Controle voor Azure SQL Database en Azure Synapse Analytics
van toepassing op:Azure SQL Database
Azure Synapse Analytics-
Controle voor Azure SQL Database en Azure Synapse Analytics houdt databasegebeurtenissen bij en schrijft deze naar een auditlogboek in uw Azure-opslagaccount, Log Analytics-werkruimte of Event Hubs.
Ook het controleren van:
Helpt u naleving van regelgeving te handhaven, databaseactiviteit te begrijpen en inzicht te krijgen in verschillen en afwijkingen die kunnen duiden op zakelijke problemen of vermoedelijke schendingen van de beveiliging.
Maakt naleving van nalevingsstandaarden mogelijk en faciliteert, hoewel dit geen naleving garandeert. Zie het Microsoft Azure Trust Center waar u de meest recente lijst met SQL Database-nalevingscertificeringen kunt vinden voor meer informatie.
Notitie
Zie Aan de slag met azure SQL Managed Instance-controlevoor meer informatie over azure SQL Managed Instance-controle.
Overzicht
U kunt SQL Database-controle gebruiken om het volgende te doen:
- een audittrail van geselecteerde gebeurtenissen behouden. U kunt categorieën van databaseacties definiëren die moeten worden gecontroleerd.
- Rapport over databaseactiviteit. U kunt vooraf geconfigureerde rapporten en een dashboard gebruiken om snel aan de slag te gaan met activiteiten- en gebeurtenisrapportage.
- Analyseer rapporten. U kunt verdachte gebeurtenissen, ongebruikelijke activiteiten en trends vinden.
Belangrijk
Controle voor Azure SQL Database, Azure Synapse Analytics SQL-pools en Azure SQL Managed Instance is geoptimaliseerd voor beschikbaarheid en prestaties van de database of het exemplaar dat wordt gecontroleerd. Tijdens perioden van zeer hoge activiteit of een hoge netwerkbelasting kan de controlefunctie transacties toestaan zonder alle gebeurtenissen die zijn gemarkeerd voor controle op te nemen.
Beperkingen voor controle
- Het inschakelen van controle op een onderbroken Azure Synapse SQL-pool wordt niet ondersteund. Als u controle wilt inschakelen, hervat u de Synapse SQL-pool.
- Het inschakelen van controle met behulp van door de gebruiker toegewezen beheerde identiteit (UAMI) wordt niet ondersteund op Azure Synapse-.
- Op dit moment worden beheerde identiteiten niet ondersteund voor Azure Synapse, tenzij het opslagaccount zich achter een virtueel netwerk of een firewall bevindt.
- Vanwege prestatiebeperkingen controleren we de tempdb- en tijdelijke tabellen niet. Hoewel de actiegroep met batch voltooide instructies vastlegt voor tijdelijke tabellen, worden de objectnamen mogelijk niet correct ingevuld. De brontabel wordt echter altijd gecontroleerd, zodat alle invoegingen van de brontabel naar tijdelijke tabellen worden vastgelegd.
- Controle voor Azure Synapse SQL-pools ondersteunt standaardcontroleactiegroepen alleen.
- Wanneer u controle configureert voor een logische server in Azure of Azure SQL Database met het logboekdoel als opslagaccount, moet de verificatiemodus overeenkomen met de configuratie voor dat opslagaccount. Als u opslagtoegangssleutels als verificatietype gebruikt, moet het doelopslagaccount zijn ingeschakeld met toegang tot de opslagaccountsleutels. Als het opslagaccount is geconfigureerd om alleen verificatie te gebruiken met Microsoft Entra-id (voorheen Azure Active Directory), kan controle worden geconfigureerd voor het gebruik van beheerde identiteiten voor verificatie.
Opmerkingen
- Premium-opslag met BlockBlobStorage- wordt ondersteund. Standard-opslag wordt ondersteund. Echter, om auditlogs naar een opslagaccount achter een virtueel netwerk of firewall te schrijven, moet u een algemeen opslagaccount v2 hebben. Als u een v1- of Blob Storage-account voor algemeen gebruik hebt, upgraden naar een v2-opslagaccount voor algemeen gebruik. Voor specifieke instructies, zie Voer een controle uit naar een opslagaccount achter VNet en firewall. Zie Typen opslagaccountsvoor meer informatie.
- hiërarchische naamruimte voor alle typen standard-opslagaccount en Premium-opslagaccount met BlockBlobStorage- wordt ondersteund.
- Auditlogboeken worden geschreven naar Append Blobs in een Azure Blob Storage in uw Azure-abonnement.
- Auditlogboeken hebben de indeling .xel en kunnen worden geopend met SSMS-(SQL Server Management Studio).
- Als u een onveranderbaar logboekarchief wilt configureren voor controlegebeurtenissen op server- of databaseniveau, volgt u de instructies van Azure Storage. Zorg ervoor dat u Aanvullende toevoeggegevens toestaan hebt geselecteerd wanneer u de onveranderbare blobopslag configureert.
- U kunt auditlogboeken schrijven naar een Azure Storage-account achter een virtueel netwerk of een firewall.
- Zie het artikel SQL Database-auditlogboekindelingvoor meer informatie over de logboekindeling, de hiërarchie van de opslagmap en naamconventies.
- Audit van Alleen-lezen replica's gebruiken om alleen-lezen querywerkbelastingen te offloaden wordt automatisch ingeschakeld. Zie het artikel SQL Database-auditlogboekindelingvoor meer informatie over de hiërarchie van de opslagmappen, naamconventies en logboekindeling.
- Wanneer u Microsoft Entra-verificatie gebruikt, worden mislukte aanmeldingsrecords niet weergegeven in het SQL-auditlogboek. Als u mislukte auditrecords voor aanmeldingen wilt bekijken, moet u het Microsoft Entra-beheercentrum bezoeken, waarin de details van deze gebeurtenissen worden vastgelegd.
- Aanmeldingen worden door de gateway doorgestuurd naar het specifieke exemplaar waar de database zich bevindt. Met Microsoft Entra-aanmeldingen worden de inloggegevens geverifieerd voordat de gebruiker wordt gebruikt om zich aan te melden bij de aangevraagde database. In het geval van een fout wordt de aangevraagde database nooit geopend, dus er treedt geen controle op. Met SQL-aanmeldingen worden de referenties gecontroleerd tegen de aangevraagde gegevens, zodat ze in dit geval kunnen worden geauditeerd. Geslaagde aanmeldingen, die uiteraard de database bereiken, worden in beide gevallen gecontroleerd.
- Nadat u uw controle-instellingen hebt geconfigureerd, kunt u de nieuwe functie voor detectie van bedreigingen inschakelen en e-mailberichten configureren om beveiligingswaarschuwingen te ontvangen. Wanneer u bedreigingsdetectie gebruikt, ontvangt u proactieve waarschuwingen over afwijkende databaseactiviteiten die mogelijke beveiligingsrisico's kunnen aangeven. Zie SQL Advanced Threat Protection-voor meer informatie.
- Nadat een database met controle is ingeschakeld, is gekopieerd naar een andere logische server, ontvangt u mogelijk een e-mailbericht met de melding dat de controle is mislukt. Dit is een bekend probleem en controle moet werken zoals verwacht in de zojuist gekopieerde database.