными политикой аудита сервера и политикой аудита базы данных, изменяя значение параметра Источник аудита.You can switch between audit records that were created by the server audit policy and the database audit policy by toggling Audit Source.

    • Вы можете просматривать только записи аудита, связанные с внедрением кода SQL. Для этого установите флажок Show only audit records for SQL injections (Показывать только записи аудита для внедрения кода SQL).You can view only SQL injection related audit records by checking Show only audit records for SQL injections checkbox.

      Область навигации

  • Используйте системную функцию sys.fn_get_audit_file (T-SQL), чтобы вернуть данные журнала аудита в табличном формате.Use the system function sys.fn_get_audit_file (T-SQL) to return the audit log data in tabular format. Дополнительные сведения об использовании этой функции см. в статье sys.fn_get_audit_file (Transact-SQL).For more information on using this function, see sys.fn_get_audit_file.

  • Используйте объединение файлов аудита в SQL Server Management Studio (начиная с SSMS 17):Use Merge Audit Files in SQL Server Management Studio (starting with SSMS 17):

    1. В меню SSMS выберите Файл > Открыть > Объединение файлов аудита.From the SSMS menu, select File > Open > Merge Audit Files.

      Область навигации

    2. Откроется диалоговое окно Добавление файлов аудита.The Add Audit Files dialog box opens. Выберите один из способов добавления. Вы можете использовать объединение файлов аудита из локального диска или импортировать их из службы хранилища Azure.Select one of the Add options to choose whether to merge audit files from a local disk or import them from Azure Storage. Необходимо предоставить сведения о службе хранилища Azure и ключ учетной записи.You are required to provide your Azure Storage details and account key.

    3. После добавления всех файлов для слияния нажмите кнопку OK для завершения операции слияния.After all files to merge have been added, click OK to complete the merge operation.

    4. Объединенный файл откроется в SSMS, где вы сможете его просмотреть и проанализировать, а также экспортировать в XEL или CSV-файл или в таблицу.The merged file opens in SSMS, where you can view and analyze it, as well as export it to an XEL or CSV file, or to a table.

  • Используйте Power BI.Use Power BI. Вы можете просматривать и анализировать данные журнала аудита в Power BI.You can view and analyze audit log data in Power BI. Чтобы получить дополнительные сведения и загрузить шаблон, см. запись блога об анализе данных журнала аудита в Power BI.For more information and to access a downloadable template, see Analyze audit log data in Power BI.

  • Скачайте файлы журналов из контейнера больших двоичных объектов хранилища Azure из портала или с помощью обозревателя хранилища Azure.Download log files from your Azure Storage blob container via the portal or by using a tool such as Azure Storage Explorer.

    • После загрузки файла журнала дважды щелкните по нему, чтобы открыть, просмотреть и проанализировать журналы в среде SSMS.After you have downloaded a log file locally, double-click the file to open, view, and analyze the logs in SSMS.
    • Вы также можете загрузить одновременно несколько файлов через обозреватель хранилища Azure.You can also download multiple files simultaneously via Azure Storage Explorer. Чтобы сделать это, щелкните правой кнопкой мыши конкретную вложенную папку и выберите Сохранить как, чтобы сохранить ее в локальной папке.To do so, right-click a specific subfolder and select Save as to save in a local folder.
  • Дополнительные методыAdditional methods:

    • После загрузки нескольких файлов или вложенной папки, содержащей файлы журнала, можно объединить их локально, как описано выше в инструкциях по объединению файлов аудита в SSMS.After downloading several files or a subfolder that contains log files, you can merge them locally as described in the SSMS Merge Audit Files instructions described previously.

    • Чтобы просмотреть журналы аудита больших двоичных объектов программным способом:View blob auditing logs programmatically:

Рекомендации для рабочей средыProduction practices

Аудит геореплицированных баз данныхAuditing geo-replicated databases

При использовании геореплицированных баз данных, если включить аудит для базы данных-источника, к базе данных-получателю будут применяться идентичные политики аудита.With geo-replicated databases, when you enable auditing on the primary database the secondary database will have an identical auditing policy. Кроме того, можно настроить аудит базы данных-получателя, включив аудит для сервера-получателя, независимо от базы данных-источника.It is also possible to set up auditing on the secondary database by enabling auditing on the secondary server, independently from the primary database.

