Azure SQL 数据库和 Azure Synapse Analytics 的审核
适用于: Azure SQL 数据库 Azure Synapse Analytics
审核 Azure SQL 数据库和 Azure Synapse Analytics 可跟踪数据库事件,并将这些事件写入 Azure 存储帐户、Log Analytics 工作区或事件中心内的审核日志。
审核还可:
帮助保持合规性、了解数据库活动,以及深入了解可以指明业务考量因素或疑似安全违规的偏差和异常。
实现并促进遵从合规标准,但不能保证合规性。 有关详细信息,请参阅 Microsoft Azure 信任中心,可以从中找到 SQL 数据库合规认证的最新列表。
注意
有关 Azure SQL 托管实例审核的信息,请参阅 SQL 托管实例审核入门。
概述
可使用 SQL 数据库审核来:
- 保留 选定事件的审核痕迹。 可以定义要审核的数据库操作的类别。
- 报告 数据库活动。 可以使用预配置的报告和仪表板快速开始使用活动和事件报告。
- 分析 报告。 可以查找可疑事件、异常活动和趋势。
重要
Azure SQL 数据库、Azure Synapse Analytics SQL 池和 Azure SQL 托管实例的审核针对正在审核的数据库或实例的可用性和性能进行了优化。 在活动非常频繁或网络负载非常高的时期,审计功能可能允许事务继续进行,而不记录所有标记为审核的事件。
审核限制
- 不支持在已暂停的 Azure Synapse SQL 池上启用审核。 若要启用审核,请恢复 Synapse SQL 池。
- Azure Synapse 不支持使用用户分配的托管标识 (UAMI) 启用审核。
- 目前,Azure Synapse 不支持托管标识,除非存储帐户位于虚拟网络或防火墙之后。
- Azure Synapse SQL 池审核仅支持默认审核操作组。
- 为 Azure 或 Azure SQL 数据库中的逻辑服务器(日志目标为存储帐户)配置审核时,身份验证模式必须与该存储帐户的配置匹配。 如果使用存储访问密钥作为身份验证类型,则必须启用目标存储帐户以访问存储帐户密钥。 如果存储帐户配置为仅使用 Microsoft Entra ID(旧称 Azure Active Directory)进行身份验证,则可以将审核配置为使用托管标识进行身份验证。
备注
- 支持使用 BlockBlobStorage 的高级存储。 支持标准存储。 但是,要使审核写入 VNet 或防火墙后面的存储帐户,必须具有常规用途 v2 存储帐户。 如果你有常规用途 v1 存储帐户或 Blob 存储帐户,请升级到常规用途 v2 存储帐户。 有关具体说明,请参阅将审核写入 VNet 和防火墙后面的存储帐户。 有关详细信息,请参阅存储帐户的类型。
- 支持所有类型的标准存储帐户和使用 BlockBlobStorage 的高级存储帐户的分层命名空间。
- 审核日志会写入到 Azure 订阅的 Azure Blob 存储中的追加 Blob
- 审核日志的格式为 .xel,可以使用 SQL Server Management Studio (SSMS) 打开。
- 若要为服务器或数据库级审核事件配置不可变的日志存储,请遵循 Azure 存储提供的说明。 确保在配置不可变的 blob 存储时,选择了“允许额外追加”。
- 可以将审核日志写入到 VNet 或防火墙后面的 Azure 存储帐户。
- 有关日志格式、存储文件夹的层次结构和命名约定的详细信息,请参阅 Blob 审核日志格式参考。
- 对只读副本的审核会自动启用。 若要详细了解存储文件夹、命名约定和日志格式的层次结构,请参阅 SQL 数据库审核日志格式。
- 使用 Microsoft Entra 身份验证时,失败的登录记录不会出现在 SQL 审核日志中。 要查看失败的登录审核记录,需要访问 Microsoft Entra 管理中心,那里记录了这些事件的详细信息。
- 通过网关将登录信息路由到数据库所在的特定实例。 对于 Microsoft Entra 登录,在尝试使用该用户名登录到请求的数据库之前,将验证凭据。 如果失败,则绝不会访问请求的数据库,因此不会进行审核。 对于 SQL 登录,将根据请求的数据对凭据进行验证,因此在这种情况下可以对其进行审核。 在这两种情况下,都将审核已明显到达数据库的成功登录。
- 配置审核设置后,可打开新威胁检测功能,并配置电子邮件用于接收安全警报。 使用威胁检测时,会接收针对异常数据库活动(可能表示潜在的安全威胁)发出的前瞻性警报。 有关详细信息,请参阅威胁检测入门。
- 将启用了审核的数据库复制到另一个逻辑服务器后,你可能会收到一封电子邮件,通知你审核失败。 这是一个已知问题,审核应会在新复制的数据库上按预期运行。