Azure SQL Yönetilen Örneği denetimini kullanmaya başlama

  • Makale
  • Okumak için 6 dakika

Uygulama hedefi: Azure SQL yönetilen örneği

Azure SQL Yönetilen Örneği denetimi, veritabanı olaylarını izler ve bunları Azure depolama hesabınıza bir denetim günlüğüne yazar. Denetim şunları da sağlar:

  • Mevzuatla uyumluluk, veritabanı etkinliğini anlama ve işletme sorunlarını veya şüpheli güvenlik ihlallerini işaret edebilecek farklılıklar ve anormal durumlar hakkında içgörü sahip olmanıza yardımcı olur.
  • Uyumluluğu garanti etmese bile uyumluluk standartlarına uymayı sağlar ve kolaylaştırır. Standartların uyumluluğunu destekleyen Azure programları hakkında daha fazla bilgi için, uyumluluk sertifikalarınınen güncel listesini Azure Güven Merkezi , belgesine bakın.

Önemli

Azure SQL Veritabanı, Azure Synapse ve Azure SQL Yönetilen Örneği için denetim kullanılabilirlik ve performans için iyileştirilmiştir. Çok yüksek etkinlik veya yüksek ağ yükü sırasında Azure SQL Veritabanı, Azure Synapse ve Azure SQL Yönetilen Örneği işlemlerin ilerlemesine izin verir ve denetlenen bazı olayları kaydetmez.

Sunucunuz için Azure Depolama'a denetim ayarlama

Aşağıdaki bölümde yönetilen örneğiniz üzerinde denetimin yapılandırması açık bir şekilde açık almaktadır.

  1. Azure Portal gidin.

  2. Denetim günlüklerinin Depolama azure depolama kapsayıcısı oluşturun.

    1. Denetim günlüklerinizi depolamak istediğiniz Azure depolama hesabına gidin.

      Önemli

      • Bölgeler arası okuma/yazmalardan kaçınmak için yönetilen örnekle aynı bölgede bir depolama hesabı kullanın.
      • Depolama hesabınız bir Sanal Ağ veya Güvenlik Duvarının arkasında ise bkz. Sanal ağdan erişim izni ver.
      • Saklama süresi değerini 0 (sınırsız saklama) yerine başka bir değerle değiştirirsanız saklamanın yalnızca saklama değeri değiştirildikten sonra yazılan günlükler için geçerli olduğunu unutmayın (saklama etkinleştirildikten sonra bile saklamanın sınırsız olarak ayarıldığı dönemde yazılan günlükler korunur).

    2. Depolama hesabında Genel Bakış'a gidin ve Bloblar'a tıklayın.

      Azure Bloblar pencere öğesi

    3. Yeni bir kapsayıcı oluşturmak için üst menüde + Kapsayıcı'ya tıklayın.

      Blob kapsayıcısı oluştur simgesi

    4. Kapsayıcı Adı girin, Genel erişim düzeyi'yi Özel olarak ayarlayın ve ardından Tamam'a tıklayın.

      Blob kapsayıcı yapılandırması oluşturma

    Önemli

    Sunucusu veya veritabanı düzeyinde denetim olayları için sabit bir günlük deposu yapılandırmak isteyen müşterilerin Azuretarafından sağlanan yönergeleri Depolama. (Sabit blob depolamayı yapılandırarak Ek eklemelere izin ver'i seçtiğinizden emin olun.)

  3. Denetim günlükleri için kapsayıcıyı oluşturdukta, denetim günlüklerinin hedefi olarak yapılandırmanın iki yolu vardır: T-SQL veya SQL Server Management Studio (SSMS) kullanıcı arabirimini kullanarak:

    • T-SQL kullanarak denetim günlükleri için blob depolamayı SQL:

      1. Kapsayıcılar listesinde yeni oluşturulan kapsayıcıya ve ardından Kapsayıcı özellikleri'ne tıklayın.

        Blob kapsayıcısı özellikleri düğmesi

      2. Kopyala simgesine tıklayarak kapsayıcı URL'sini kopyalayın ve daha sonra kullanmak üzere URL'yi (Not Defteri) kaydedin. Kapsayıcı URL'si biçimi şu şekilde olmalıdır: https://<StorageName>.blob.core.windows.net/<ContainerName>

        Blob kapsayıcı kopyalama URL'si

      3. Depolama hesabına yönetilen Depolama erişim hakları vermek için bir Azure Depolama SAS belirteci oluşturma:

        • Önceki adımda kapsayıcıyı oluşturduğunuz Azure depolama hesabına gidin.

        • Paylaşılan erişim imzası menüsünde Paylaşılan erişim Depolama Ayarlar tıklayın.

