Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
Azure SQL DatabaseAzure Synapse Analytics
Granskning för Azure SQL Database och Azure Synapse Analytics stöder skrivning av databashändelser till ett Azure Storage-konto bakom ett virtuellt nätverk och en brandvägg.
I den här artikeln beskrivs två sätt att konfigurera Azure SQL Database och Azure Storage-kontot för det här alternativet. Den första använder Azure-portalen, den andra använder REST.
Bakgrund
Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel Virtuella Azure-datorer (VM), kommunicera säkert med varandra, Internet och lokala nätverk. VNet liknar ett traditionellt nätverk i ditt eget datacenter, men medför ytterligare fördelar med Azure-infrastruktur som skalning, tillgänglighet och isolering.
Mer information om VNet-begrepp, metodtips och mycket mer finns i Vad är Azure Virtual Network?
Mer information om hur du skapar ett virtuellt nätverk finns i Snabbstart: Skapa ett virtuellt nätverk med Hjälp av Azure-portalen.
Förutsättningar
För granskning för att skriva till ett lagringskonto bakom ett VNet eller en brandvägg krävs följande krav:
- Ett allmänt v2-lagringskonto. Om du har ett v1- eller bloblagringskonto för generell användning uppgraderar du till ett allmänt v2-lagringskonto. Mer information finns i Typer av lagringskonton.
- Premium-lagringen med BlockBlobStorage stöds
- Lagringskontot måste finnas på samma klientorganisation och på samma plats som den logiska SQL-servern (det är OK att ha olika prenumerationer).
- Azure Storage-kontot kräver
Allow trusted Microsoft services to access this storage account. Ange detta på lagringskontots brandväggar och virtuella nätverk. - Du måste ha
Microsoft.Authorization/roleAssignments/writebehörighet för det valda lagringskontot. Mer information finns i Inbyggda roller i Azure.
Anmärkning
När Granskning till lagringskonto redan är aktiverat på en server eller databas, och om mållagringskontot flyttas bakom en brandvägg, förlorar granskningsloggarna skrivåtkomst till lagringskontot. Du måste spara om granskningsinställningarna från Azure-portalen för att återuppta granskningen.
Konfigurera i Azure Portal
Anslut till Azure-portalen med din prenumeration. Gå till resursgruppen och servern.
Välj Granskning under rubriken Säkerhet. Välj På.
Välj Storage. Välj det lagringskonto där loggarna ska sparas. Lagringskontot måste uppfylla kraven som anges i Krav.
Öppna lagringsinformation
Anmärkning
Om det valda lagringskontot ligger bakom det virtuella nätverket visas följande meddelande:
You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.Om du inte ser det här meddelandet, är lagringskontot inte ansluten till ett virtuellt nätverk.
Välj antalet dagar för kvarhållningsperioden. Välj sedan OK. Loggar som är äldre än kvarhållningsperioden tas bort.
Välj Spara i granskningsinställningarna.
Du har framgångsrikt konfigurerat granskning för att skriva data till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg.
Konfigurera med REST-kommandon
Som ett alternativ till att använda Azure-portalen kan du använda REST-kommandon för att konfigurera granskning för att skriva databashändelser på ett lagringskonto bakom ett virtuellt nätverk och en brandvägg.
Exempelskripten i det här avsnittet kräver att du uppdaterar skriptet innan du kör dem. Ersätt följande värden i skripten:
| Exempelvärde | Exempelbeskrivning |
|---|---|
<subscriptionId> |
Azure-prenumerations-ID |
<resource group> |
Resursgrupp |
<logical SQL Server> |
Servernamn |
<administrator login> |
Administratörskonto |
<complex password> |
Komplext lösenord för administratörskontot |
Så här konfigurerar du SQL Audit för att skriva händelser till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg:
Registrera servern med Microsoft Entra-ID (tidigare Azure Active Directory). Använd antingen PowerShell eller REST API.
PowerShell
Connect-AzAccount Select-AzSubscription -SubscriptionId <subscriptionId> Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentityExempelbegäran
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-previewbegäranens innehåll
{ "identity": { "type": "SystemAssigned", }, "properties": { "fullyQualifiedDomainName": "<azure server name>.database.windows.net", "administratorLogin": "<administrator login>", "administratorLoginPassword": "<complex password>", "version": "12.0", "state": "Ready" } }Tilldela rollen Storage Blob Data Contributor till servern som är värd för databasen som du registrerade med Microsoft Entra-ID i föregående steg.
Detaljerade steg finns i Tilldela Azure-roller med hjälp av Azure-portalen.
Anmärkning
Endast medlemmar med ägarbehörighet kan utföra det här steget. För olika inbyggda Azure-roller kan du läsa inbyggda Azure-roller.
Konfigurera serverns blobgranskningsprincip utan att ange en storageAccountAccessKey:
Exempelbegäran
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-previewbegäranens innehåll
{ "properties": { "state": "Enabled", "storageEndpoint": "https://<storage account>.blob.core.windows.net" } }
Använda Azure PowerShell
- Skapa eller uppdatera databasgranskningsprincip (Set-AzSqlDatabaseAudit)
- Skapa eller uppdatera servergranskningsprincip (Set-AzSqlServerAudit)
Använd Azure Resource Manager-mallar
Du kan konfigurera granskning för att skriva databashändelser på ett lagringskonto bakom det virtuella nätverket och brandväggen med hjälp av Azure Resource Manager-mallen , som du ser i följande exempel:
Viktigt!
För att kunna använda lagringskontot bakom det virtuella nätverket och brandväggen måste du ange parametern isStorageBehindVnet till true
Anmärkning
Det länkade exemplet finns på en extern offentlig lagringsplats och tillhandahålls i befintligt fall, utan garanti, och stöds inte under microsofts supportprogram/-tjänster.