Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
Azure SQL DatabaseAzure Synapse Analytics-
In dit artikel gaan we verder met het instellen van controle voor uw logische server of database in Azure SQL Database- en Azure Synapse Analytics-.
Controle voor uw server configureren
Het standaardcontrolebeleid bevat de volgende set actiegroepen, die alle query's en opgeslagen procedures controleert die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:
- Groep_Voltooide_Batch
- GROEP_SUCCESVOLLE_DATABASE_AUTHENTICATIE
- MISLUKTE_DATABASE_AUTHENTICATIE_GROEP
Als u controle wilt configureren voor verschillende soorten acties en actiegroepen met behulp van PowerShell, raadpleegt u Azure SQL Database-controle beheren met behulp van API's.
In de volgende sectie wordt de controleconfiguratie beschreven met behulp van Azure Portal.
Notitie
U kunt de auditfuncties niet inschakelen voor een gepauzeerde toegewezen SQL-pool. Als u controle wilt inschakelen, toegewezen SQL-pool hervatten.
Wanneer auditing is geconfigureerd voor een Log Analytics-werkruimte of naar een Event Hubs-bestemming in de Azure Portal of een PowerShell-cmdlet, wordt een Diagnostische instelling gemaakt met de SQLSecurityAuditEvents categorie ingeschakeld.
Ga naar de Azure Portal.
Navigeer naar Audit onder de kop Security in uw SQL-database of SQL-server venster.
Als u liever een servercontrolebeleid instelt, kunt u de Serverinstellingen weergeven koppeling op de pagina databasecontrole selecteren. Vervolgens kunt u de controle-instellingen van de server weergeven of wijzigen. Servercontrolebeleid is van toepassing op alle bestaande en nieuw gemaakte databases op deze server.
Als u controle op databaseniveau wilt inschakelen, schakelt u Controle- over naar ON-. Als servercontrole is ingeschakeld, bestaat de door de database geconfigureerde controle naast de servercontrole.
U hebt meerdere opties voor het configureren waar auditlogboeken worden opgeslagen. U kunt logboeken naar een Azure-opslagaccount schrijven, naar een Log Analytics-werkruimte voor verbruik door Azure Monitor-logboeken of naar Event Hub voor verbruik met behulp van Event Hub. U kunt elke combinatie van deze opties configureren en auditlogboeken worden naar elke optie geschreven.
Auditeren van opslagbestemming
Als u het schrijven van auditlogboeken naar een opslagaccount wilt configureren, selecteert u Storage- wanneer u bij de sectie Controle komt. Selecteer het Azure-opslagaccount waar u uw logboeken wilt opslaan. U kunt de volgende twee typen opslagverificatie gebruiken: Managed Identity en Toegangssleutels voor opslag. Voor een beheerde identiteit worden door het systeem toegewezen en door de gebruiker toegewezen identiteiten ondersteund. Standaard is de primaire gebruikersidentiteit geselecteerd die aan de server is toegewezen. Als er geen gebruikersidentiteit is, wordt er een door het systeem toegewezen beheerde identiteit gemaakt en gebruikt voor verificatiedoeleinden. Nadat u een verificatietype hebt gekozen, selecteert u een bewaarperiode door Geavanceerde eigenschappen te openen en Opslaante selecteren. Logboeken die ouder zijn dan de bewaarperiode, worden verwijderd.
Als u implementeert vanuit Azure Portal, moet u ervoor zorgen dat het opslagaccount zich in dezelfde regio bevindt als uw database en server. Als u via andere methoden implementeert, kan het opslagaccount zich in elke regio bevinden.
Waarschuwing
Gebruik Beheerde identiteit voor opslagverificatie. Opslagtoegangssleutels vormen een beveiligingsrisico omdat als ze zijn gecompromitteerd, onbevoegde personen toegang kunnen krijgen tot uw opslagaccount, mogelijk uw gegevens lezen, schrijven of verwijderen. Om deze risico's te beperken, is het essentieel om uw sleutels regelmatig te draaien en Azure Key Vault te gebruiken om uw sleutels veilig te beheren en te roteren.
- De standaardwaarde voor de bewaarperiode is 0 (onbeperkte retentie). U kunt deze waarde wijzigen door de schuifregelaar Retentie (dagen) te verplaatsen in Geavanceerde eigenschappen bij het configureren van het opslagaccount voor controle.
- Als u de bewaarperiode wijzigt van 0 (onbeperkte retentie) in een andere waarde, is de retentie alleen van toepassing op logboeken die zijn geschreven nadat de retentiewaarde is gewijzigd. Logboeken die zijn geschreven tijdens de periode waarin retentiedagen zijn ingesteld op onbeperkte retentie, blijven behouden, zelfs nadat retentie is ingeschakeld.
Controleren op Log Analytics-bestemming
Als u het schrijven van auditlogboeken naar een Log Analytics-werkruimte wilt configureren, selecteert u Log Analytics- en opent u Log Analytics-details. Selecteer de Log Analytics-werkruimte waarin u logboeken wilt opslaan en selecteer vervolgens OK. Zie Een Log Analytics-werkruimte maken in Azure Portalals u nog geen Log Analytics-werkruimte hebt gemaakt.
Controleren op Event Hubs-bestemming
Als u het schrijven van auditlogboeken naar een Event Hub wilt configureren, selecteert u Event Hub. Selecteer de Event Hub waar u logboeken wilt opslaan en selecteer vervolgens Opslaan. Zorg ervoor dat de Event Hub zich in dezelfde regio bevindt als uw database en server.
Wanneer controle is geconfigureerd met externe Azure-monitors (bijvoorbeeld Event Hubs of Log Analytics) als doel, wordt er een extra resource voor diagnostische instellingen met de naam SQLSecurityAuditEvents_XXXX-XXXX-XXX gemaakt, wat essentieel is voor de goede werking van de controle.
Als de diagnostische instellingen opzettelijk of onbedoeld worden verwijderd, mislukt de controlefunctionaliteit op de achtergrond en worden auditlogboeken niet naar de doellocatie verzonden. Om dit te voorkomen, configureert u waarschuwingen voor het verwijderen van diagnostische instellingen om gebruikers op de hoogte te stellen en de benodigde acties uit te voeren. Zie Actiegroepen en een waarschuwingslogboek, servicestatus of resourcestatusregel maken of bewerken voor meer informatie over het maken van actiegroepen en het configureren van waarschuwingen.
Notitie
Als u meerdere doelen gebruikt, zoals een opslagaccount, Log Analytics of Event Hubs, zorg er dan voor dat u voor alle doelen machtigingen heeft. Anders zal het opslaan van de auditconfiguratie mislukken omdat het probeert de instellingen voor alle doelen op te slaan.