          Depolama ayarları menüsünde paylaşılan erişim imzası simgesi

        • SAS'yi aşağıdaki gibi yapılandırabilirsiniz:

          • İzin verilen hizmetler: Blob

          • Başlangıç tarihi: Saat dilimiyle ilgili sorunlardan kaçınmak için düne ilişkin tarihi kullanın

          • Bitiş tarihi: Bu SAS belirtecin süresinin dol olduğu tarihi seçin

            Not

            Denetim hatalarından kaçınmak için süre sonunda belirteci yeniler.

          • SAS Oluştur’a tıklayın.

            SAS yapılandırması

        • ALTta SAS belirteci görünür. Kopyala simgesine tıklayarak belirteci kopyalayın ve daha sonra kullanmak üzere kaydedin (Not Defteri olarak).

          SAS belirteci kopyalama

          Önemli

          Belirteci başındaki soru işaretini ("?") kaldırın.

      4. Bağlan veya desteklenen herhangi bir araç SQL Server Management Studio yönetilen örneğine başvurun.

      5. Önceki adımlarda oluşturduğunuz SQL URL'sini ve SAS belirteci kullanarak yeni bir kimlik bilgisi oluşturmak için aşağıdaki T-SQL deyimini yürütün:

        CREATE CREDENTIAL [<container_url>]
WITH IDENTITY='SHARED ACCESS SIGNATURE',
SECRET = '<SAS KEY>'
GO

      6. Yeni bir sunucu denetimi SQL için aşağıdaki T-SQL deyimini yürütün (kendi denetim adını seçin ve önceki adımlarda oluşturduğunuz kapsayıcı URL'sini kullanın). Belirtilmezse varsayılan RETENTION_DAYS değer 0'dır (sınırsız bekletme):

        CREATE SERVER AUDIT [<your_audit_name>]
TO URL ( PATH ='<container_url>' , RETENTION_DAYS =  integer )
GO

      7. Devam etmek için sunucu denetim belirtimi veya veritabanı denetimi belirtimi oluşturun.

    • Blob depolamayı denetim günlükleri için 18. SQL Server Management Studio yapılandırma:

      1. Bağlan kullanıcı arabirimini kullanarak yönetilen SQL Server Management Studio gerekir.

      2. Sertifikanın kök notunu Nesne Gezgini.

      3. Güvenlik düğümünü genişletin, Denetimler düğümüne sağ tıklayın ve Yeni Denetim'e tıklayın:

        Güvenlik ve denetim düğümünü genişletme

      4. Denetim hedefi'nin URL'sinin seçili olduğundan emin olun ve Gözat'a tıklayın:

        Azure Depolama

      5. (İsteğe bağlı) Azure hesabınızla oturum açın:

        Azure'da oturum açma

      6. Açılan listeden bir abonelik, depolama hesabı ve blob kapsayıcısı seçin veya Oluştur'a tıklayarak kendi kapsayıcınızı oluşturun. Bitirdikten sonra Tamam'a tıklayın:

        Azure aboneliği, depolama hesabı ve blob kapsayıcısı seçme

      7. Denetim Oluştur iletişim kutusunda Tamam'a tıklayın.

        Not

        Denetim oluşturmak SQL Server Management Studio kullanıcı arabirimi kullanılırken, SAS anahtarına sahip kapsayıcıya otomatik olarak bir kimlik bilgisi oluşturulur.

      8. Blob kapsayıcıyı denetim günlükleri için hedef olarak yapılandırdikten sonra, aşağıdaki gibi bir sunucu denetim belirtimi veya veritabanı denetimi belirtimi SQL Server:

    • Sunucu denetim belirtimi oluşturma T-SQL kılavuzu

    • Veritabanı denetim belirtimi oluşturma T-SQL kılavuzu

    1. adımda oluşturduğunuz sunucu denetimini etkinleştirin:
    ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE=ON);
GO

Ek bilgi için:

Günlüklere veya günlüklere göre Event Hubs için Azure İzleyici ayarlama

Yönetilen bir örnekten denetim günlükleri Azure Event Hubs veya Azure İzleyici gönderebilirsiniz. Bu bölümde bunun nasıl yapılandırıldığından emin oluruz:

  1. Yönetilen örnekte Azure portal örneğine gidin.

  2. Tanılama ayarları'nın üzerine tıklayın.

  3. Tanılamayı aç'a tıklayın. Tanılama zaten etkinse bunun yerine +Tanılama ekle ayarı gösterir.

  4. Günlük listesinde SQLSecurityAuditEvents'i seçin.

  5. Denetim olayları için bir hedef seçin: Event Hubs, Azure İzleyici veya her ikisi. Her hedef için gerekli parametreleri (log Analytics çalışma alanı gibi) yapılandırma.