  • Аудит на уровне сервера (рекомендуется). Включите аудит на сервере-источнике и сервере-получателе — все базы данных-источники и базы данных-получатели пройдут независимый аудит на основе своей соответствующей политики на уровне сервера.Server-level (recommended): Turn on auditing on both the primary server as well as the secondary server - the primary and secondary databases will each be audited independently based on their respective server-level policy.
  • Аудит на уровне базы данных. Аудит на уровне базы данных для баз данных-получателей можно настроить только с помощью параметров аудита в базе данных-источнике.Database-level: Database-level auditing for secondary databases can only be configured from Primary database auditing settings.
    • Его необходимо включить для самой базы данных-источника, а не для сервера.Auditing must be enabled on the primary database itself, not the server.

    • После включения аудита в базе данных-источнике он станет доступным в базе данных-получателе.After auditing is enabled on the primary database, it will also become enabled on the secondary database.

      Важно!

      При использовании аудита на уровне базы данных настройки хранилища для базы данных-получателя будут совпадать с настройками для базы данных-источника, что приведет к появлению трафика между регионами.With database-level auditing, the storage settings for the secondary database will be identical to those of the primary database, causing cross-regional traffic. Рекомендуем включать аудит только на уровне сервера, а на уровне баз данных отключить все параметры аудита для всех баз данных.We recommend that you enable only server-level auditing, and leave the database-level auditing disabled for all databases.

Повторное создание ключа к хранилищу данныхStorage key regeneration

Обычно в рабочей среде приходится периодически обновлять ключи хранилища.In production, you are likely to refresh your storage keys periodically. Если журналы аудита записываются в службу хранилища Azure, при обновлении ключей необходимо повторно сохранить политику аудита.When writing audit logs to Azure storage, you need to resave your auditing policy when refreshing your keys. Применяется следующая обработка.The process is as follows:

  1. Откройте раздел Сведения о хранилище.Open Storage Details. В поле Ключ доступа к хранилищу выберите Вторичный, а затем нажмите кнопку OK.In the Storage Access Key box, select Secondary, and click OK. Затем щелкните Сохранить в верхней области страницы настройки аудита.Then click Save at the top of the auditing configuration page.

    Область навигации

  2. Перейдите на страницу конфигурации хранилища и повторно создайте первичный ключ доступа.Go to the storage configuration page and regenerate the primary access key.

    Область навигации

  3. Вернитесь на страницу настройки аудита, измените значение ключа доступа к хранилищу со вторичного на первичный, затем нажмите кнопку ОК.Go back to the auditing configuration page, switch the storage access key from secondary to primary, and then click OK. Затем щелкните Сохранить в верхней области страницы настройки аудита.Then click Save at the top of the auditing configuration page.

  4. Вернитесь на страницу настройки хранилища и повторно создайте ключ доступа получателя (для подготовки к следующему циклу обновления ключей).Go back to the storage configuration page and regenerate the secondary access key (in preparation for the next key's refresh cycle).

Дополнительные сведенияAdditional Information

  • Дополнительные сведения о формате журнала, иерархии папки для хранения, соглашении об именовании см. в документации по формату журнала аудита больших двоичных объектов.For details about the log format, hierarchy of the storage folder and naming conventions, see the Blob Audit Log Format Reference.

    Важно!

    Функция аудита в Базе данных SQL Azure хранит 4000 символов данных для символьных полей в записи аудита.Azure SQL Database Audit stores 4000 characters of data for character fields in an audit record. Если возвращаемые после выполнения проверяемого действия значения statement или data_sensitivity_information содержат более 4000 символов, все данные сверх этого числа будут усечены и не будут проверены.When the statement or the data_sensitivity_information values returned from an auditable action contain more than 4000 characters, any data beyond the first 4000 characters will be truncated and not audited.

