Azure SQL Veritabanı ve Azure Synapse Analytics için denetim

Şunlar için geçerlidir:Azure SQL Veritabanı Azure Synapse Analytics

Azure SQL Veritabanı ve Azure Synapse Analytics denetimi veritabanı olaylarını izler ve bunları Azure depolama hesabınızda, Log Analytics çalışma alanınızda veya Event Hubs'larınızda bir denetim günlüğüne yazar.

Denetim şunları da sağlar:

  • Mevzuatla uyumluluk, veritabanı etkinliğini anlama ve işletme sorunlarını veya şüpheli güvenlik ihlallerini işaret edebilecek farklılıklar ve anormal durumlar hakkında içgörü sahip olmanıza yardımcı olur.

  • Uyumluluğu garanti etmese bile uyumluluk standartlarına uymayı sağlar ve kolaylaştırır. Daha fazla bilgi için SQL Veritabanı uyumluluk sertifikalarının en güncel listesini bulabileceğiniz Microsoft Azure Güven Merkezi'ne bakın.

Dekont

Azure SQL Yönetilen Örneği denetimi hakkında bilgi için bkz. SQL Yönetilen Örneği denetimi kullanmaya başlama.

Genel Bakış

SQL Veritabanı denetimini kullanarak şunları yapabilirsiniz:

  • Seçili olayların denetim kaydını tutun . Denetlenecek veritabanı eylemi kategorilerini tanımlayabilirsiniz.
  • Veritabanı etkinliğiyle ilgili rapor . Etkinlik ve olay raporlamaya hızlı bir başlangıç yapmak için önceden yapılandırılmış raporları ve bir panoyu kullanabilirsiniz.
  • Raporları analiz etme . Şüpheli olayları, alışılmışın dışındaki etkinlikleri ve eğilimleri bulabilirsiniz.

Önemli

Azure SQL Veritabanı, Azure Synapse Analytics SQL havuzları ve Azure SQL Yönetilen Örneği için denetim, denetlenen veritabanının veya örneğin kullanılabilirliği ve performansı için iyileştirilmiştir. Çok yüksek etkinlik veya ağ yükünün yüksek olduğu dönemlerde, denetim özelliği, denetim için işaretlenen tüm olayları kaydetmeden işlemlerin devam etmelerine izin verebilir.

Denetim sınırlamaları

  • Duraklatılmış bir Azure Synapse SQL havuzunda denetimi etkinleştirme desteklenmez. Denetimi etkinleştirmek için Synapse SQL havuzunu sürdürebilirsiniz.
  • Azure Synapse'te Kullanıcı Tarafından Atanan Yönetilen Kimlik (UAMI) kullanılarak denetimin etkinleştirilmesi desteklenmez.
  • Azure Synapse SQL havuzları için denetim yalnızca varsayılan denetim eylem gruplarını destekler.
  • Azure'da bir mantıksal sunucu için denetimi yapılandırdığınızda veya günlük hedefini depolama hesabı olarak Azure SQL Veritabanı, kimlik doğrulama modunun bu depolama hesabının yapılandırmasıyla eşleşmesi gerekir. Kimlik doğrulama türü olarak depolama erişim anahtarları kullanılıyorsa, hedef depolama hesabının depolama hesabı anahtarlarına erişimle etkinleştirilmesi gerekir. Depolama hesabı yalnızca Microsoft Entra Id (eski adıYla Azure Active Directory) ile kimlik doğrulamasını kullanacak şekilde yapılandırılmışsa, denetim, kimlik doğrulaması için yönetilen kimlikleri kullanacak şekilde yapılandırılabilir.

Açıklamalar

  • BlockBlob Depolama ile premium depolama desteklenir. Standart depolama desteklenir. Ancak, denetimin bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazabilmesi için genel amaçlı bir v2 depolama hesabınız olmalıdır. Genel amaçlı v1 veya Blob Depolama hesabınız varsa, genel amaçlı v2 depolama hesabına yükseltin. Belirli yönergeler için bkz . Sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabına denetim yazma. Daha fazla bilgi için bkz . Depolama hesabı türleri.
  • BlockBlob Depolama ile her tür standart depolama hesabı ve premium depolama hesabı için hiyerarşik ad alanı desteklenir.
  • Denetim günlükleri, Azure aboneliğinizdeki bir Azure Blob Depolama Blob Ekleme'ye yazılır
  • Denetim günlükleri .xel biçimindedir ve SQL Server Management Studio (SSMS) ile açılabilir.
  • Sunucu veya veritabanı düzeyinde denetim olayları için sabit bir günlük deposu yapılandırmak için Azure Depolama tarafından sağlanan yönergeleri izleyin. Sabit blob depolamayı yapılandırırken Ek eklemelere izin ver'i seçtiğinizden emin olun.
  • Denetim günlüklerini sanal ağın veya güvenlik duvarının arkasındaki bir Azure Depolama hesabına yazabilirsiniz.
  • Günlük biçimi, depolama klasörünün hiyerarşisi ve adlandırma kuralları hakkında ayrıntılı bilgi için bkz . Blob Denetim Günlüğü Biçimi Başvurusu.
  • Salt Okuma Çoğaltmalarında denetim otomatik olarak etkinleştirilir. Depolama klasörlerinin hiyerarşisi, adlandırma kuralları ve günlük biçimi hakkında daha fazla bilgi için denetim günlüğü biçimi SQL Veritabanı bakın.
  • Microsoft Entra kimlik doğrulaması kullanılırken başarısız oturum açma kayıtları SQL denetim günlüğünde görünmez . Başarısız oturum açma denetim kayıtlarını görüntülemek için, bu olayların ayrıntılarını günlüğe kaydeden Microsoft Entra yönetim merkezini ziyaret etmeniz gerekir.
  • Oturum açma işlemleri ağ geçidi tarafından veritabanının bulunduğu belirli örneğe yönlendirilir. Microsoft Entra oturum açma bilgileriyle, istenen veritabanında oturum açmak için bu kullanıcıyı kullanmaya çalışmadan önce kimlik bilgileri doğrulanır. Başarısız olması durumunda istenen veritabanına hiçbir şekilde erişilemez ve dolayısıyla hiçbir denetim gerçekleştirilmez. SQL oturum açma bilgileriyle, kimlik bilgileri istenen veriler üzerinde doğrulanır, bu nedenle bu durumda denetlenebilirler. Her iki durumda da, veritabanına ulaştığı açıkça görülen başarılı oturum açma işlemleri denetlenir.
  • Denetim ayarlarınızı yapılandırdıktan sonra yeni tehdit algılama özelliğini açabilir ve güvenlik uyarılarını almak için e-postaları yapılandırabilirsiniz. Tehdit algılamayı kullandığınızda, olası güvenlik tehditlerine işaret ediyor olabilecek anormal veritabanı etkinliklerinde proaktif uyarılar alırsınız. Daha fazla bilgi için bkz . Tehdit algılamayı kullanmaya başlama.
  • Denetimin etkinleştirildiği bir veritabanı başka bir mantıksal sunucuya kopyalandıktan sonra, denetimin başarısız olduğunu bildiren bir e-posta alabilirsiniz. Bu bilinen bir sorundur ve denetim yeni kopyalanan veritabanında beklendiği gibi çalışmalıdır.

Sonraki adımlar

Ayrıca bkz.