Komma igång med granskning av Azure SQL Managed Instance

  • Artikel
  • 7 minuter för att läsa

GÄLLER FÖR: Azure SQL Managed Instance

Azure SQL Managed Instance-granskning spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto. Granskning gör även följande:

  • Det hjälper dig att upprätthålla regelefterlevnad, förstå databasaktiviteter och få insikter om i avvikelser och fel som kan tyda på affärsproblem eller potentiella säkerhetsöverträdelser.
  • Det främjar och underlättar uppfyllandet av efterlevnadsstandarder, även om det inte garanterar efterlevnad. Mer information om Azure-program som stöder standardefterlevnad finns i Azure Säkerhetscenter, där du hittar den senaste listan över efterlevnadscertifieringar.

Viktigt

Granskning för Azure SQL Database, Azure Synapse och Azure SQL Managed Instance är optimerad för tillgänglighet och prestanda. Under mycket hög aktivitet, eller hög nätverksbelastning, kan Azure SQL Database, Azure Synapse och Azure SQL Managed Instance tillåta att åtgärder fortsätter och kanske inte registrerar några granskade händelser.

Konfigurera granskning för servern så att den Azure Storage

I följande avsnitt beskrivs konfigurationen av granskning på den hanterade instansen.

  1. Gå till Azure-portalen.

  2. Skapa en Azure Storage container där granskningsloggar lagras.

    1. Gå till Azure Storage-kontot där du vill lagra granskningsloggarna.

      Viktigt

      • Använd ett lagringskonto i samma region som den hanterade instansen för att undvika läsningar/skrivningar mellan regioner.
      • Om ditt lagringskonto finns bakom en Virtual Network eller en brandvägg kan du se Bevilja åtkomst från ett virtuellt nätverk.
      • Om du ändrar kvarhållningsperioden från 0 (obegränsad kvarhållning) till ett annat värde, bör du observera att kvarhållningen endast gäller för loggar som skrivits efter att kvarhållningsvärdet har ändrats (loggar som skrivits under perioden när kvarhållningen var inställt på obegränsad bevaras, även efter att kvarhållning har aktiverats).

    2. I lagringskontot går du till Översikt och klickar på Blobar.

      Azure Blobs-widget

    3. På den översta menyn klickar du på + Container för att skapa en ny container.

      Ikonen Skapa blobcontainer

    4. Ange ett containernamn, ange Offentlig åtkomstnivå till Privat och klicka sedan på OK.

      Skapa blobcontainerkonfiguration

    Viktigt

    Kunder som vill konfigurera ett oföränderligt logglager för sina granskningshändelser på server- eller databasnivå bör följa instruktionerna från Azure Storage. (Kontrollera att du har valt Tillåt ytterligare tillägg när du konfigurerar den oföränderliga bloblagringen.)

  3. När du har skapat containern för granskningsloggarna finns det två sätt att konfigurera den som mål för granskningsloggarna: använda T-SQL eller använda SSMS-användargränssnittet (SQL Server Management Studio):

    • Konfigurera bloblagring för granskningsloggar med hjälp av T-SQL:

      1. I listan över containrar klickar du på den nyligen skapade containern och sedan på Containeregenskaper.

        Egenskapsknapp för blobcontainer

      2. Kopiera container-URL:en genom att klicka på kopieringsikonen och spara URL:en (till exempel i Anteckningar) för framtida användning. Formatet för container-URL:en ska vara https://<StorageName>.blob.core.windows.net/<ContainerName>

        Kopiera URL för blobcontainer

      3. Generera en SAS Azure Storage token för att bevilja åtkomstbehörighet för granskning av hanterad instans till lagringskontot:

        • Gå till Azure Storage-kontot där du skapade containern i föregående steg.

        • Klicka på Signatur för delad åtkomst Storage Inställningar menyn.

          Ikon för signatur för delad åtkomst på inställningsmenyn för lagring

        • Konfigurera SAS på följande sätt:

          • Tillåtna tjänster: Blob

          • Startdatum: Använd gårdagens datum för att undvika tidszonsrelaterade problem

          • Slutdatum: Välj det datum då SAS-token upphör att gälla

            Anteckning

            Förnya token när den upphör att gälla för att undvika granskningsfel.

          • Klicka sedan på Generera signatur för delad åtkomst (SAS).

            SAS-konfiguration

        • SAS-token visas längst ned. Kopiera token genom att klicka på kopieringsikonen och spara den (till exempel i Anteckningar) för framtida användning.

          Kopiera SAS-token

          Viktigt

          Ta bort frågetecknet ("?") från början av token.

      4. Anslut till din hanterade instans via SQL Server Management Studio eller något annat verktyg som stöds.

      5. Kör följande T-SQL för att skapa en ny autentiserings uppgift med hjälp av container-URL:en och SAS-token som du skapade i föregående steg:

        CREATE CREDENTIAL [<container_url>]
WITH IDENTITY='SHARED ACCESS SIGNATURE',
SECRET = '<SAS KEY>'
GO

      6. Kör följande T-SQL för att skapa en ny servergranskning (välj ditt eget granskningsnamn och använd container-URL:en som du skapade i föregående steg). Om inget anges är RETENTION_DAYS standardvärdet 0 (obegränsad kvarhållning):

        CREATE SERVER AUDIT [<your_audit_name>]
TO URL ( PATH ='<container_url>' , RETENTION_DAYS =  integer )
GO

      7. Fortsätt genom att skapa en servergranskningsspecifikation eller databasgranskningsspecifikation.

    • Konfigurera bloblagring för granskningsloggar med SQL Server Management Studio 18:

