Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
Azure SQL DatabaseAzure Synapse Analytics
I den här artikeln går vi vidare med att konfigurera granskning för din logiska server eller databas i Azure SQL Database och Azure Synapse Analytics.
Konfigurera granskning för servern
Standardgranskningsprincipen innehåller följande uppsättning åtgärdsgrupper, som granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar:
- BATCH_SLUTFÖRD_GRUPP
- FRAMGÅNGSRIK_DATABAS_AUTENTISERING_GRUPP
- MISSLYCKAD_DATABAS_AUTENTISERING_GRUPP
Information om hur du konfigurerar granskning för olika typer av åtgärder och åtgärdsgrupper med PowerShell finns i Hantera Azure SQL Database-granskning med API:er.
I följande avsnitt beskrivs granskningskonfigurationen med hjälp av Azure-portalen.
Anteckning
Du kan inte aktivera granskning på en pausad dedikerad SQL-pool. Aktivera granskning genom att återuppta den dedikerade SQL-poolen .
När auditering har konfigurerats för en Log Analytics arbetsyta eller som en Event Hubs-destination i Azure-portalen eller PowerShell-cmdlet, skapas en diagnostikinställning med SQLSecurityAuditEvents kategori aktiverad.
Gå till Azure-portalen.
Gå till Granskning under rubriken Säkerhet i SQL-databas eller SQL Server-fönstret.
Om du föredrar att konfigurera en servergranskningsprincip kan du välja Visa serverinställningar länk på databasgranskningssidan. Du kan sedan visa eller ändra inställningarna för servergranskning. Servergranskningsprinciper gäller för alla befintliga och nyligen skapade databaser på den här servern.
Om du föredrar att aktivera granskning på databasnivå växlar du Granskning till ON. Om servergranskning är aktiverat finns den databaskonfigurerade granskningen sida vid sida med servergranskningen.
Du har flera alternativ för att konfigurera var granskningsloggar lagras. Du kan skriva loggar till ett Azure-lagringskonto, till en Log Analytics-arbetsyta för förbrukning av Azure Monitor-loggar eller till händelsehubben för förbrukning med hjälp av händelsehubben. Du kan konfigurera valfri kombination av dessa alternativ och granskningsloggar skrivs till var och en.
Revision för lagringsdestination
Om du vill konfigurera att skriva granskningsloggar till ett lagringskonto väljer du Storage när du kommer till avsnittet Granskning. Välj det Azure-lagringskonto där du vill spara loggarna. Du kan använda följande två typer av lagringsautentisering: Hanterad identitet och Lagringsåtkomstnycklar. För hanterad identitet stöds systemtilldelad och användartilldelad hanterad identitet. Som standard är den primära användaridentiteten som tilldelats till servern markerad. Om det inte finns någon användaridentitet skapas och används en systemtilldelad hanterad identitet i autentiseringssyfte. När du har valt en autentiseringstyp väljer du en kvarhållningsperiod genom att öppna Avancerade egenskaper och välja Spara. Loggar som är äldre än kvarhållningsperioden tas bort.
Om du distribuerar från Azure-portalen kontrollerar du att lagringskontot finns i samma region som din databas och server. Om du distribuerar via andra metoder kan lagringskontot finnas i valfri region.
Varning
För lagringsautentisering använder du Hanterad identitet. Lagringsåtkomstnycklar utgör en säkerhetsrisk eftersom obehöriga personer kan få åtkomst till ditt lagringskonto, eventuellt läsa, skriva eller ta bort dina data om de komprometteras. För att minska dessa risker är det viktigt att rotera dina nycklar regelbundet och använda Azure Key Vault för att hantera och rotera dina nycklar på ett säkert sätt.
- Standardvärdet för kvarhållningsperioden är 0 (obegränsad kvarhållning). Du kan ändra det här värdet genom att flytta reglaget kvarhållning (dagar) i Avancerade Egenskaper när du konfigurerar ett lagringskonto för granskning.
- Om du ändrar kvarhållningsperioden från 0 (obegränsad kvarhållning) till något annat värde gäller kvarhållningen endast för loggar som skrivits efter att kvarhållningsvärdet har ändrats. Loggar som skrivits under perioden då kvarhållningsdagarna har angetts till obegränsad kvarhållning bevaras, även efter att kvarhållning har aktiverats.
Revision till Log Analytics-destination
Om du vill konfigurera skrivning av granskningsloggar till en Log Analytics-arbetsyta väljer du Log Analytics- och öppnar Log Analytics-information. Välj den Log Analytics-arbetsyta där du vill att loggarna ska lagras och välj sedan OK. Om du inte har skapat en Log Analytics-arbetsyta kan du läsa Skapa en Log Analytics-arbetsyta i Azure-portalen.
Granskning av Event Hubs-destination
Om du vill konfigurera att skriva granskningsloggar till en händelsehubb väljer du Event Hub. Välj den händelsehubb där du vill att loggar ska lagras och välj sedan Spara. Kontrollera att händelsehubben finns i samma region som databasen och servern.
När granskning konfigureras med externa Azure-övervakare (till exempel Event Hubs eller Log Analytics) som mål skapas en ytterligare diagnostikinställningsresurs med namnet SQLSecurityAuditEvents_XXXX-XXXX-XXX , vilket är viktigt för att granskning ska fungera korrekt.
Om diagnostikinställningarna tas bort, antingen avsiktligt eller oavsiktligt, misslyckas granskningsfunktionen tyst och granskningsloggarna skickas inte till målplatsen. För att förhindra detta konfigurerar du aviseringar för borttagning av diagnostikinställningar för att meddela användare och vidta nödvändiga åtgärder. Mer information om hur du skapar åtgärdsgrupper och konfigurerar aviseringar finns i Åtgärdsgrupper och Skapa eller redigera en aktivitetslogg, tjänsthälsa eller resurshälsoaviseringsregel.
Anteckning
Om du använder flera mål som lagringskonto, Log Analytics eller Event Hubs kontrollerar du att du har behörigheter för alla mål, annars skulle det inte gå att spara granskningskonfigurationen när du försöker spara inställningarna för alla mål.