Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics
Azure SQL Database-granskning spårar databashändelser och skriver dem till en granskningslogg i ditt Azure Storage-konto, eller skickar dem till Event Hub eller Log Analytics för nedströmsbearbetning och analys.
Namngivningskonventioner
Blobgranskning
Granskningsloggar som lagras i Azure Blob Storage lagras i en container med namnet sqldbauditlogs i Azure Storage-kontot. Kataloghierarkin i containern är av formatet <ServerName>/<DatabaseName>/<AuditName>/<Date>/. Blobfilnamnsformatet är <CreationTime>_<FileNumberInSession>.xel, där CreationTime är i UTC-format hh_mm_ss_ms och FileNumberInSession är ett index som körs om sessionsloggarna sträcker sig över flera Blob-filer.
För databasen Database1 på Server1 följande är till exempel en möjlig giltig sökväg:
Server1/Database1/SqlDbAuditing_ServerAudit_NoRetention/2019-02-03/12_23_30_794_0.xel
Skrivskyddade replikers granskningsloggar lagras i samma container. Kataloghierarkin i containern är av formatet <ServerName>/<DatabaseName>/<AuditName>/<Date>/RO/. Blobfilnamnet delar samma format. Granskningsloggarna för skrivskyddade repliker lagras i samma container.
Händelsehubben
Granskningshändelser skrivs till den namnrymd och den händelsehubb som definierades under granskningskonfigurationen och registreras i texten för Apache Avro-händelser och lagras i JSON-format med UTF-8-kodning. Om du vill läsa granskningsloggarna kan du använda Avro-verktyg eller liknande verktyg som kan hantera det här formatet.
Log Analytics
Granskningshändelser skrivs till Log Analytics-arbetsytan som definieras under granskningskonfigurationen AzureDiagnostics , till tabellen med kategorin SQLSecurityAuditEventsoch tabellen med kategorin DevOpsOperationsAudit för Microsoft Support Operations. Mer användbar information om sökspråk och kommandon i Log Analytics finns i Log Analytics-sökreferens.
Granskningsloggfält
| Namn (blob) | Namn (Event Hubs/Log Analytics) | Description | Blobtyp | Event Hubs/Log Analytics-typ |
|---|---|---|---|---|
| action_id | action_id_s | ID för åtgärden | varchar(4) | sträng |
| action_name | action_name_s | Namnet på åtgärden | Inte tillgängligt | sträng |
| additional_information | additional_information_s | Eventuell ytterligare information om händelsen, lagrad som XML | nvarchar(4000) | sträng |
| affected_rows | affected_rows_d | Antal rader som påverkas av frågan | bigint | heltal |
| application_name | application_name_s | Namn på klientprogram | nvarchar(128) | sträng |
| audit_schema_version | audit_schema_version_d | Alltid 1 | heltal | heltal |
| class_type | class_type_s | Typ av granskningsbar entitet som granskningen sker på | varchar(2) | sträng |
| class_type_desc | class_type_description_s | Beskrivning av en granskningsbar entitet som granskningen sker på | Inte tillgängligt | sträng |
| client_ip | client_ip_s | Käll-IP för klientprogrammet | nvarchar(128) | sträng |
| connection_id | Inte tillgängligt | ID för anslutningen på servern | GUID | Inte tillgängligt |
| data_sensitivity_information | data_sensitivity_information_s | Informationstyper och känslighetsetiketter som returneras av den granskade frågan, baserat på de klassificerade kolumnerna i databasen. Läs mer om identifiering och klassificering av Azure SQL Database-data | nvarchar(4000) | sträng |
| database_name | database_name_s | Databaskontexten där åtgärden inträffade | sysname | sträng |
| database_principal_id | database_principal_id_d | ID för databasanvändarkontexten som åtgärden utförs i | heltal | heltal |
| database_principal_name | database_principal_name_s | Namnet på databasanvändarkontexten där åtgärden utförs | sysname | sträng |
| duration_milliseconds | duration_milliseconds_d | Varaktighet för frågekörning i millisekunder | bigint | heltal |
| event_time | event_time_t | Datum och tid när den granskningsbara åtgärden utlöses | datetime2 | datetime |
| host_name | Inte tillgängligt | Klientvärdnamn | sträng | Inte tillgängligt |
| is_column_permission | is_column_permission_s | Flagga som anger om detta är en behörighet på kolumnnivå. 1 = sant, 0 = falskt | bit | sträng |
| Inte tillgängligt | is_server_level_audit_s | Flagga som anger om den här granskningen är på servernivå | Inte tillgängligt | sträng |