  • Журналы аудита записываются в добавочные большие двоичные объекты в хранилище BLOB-объектов Azure в подписке Azure.Audit logs are written to Append Blobs in an Azure Blob storage on your Azure subscription:

    • Поддержка добавочных больших двоичных объектов в хранилище класса Premium сейчас не предоставляется.Premium Storage is currently not supported by Append Blobs.
    • Хранилище в виртуальной сети в настоящее время не поддерживается.Storage in VNet is currently not supported.
  • Политика аудита по умолчанию включает в себя все действия и приведенные ниже группы действий, которые будут осуществлять аудит всех запросов и хранимых процедур, выполняемых с базой данных, а также успешных и неудачных попыток входа:The default auditing policy includes all actions and the following set of action groups, which will audit all the queries and stored procedures executed against the database, as well as successful and failed logins:

    BATCH_COMPLETED_GROUP;BATCH_COMPLETED_GROUP
    SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP;SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
    FAILED_DATABASE_AUTHENTICATION_GROUP.FAILED_DATABASE_AUTHENTICATION_GROUP

    Можно настроить аудит для различных типов действий и групп действий с помощью PowerShell, как описано в разделе Управление аудитом базы данных SQL с помощью Azure PowerShell.You can configure auditing for different types of actions and action groups using PowerShell, as described in the Manage SQL database auditing using Azure PowerShell section.

  • Если используется проверка подлинности AAD, неудачные попытки входа не отображаются в журнале аудита SQL.When using AAD Authentication, failed logins records will not appear in the SQL audit log. Чтобы просмотреть записи аудита для неудачных попыток входа, посетите портал Azure Active Directory, который регистрирует сведения об этих событиях.To view failed login audit records, you need to visit the Azure Active Directory portal, which logs details of these events.

  • Аудит базы данных SQL Azure оптимизирован для обеспечения доступности & производительности.Azure SQL Database auditing is optimized for availability & performance. Во время очень высокой активности база данных SQL Azure позволяет выполнять операции и не записывать некоторые события аудита.During very high activity Azure SQL Database allows operations to proceed and may not record some audited events.

  • Сведения о настройке неизменяемого аудита учетной записи хранения см. в разделе разрешение записи BLOB-объектов с защищенным добавлением.For configuring Immutable Auditing on storage account, see Allow protected append blobs writes. Обратите внимание, что имя контейнера для аудита — sqldbauditlogs.Please note that the container name for Auditing is sqldbauditlogs.

    Важно!

    Параметр Разрешить защищенные добавочные большие двоичные объекты записи в настоящее время доступен и виден только в следующих регионах:The allow protected append blobs writes setting under time-based retention is currently available and visible only in the following regions:

    • Восточная часть СШАEast US
    • Центрально-южная часть СШАSouth Central US
    • Западная часть США 2West US 2

Управление SQL Serverом Azure и аудитом базы данных с помощью Azure PowerShellManage Azure SQL Server and Database auditing using Azure PowerShell

Командлеты PowerShell (включая поддержку предложения WHERE для дополнительной фильтрации) .PowerShell cmdlets (including WHERE clause support for additional filtering):

Пример сценария см. в статье Настройка аудита и обнаружения угроз для базы данных SQL с помощью PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Управление SQL Serverом Azure и аудитом базы данных с помощью REST APIManage Azure SQL Server and Database auditing using REST API

REST API.REST API:

Расширенная политика с поддержкой предложения WHERE для дополнительной фильтрации:Extended policy with WHERE clause support for additional filtering:

Управление SQL Serverми Azure и аудитом базы данных с помощью шаблонов Azure Resource ManagerManage Azure SQL Server and Database auditing using Azure Resource Manager templates

Вы можете управлять аудитом базы данных Azure SQL с помощью шаблонов Azure Resource Manager, как показано в следующих примерах.You can manage Azure SQL database auditing using Azure Resource Manager templates, as shown in these examples:

Примечание

Связанные образцы находятся в внешнем общедоступном репозитории и предоставляются "как есть", без гарантий и не поддерживаются ни в одной программе или службе поддержки Майкрософт.The linked samples are on an external public repository and are provided 'as is', without warranty, and are not supported under any Microsoft support program/service.