      1. Anslut till den hanterade instansen med hjälp SQL Server Management Studio användargränssnitt.

      2. Expandera rotanteckningen för Object Explorer.

      3. Expandera noden Säkerhet, högerklicka på noden Granskningar och klicka på Ny granskning:

        Expandera säkerhets- och granskningsnoden

      4. Kontrollera att URL:en är markerad i Granskningsmål och klicka på Bläddra:

        Bläddra Azure Storage

      5. (Valfritt) Logga in på ditt Azure-konto:

        Logga in på Azure

      6. Välj en prenumeration, ett lagringskonto och en blobcontainer i listrutan eller skapa en egen container genom att klicka på Skapa. När du är klar klickar du på OK:

        Välj Azure-prenumeration, lagringskonto och blobcontainer

      7. Klicka på OK i dialogrutan Skapa granskning.

        Anteckning

        När du SQL Server Management Studio användargränssnittet för att skapa granskning skapas automatiskt autentiseringsuppgifter till containern med SAS-nyckel.

      8. När du har konfigurerat blobcontainern som mål för granskningsloggarna skapar och aktiverar du en specifikation för servergranskning eller databasgranskning som för SQL Server:

    • Guide för att skapa T-SQL för servergranskningsspecifikation

    • Skapa T-SQL databasgranskningsspecifikation

  4. Aktivera servergranskningen som du skapade i steg 3:

    ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE=ON);
GO

Ytterligare information:

Konfigurera granskning för servern för att Event Hubs eller Azure Monitor loggar

Granskningsloggar från en hanterad instans kan skickas till Azure Event Hubs eller Azure Monitor loggar. I det här avsnittet beskrivs hur du konfigurerar detta:

  1. Navigera i Azure Portal till den hanterade instansen.

  2. Klicka på Diagnostikinställningar.

  3. Klicka på Aktivera diagnostik. Om diagnostiken redan är aktiverad visas + Lägg till diagnostikinställning i stället.

  4. Välj SQLSecurityAuditEvents i listan över loggar.

  5. Välj ett mål för granskningshändelserna: Event Hubs, Azure Monitor eller båda. Konfigurera för varje mål de obligatoriska parametrarna (t.ex. Log Analytics-arbetsyta).

  6. Klicka på Spara.

    Konfigurera diagnostikinställningar

  7. Anslut till den hanterade instansen med SQL Server Management Studio (SSMS) eller någon annan klient som stöds.

  8. Kör följande T-SQL för att skapa en servergranskning:

    CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
GO

  9. Skapa och aktivera en servergranskningsspecifikation eller databasgranskningsspecifikation på samma sätt som för SQL Server:

  10. Aktivera servergranskningen som skapades i steg 8:

    ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE=ON);
GO

Använda granskningsloggar

Använda loggar som lagras i Azure Storage

Det finns flera metoder som du kan använda för att visa blobgranskningsloggar.

Använda loggar som lagras i Event Hubs

Om du vill använda granskningsloggdata från Event Hubs måste du konfigurera en dataström för att använda händelser och skriva dem till ett mål. Mer information finns i Azure Event Hubs dokumentationen.

Använda och analysera loggar som lagras i Azure Monitor loggar

Om granskningsloggar skrivs Azure Monitor loggar är de tillgängliga på Log Analytics-arbetsytan, där du kan köra avancerade sökningar på granskningsdata. Gå till Log Analytics-arbetsytan som utgångspunkt. Under avsnittet Allmänt klickar du på Loggar och anger en enkel fråga, till exempel: för att search "SQLSecurityAuditEvents" visa granskningsloggarna.

Azure Monitor-loggar ger dig driftinsikter i realtid med hjälp av integrerade sök- och anpassade instrumentpaneler för att enkelt analysera miljontals poster över alla dina arbetsbelastningar och servrar. Mer användbar information om hur Azure Monitor loggar sökspråk och kommandon finns i Azure Monitor sökreferens för loggar.

Anteckning

Den här artikeln har nyligen uppdaterats för användning av term Azure Monitors loggar i stället för Log Analytics. Loggdata lagras fortfarande i en Log Analytics arbets yta och samlas in och analyseras fortfarande av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre avspegla rollen för loggar i Azure Monitor. Se Azure Monitor terminologis ändringar för mer information.

Granska skillnader mellan databaser i Azure SQL Managed Instance och databaser i SQL Server

De viktigaste skillnaderna mellan granskning i databaser i Azure SQL Managed Instance och databaser i SQL Server är:

  • Med Azure SQL Managed Instance fungerar granskning på servernivå och lagrar .xel loggfiler i Azure Blob Storage.
  • I SQL Server fungerar granskning på servernivå, men lagrar händelser i filsystemet och Windows händelseloggar.

XEvent-granskning i hanterade instanser stöder Azure Blob Storage-mål. Fil- och Windows loggar stöds inte.

De viktigaste skillnaderna i CREATE AUDIT syntaxen för granskning till Azure Blob Storage är:

  • En ny syntax TO URL tillhandahålls och gör att du kan ange URL:en för Azure Blob Storage-containern där filerna .xel placeras.
  • En ny syntax TO EXTERNAL MONITOR tillhandahålls för att Event Hubs och Azure Monitor målloggen.
  • Syntaxen TO FILE stöds inte eftersom Azure SQL Managed Instance inte kan komma åt Windows filresurser.
  • Avstängningsalternativet stöds inte.
  • queue_delay av 0 stöds inte.

Nästa steg