  6. Kaydet’e tıklayın.

    Tanılama ayarlarını yapılandırma

  7. Bağlan (SSMS) SQL Server Management Studio desteklenen herhangi bir istemciyi kullanarak yönetilen örneği kullanma.

  8. Sunucu denetimi oluşturmak için SQL T-SQL deyimini yürütün:

    CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
GO

  9. Sunucu denetim belirtimi veya veritabanı denetimi belirtimi oluşturmak ve etkinleştirmek için aşağıdaki SQL Server:

    1. adımda oluşturulan sunucu denetimini etkinleştirin:
    ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE=ON);
GO

Denetim günlüklerini tüketme

Azure Depolama'de depolanan günlükleri tüketme

Blob denetim günlüklerini görüntülemek için kullanabileceğiniz çeşitli yöntemler vardır.

  • Denetim günlüğü verilerini tablo biçiminde SQL sistem işlevini sys.fn_get_audit_file (T-SQL) kullanın. Bu işlevi kullanma hakkında daha fazla bilgi için, sys.fn_get_audit_file bakın.

  • denetim günlüklerini keşfetmek için gibi bir araç Azure Depolama Gezgini. Azure Depolama denetim günlükleri, denetim günlüklerini depolamak için tanımlanmış bir kapsayıcı içindeki blob dosyaları koleksiyonu olarak kaydedilir. Depolama klasörünün hiyerarşisi, adlandırma kuralları ve günlük biçimi hakkında daha fazla bilgi için bkz. Blob Denetim Günlüğü Biçimi Başvurusu.

  • Denetim günlüğü tüketim yöntemlerinin tam listesi için bkz. Kullanmaya başlayın ile Azure SQL Veritabanı.

Depolamada depolanan günlükleri Event Hubs

Denetim günlükleri verilerini Event Hubs için, olayları tüketecek ve bunları bir hedefe yazacak bir akış ayarlayacaksınız. Daha fazla bilgi için Azure Event Hubs bakın.

Günlüklerde depolanan günlükleri tüketme Azure İzleyici analiz etme

Denetim günlükleri günlüklere Azure İzleyici, bunlar Log Analytics çalışma alanında kullanılabilir. Burada denetim verileri üzerinde gelişmiş aramalar çalıştırabilirsiniz. Başlangıç noktası olarak Log Analytics çalışma alanına gidin. Genel bölümünün altında Günlükler'e tıklayın ve denetim günlüklerini görüntülemek için: search "SQLSecurityAuditEvents" gibi basit bir sorgu girin.

Azure İzleyici günlükleri, tüm iş yükleriniz ve sunucularınız genelinde milyonlarca kaydı kolayca analiz etmek için tümleşik arama ve özel panoları kullanarak gerçek zamanlı operasyonel içgörüler sağlar. Günlük arama dili ve komutları hakkında Azure İzleyici yararlı bilgiler için bkz. Azure İzleyici günlükler arama başvurusu.

Not

Bu makale, son zamanlarda Log Analytics yerine Azure Izleyici günlükleri terimini kullanacak şekilde güncelleştirildi. Günlük verileri hala bir Log Analytics çalışma alanında depolanır ve yine de aynı Log Analytics hizmeti tarafından toplanıp çözümlenmektedir. Azure izleyici 'de günlüklerinrolünü daha iyi yansıtacak şekilde terminolojiyi güncelleştiriyoruz. Ayrıntılar için bkz. Azure izleyici terminolojisi değişiklikleri .

Azure'daki veritabanları ve Yönetilen SQL veritabanları arasındaki denetim farkları SQL Server

Azure SQL Yönetilen Örneği'SQL Server arasındaki temel SQL Server farklar:

  • Azure SQL Yönetilen Örneği ile denetim sunucu düzeyinde çalışır ve günlük dosyalarını .xel Azure Blob depolama alanında depolar.
  • Bu SQL Server, denetim sunucu düzeyinde çalışır, ancak olayları dosya sisteminde depolar ve olay Windows kaydeder.

Yönetilen örneklerde XEvent denetimi, Azure Blob depolama hedeflerini destekler. Dosya Windows günlükler desteklenmiyor.

Azure Blob depolama için CREATE AUDIT denetim söz dizimleri arasındaki temel farklar:

  • Yeni bir TO URL söz dizimi sağlanır ve dosyaların yerleştiril olduğu Azure Blob depolama kapsayıcısı URL'sini .xel belirtmenize olanak sağlar.
  • Günlük hedeflerini TO EXTERNAL MONITOR ve hedeflerini Event Hubs için Azure İzleyici söz dizimi sağlanır.
  • Azure SQL Yönetilen Örneği dosya paylaşımlarına erişe TO FILE Windows desteklenmiyor.
  • Kapatma seçeneği desteklenmiyor.
  • queue_delay0'ın desteği yok.

Sonraki adımlar