Bagikan melalui

Menyiapkan Audit untuk Azure SQL Database dan Azure Synapse Analytics

  • Artikel

Berlaku untuk:Azure SQL DatabaseAzure Synapse Analytics

Dalam artikel ini, kami membahas penyiapan Audit untuk server logis atau database Anda di Azure SQL Database dan Azure Synapse Analytics.

Mengonfigurasi Audit untuk server Anda

Kebijakan audit default mencakup sekumpulan grup tindakan berikut, yang mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal:

  • KELOMPOK_BATAS_SELESAI
  • Keberhasilan_Autentikasi_Database_Grup
  • GAGAL_OTENTIKASI_DATABASE_GRUP

Untuk mengonfigurasi audit untuk berbagai jenis tindakan dan grup tindakan menggunakan PowerShell, lihat Mengelola Audit Azure SQL Database menggunakan API.

Azure SQL Database dan Audit Azure Synapse Analytics dapat menyimpan 4.000 karakter data untuk bidang karakter dalam catatan audit. Ketika pernyataan atau nilai data_sensitivity_information yang dikembalikan dari tindakan yang dapat diaudit berisi lebih dari 4000 karakter, data apa pun di luar 4000 karakter pertama dipotong dan tidak diaudit.

Bagian berikut menjelaskan konfigurasi Audit menggunakan portal Azure.

Catatan

Anda tidak dapat mengaktifkan pengauditan pada kumpulan SQL terdedikasi yang dihentikan sementara. Untuk mengaktifkan audit, mulai ulang kumpulan SQL khusus.

Saat Audit dikonfigurasi dalam Log Analytics workspace atau ke tujuan Event Hubs di portal Azure atau cmdlet PowerShell, Diagnostic Setting dibuat dengan kategori yang diaktifkan.

  1. Buka portal Azure.

  2. Navigasi ke Audit di bawah judul Keamanan di database SQL atau panel server SQL Anda.

  3. Jika Anda memilih kebijakan pengauditan server, Anda bisa memilih tautan Tampilkan pengaturan server di halaman pengauditan database. Anda kemudian dapat melihat atau mengubah setelan audit server. Kebijakan audit server berlaku untuk semua database yang sudah ada dan yang baru dibuat pada server ini.

    Cuplikan layar yang memperlihatkan link Tampilkan pengaturan server disorot pada halaman audit database

  4. Jika Anda memilih mengaktifkan audit pada tingkat database, alihkan Audit ke AKTIF. Jika audit server diaktifkan, audit yang dikonfigurasi oleh database ada secara berdampingan dengan audit server.

  5. Anda memiliki beberapa opsi untuk mengonfigurasi tempat log audit disimpan. Anda dapat menulis log ke akun penyimpanan Azure, ke ruang kerja Analitik Log untuk dikonsumsi oleh log Azure Monitor, atau ke hub peristiwa untuk dikonsumsi menggunakan hub peristiwa. Anda dapat mengonfigurasi kombinasi opsi ini, dan log audit ditulis untuk masing-masing opsi.

    Cuplikan layar yang memperlihatkan opsi penyimpanan untuk Audit.

Audit menuju tujuan penyimpanan

Untuk mengonfigurasi penulisan log audit ke akun penyimpanan, pilih Penyimpanan saat Anda masuk ke bagian Pengauditan. Pilih akun penyimpanan Azure tempat Anda ingin menyimpan log Anda. Anda dapat menggunakan dua jenis autentikasi penyimpanan berikut: Identitas Terkelola dan Kunci Akses Penyimpanan. Untuk identitas terkelola, identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna didukung. Secara default, identitas pengguna utama yang ditetapkan ke server dipilih. Jika tidak ada identitas pengguna, identitas terkelola yang ditetapkan sistem dibuat dan digunakan untuk tujuan autentikasi. Setelah Anda memilih jenis autentikasi, pilih periode retensi dengan membuka Properti tingkat lanjut dan memilih Simpan. Log yang lebih lama dari periode retensi akan dihapus.

Cuplikan layar yang memperlihatkan jenis autentikasi akun penyimpanan untuk Audit.

Catatan

Jika Anda menyebarkan dari portal Azure, pastikan akun penyimpanan berada di wilayah yang sama dengan database dan server Anda. Jika Anda menyebarkan melalui metode lain, akun penyimpanan dapat berada di wilayah mana pun.

  • Nilai default untuk periode retensi adalah 0 (retensi tak terbatas). Anda dapat mengubah nilai ini dengan memindahkan penggeser Retensi (Hari) di Properti tingkat lanjut saat mengonfigurasi audit akun penyimpanan.
    • Jika Anda mengubah periode retensi dari 0 (retensi tidak terbatas) ke nilai lain, retensi hanya akan berlaku untuk log yang ditulis setelah nilai retensi diubah. Log yang ditulis selama periode ketika hari retensi diatur ke retensi tak terbatas dipertahankan, bahkan setelah retensi diaktifkan.

Audit ke tujuan Log Analytics

Untuk mengonfigurasi penulisan log audit ke ruang kerja Analitik Log, pilih Analitik Log dan buka detail Analitik Log. Pilih ruang kerja Log Analytics di mana Anda ingin menyimpan log, lalu pilih OK. Jika Anda belum membuat ruang kerja Analitik Log, lihat Membuat ruang kerja Analitik Log di portal Azure.

Cuplikan layar memperlihatkan ruang kerja yang dipilih Analitik Log.

Mengaudit ke tujuan Azure Event Hubs

Untuk mengonfigurasi penulisan log audit ke hub kejadian, pilih Hub Kejadian. Pilih pusat aktivitas tempat Anda ingin menyimpan log, lalu pilih Simpan. Pastikan bahwa hub peristiwa berada di wilayah yang sama dengan database dan server Anda.

Cuplikan layar memperlihatkan Event Hub.

Catatan

Jika Anda menggunakan beberapa target seperti akun penyimpanan, analitik log, atau hub peristiwa, pastikan Anda memiliki izin untuk semua target, jika tidak menyimpan konfigurasi audit akan gagal karena sistem akan mencoba menyimpan pengaturan untuk semua target.

Langkah berikutnya

Menggunakan Audit untuk menganalisis log dan laporan audit

Konten terkait