Поделиться через

Аудит для Базы данных SQL Azure и Azure Synapse Analytics

  • Статья

Область применения: База данных SQL AzureAzure Synapse Analytics

Аудит для базы данных Azure SQL и Azure Synapse Analytics отслеживает события базы данных и записывает их в журнал аудита в учетной записи хранения Azure, рабочей области Log Analytics или Event Hubs.

Аудит также:

  • Помогает поддерживать соответствие нормативным требованиям, лучше понимать происходящее в базах данных, а также получать аналитические сведения о расхождениях и аномалиях, которые могут указывать на проблемы в бизнесе или потенциальные нарушения безопасности.

  • Обеспечивает и способствует соблюдению стандартов соответствия, хотя это не гарантирует их соблюдение. Дополнительные сведения см. в центре управления безопасностью Microsoft Azure, где представлен актуальный список сертификатов соответствия Базы данных SQL.

Примечание.

Сведения об аудите управляемого экземпляра Azure SQL см. в статье Как начать аудит управляемого экземпляра Azure SQL.

Обзор

Используйте аудит базы данных SQL, чтобы выполнять следующие действия:

  • Сохранить журнал аудита выбранных событий. Вы можете указать, какие категории действий базы данных должны проходить аудит.
  • Создавать отчеты по действиям, производимым с базой данных. Вы можете использовать предварительно настроенные отчеты и панель мониторинга для быстрого начала работы с отчетностью по действиям и событиям.
  • Анализировать отчеты. Вы можете искать подозрительные события, необычную деятельность и тенденции.

Внимание

Аудит для баз данных SQL Azure, пулов SQL Azure Synapse Analytics и управляемых экземпляров SQL Azure оптимизирован для доступности и производительности базы данных или экземпляра. В периоды очень высокой активности или высокой сетевой нагрузки функция аудита может позволить транзакциям продолжаться без записи всех событий, помеченных для аудита.

Ограничения аудита

  • Включение аудита в приостановленном Azure Synapse SQL пуле не поддерживается. Чтобы включить аудит, возобновите Synapse SQL-пул.
  • Включение аудита с помощью назначаемого пользователем управляемого удостоверения (UAMI) не поддерживается в Azure Synapse.
  • В настоящее время управляемые удостоверения не поддерживаются для Azure Synapse, если только учетная запись хранения не закрыта виртуальной сетью или брандмауэром.
  • Из-за ограничений производительности мы не проверяем tempdb и временные таблицы. Хотя пакетная завершенная группа действий фиксирует инструкции во временных таблицах, они могут неправильно заполнять имена объектов. Однако исходная таблица всегда проверяется, обеспечивая запись всех вставок из исходной таблицы во временные таблицы.
  • Аудит для пулов SQL Azure Synapse поддерживает только группы действий аудита по умолчанию.
  • При настройке аудита для логического сервера в Azure или База данных SQL Azure с назначением журнала в качестве учетной записи хранения режим проверки подлинности должен соответствовать конфигурации этой учетной записи хранения. При использовании ключей доступа к хранилищу в качестве типа проверки подлинности целевая учетная запись хранения должна быть включена с доступом к ключам учетной записи хранения. Если учетная запись хранения настроена только для проверки подлинности с идентификатором Microsoft Entra (ранее Azure Active Directory), аудит можно настроить для использования управляемых удостоверений для проверки подлинности.

Замечания

  • Хранилище класса Premium с blockBlobStorage поддерживается. Поддерживается стандартное хранилище. Однако, чтобы аудит мог записывать в учетную запись хранения за виртуальной сетью или брандмауэром, необходимо иметь учетную запись хранения общего назначения версии 2. Если у вас есть учетная запись хранения общего назначения версии 1 или Blob-объектов, обновите ее до учетной записи хранения общего назначения версии 2. Для получения конкретных инструкций см. Запись аудита в учетной записи хранения за VNet и брандмауэром. Дополнительные сведения см. в разделе Типы учетных записей хранения.
  • Иерархическое пространство имен поддерживается для всех типов стандартных учетных записей хранения и премиум-учетных записей хранения с BlockBlobStorage.
  • Журналы аудита записываются в добавление BLOB-объектов в Хранилище BLOB-объектов Azure в подписке Azure.
  • Журналы аудита находятся в формате Xel и могут быть открыты с помощью SQL Server Management Studio (SSMS).
  • Чтобы настроить неизменяемое хранилище журналов для событий аудита на уровне сервера или базы данных, следуйте инструкциям для службы хранилища Azure. При настройке неизменяемого хранилища BLOB-объектов обязательно выберите параметр Разрешить дополнительные добавления.
  • Журналы аудита можно записывать в учетную запись хранилища Azure, защищенную виртуальной сетью или брандмауэром.
  • Дополнительные сведения о формате журнала, иерархии папки хранения и соглашениях об именовании см. в статье Формат журнала аудита SQL Database.
  • Аудит Использование реплик только для чтения для распределения нагрузки запросов только для чтения включен автоматически. Дополнительные сведения об иерархии папок хранения, соглашениях об именовании и формате журнала см. в статье Формат журнала аудита базы данных SQL.
  • При использовании проверки подлинности Microsoft Entra записи о неудачных попытках входа не отображаются в журнале аудита SQL. Чтобы просмотреть записи аудита входа с ошибкой, необходимо посетить Центр администрирования Microsoft Entra, который записывает сведения об этих событиях.
  • Данные для входа направляются шлюзом в конкретный экземпляр, в котором находится база данных. При входе в систему Microsoft Entra учетные данные проверяются перед попыткой использования этого пользователя для входа в запрошенную базу данных. В случае сбоя доступ к запрашиваемой базе данных отсутствует, поэтому аудит не выполняется. При использовании имен входа SQL учетные данные аутентифицируются на запрошенных данных, поэтому в этом случае они могут быть подвергнуты аудиту. Успешные попытки входа, при которых удалось получить доступ к базе данных, проходят аудит в обоих случаях.
  • После настройки параметров аудита можно включить новую функцию обнаружения угроз и настроить адреса электронной почты для получения предупреждений системы безопасности. Использование функции обнаружения угроз позволяет настроить упреждающие оповещения об аномальной активности в базах данных, которая может указывать на потенциальные угрозы безопасности. Дополнительные сведения см. в статье "Расширенная защита от угроз SQL".
  • После копирования базы данных с включенным аудитом на другой логический сервер может появиться сообщение электронной почты, уведомляющее вас о сбое аудита. Это известная проблема, и аудит должен работать как ожидается на заново скопированной базе данных.

Связанный контент