| object_ ID | object_id_d | ID:t för den entitet som granskningen inträffade på. Detta omfattar : serverobjekt, databaser, databasobjekt och schemaobjekt. 0 om entiteten är själva servern eller om granskningen inte utförs på objektnivå | heltal | heltal |
| object_name | object_name_s | Namnet på den entitet som granskningen inträffade på. Detta omfattar : serverobjekt, databaser, databasobjekt och schemaobjekt. 0 om entiteten är själva servern eller om granskningen inte utförs på objektnivå | sysname | sträng |
| obo_middle_tier_app_id | obo_middle_tier_app_id_s | Program-ID för mellannivåprogrammet som är anslutet till SQL Database med hjälp av OBO-åtkomst. | varchar(120) | sträng |
| permission_bitmask | permission_bitmask_s | I tillämpliga fall visar de behörigheter som beviljats, nekats eller återkallats | varbinary(16) | sträng |
| response_rows | response_rows_d | Antal rader som returneras i resultatuppsättningen | bigint | heltal |
| schema_name | schema_name_s | Schemakontexten där åtgärden inträffade. NULL för granskningar som inträffar utanför ett schema | sysname | sträng |
| Inte tillgängligt | securable_class_type_s | Skyddsbart objekt som mappar till class_type som granskas | Inte tillgängligt | sträng |
| sequence_group_id | sequence_group_id_g | Unik identifierare | varbinary | GUID |
| sequence_number | sequence_number_d | Spårar sekvensen med poster i en enskild granskningspost som var för stor för att få plats i skrivbufferten för granskningar. Observera att Azure SQL Database och Azure Synapse Audit lagrar 4 000 datatecken för teckenfält i en granskningspost. Om det finns fler än 4 000 tecken trunkeras alla data utöver de första 4 000 tecknen | heltal | heltal |
| server_instance_name | server_instance_name_s | Namnet på den serverinstans där granskningen inträffade | sysname | sträng |
| server_principal_id | server_principal_id_d | ID för inloggningskontexten där åtgärden utförs | heltal | heltal |
| server_principal_name | server_principal_name_s | Aktuell inloggning | sysname | sträng |
| server_principal_sid | server_principal_sid_s | Aktuellt inloggnings-SID | varbinary | sträng |
| session_id | session_id_d | ID för sessionen där händelsen inträffade | smallint | heltal |
| session_server_principal_name | session_server_principal_name_s | Serverhuvudnamn för session | sysname | sträng |
| instruktion | statement_s | T-SQL-instruktion som kördes (om någon) | nvarchar(4000) | sträng |
| Lyckades | succeeded_s | Anger om åtgärden som utlöste händelsen lyckades. För andra händelser än inloggning och batch rapporterar detta endast om behörighetskontrollen lyckades eller misslyckades, inte åtgärden. 1 = lyckad, 0 = misslyckas | bit | sträng |
| target_database_principal_id | target_database_principal_id_d | Databasens huvudnamn åtgärden GRANT/DENY/REVOKE utförs på. 0 om det inte är tillämpligt | heltal | heltal |
| target_database_principal_name | target_database_principal_name_s | Målanvändare för åtgärd. NULL om det inte är tillämpligt | sträng | sträng |
| target_server_principal_id | target_server_principal_id_d | Serverhuvudnamn som åtgärden GRANT/DENY/REVOKE utförs på. Returnerar 0 om det inte är tillämpligt | heltal | heltal |
| target_server_principal_name | target_server_principal_name_s | Målinloggning av åtgärd. NULL om det inte är tillämpligt | sysname | sträng |
| target_server_principal_sid | target_server_principal_sid_s | SID för målinloggning. NULL om det inte är tillämpligt | varbinary | sträng |
| transaction_id | transaction_id_d | ENDAST SQL Server (från och med 2016) – 0 för Azure SQL Database | bigint | heltal |
| user_defined_event_id | user_defined_event_id_d | Användardefinierat händelse-ID skickades som ett argument till sp_audit_write. NULL för systemhändelser (standard) och icke-noll för användardefinierad händelse. Mer information finns i sp_audit_write (Transact-SQL) | smallint | heltal |
| user_defined_information | user_defined_information_s | Användardefinierad information skickades som ett argument till sp_audit_write. NULL för systemhändelser (standard) och icke-noll för användardefinierad händelse. Mer information finns i sp_audit_write (Transact-SQL) | nvarchar(4000) | sträng |
Nästa steg
Läs mer om Azure SQL Database-granskning.