Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
适用于:
Azure SQL 数据库Azure Synapse Analytics
本文概述了如何使用审核功能对 Azure SQL 数据库和 Azure Synapse Analytics 分析审核日志。 可以使用审核功能来分析存储在以下位置的审核日志:
- Log Analytics
- 事件中心
- Azure 存储
使用 Log Analytics 分析日志
如果已选择将审核日志写入到 Log Analytics,请执行以下操作:
在 Azure 门户中,搜索 SQL 数据库并选择数据库,或搜索 SQL 服务器并选择服务器。
在“ 安全性”下的“资源”菜单上,选择“ 审核”。
在 “审核 ”页顶部,选择“ 查看审核日志”。
注释
“ 查看审核日志 ”按钮同时显示在服务器级别和数据库级 审核 页上。 从 数据库 资源中选择它时,会看到特定于该数据库的审核记录。 从 服务器 资源中选择它时,会看到该服务器上的所有数据库的审核记录。 请确保根据需要查看的审核日志范围导航到正确的资源级别。
可通过两种方法从 “审核记录 ”页查看日志:
- 选择页面顶部的 Log Analytics,在Log Analytics工作区中打开日志视图,可在其中自定义时间范围和搜索查询。
- 选择页面顶部的“ 查看仪表板 ”以打开显示审核日志信息的仪表板,可在其中向下钻取 安全见解 或 访问敏感数据。 此仪表板可帮助你获取数据的安全见解。 还可以自定义时间范围和搜索查询。
小窍门
仅当从启用了数据库级审核的数据库级审核页访问审核记录时,“查看仪表板”选项才可用。 如果仅配置了服务器级审核,仍可以使用以下部分中的步骤直接在Log Analytics工作区中查询审核数据。
直接在 Log Analytics 中查询审核日志
还可以直接从Log Analytics工作区访问审核日志,而无需浏览“审核”页。 只有服务器级审核,或者想要跨多个数据库运行自定义查询时,此方法非常有用。
- 在 Azure 门户中,打开 Log Analytics 工作区。
- 在“ 常规 ”部分下,选择“ 日志”。
- 从简单的查询开始,例如
search "SQLSecurityAuditEvents"查看审核日志。
在此处,可以使用 Azure Monitor 日志对审核日志数据运行高级搜索。 Azure Monitor日志为您提供实时操作见解,借助集成搜索和自定义仪表板,可以充分分析所有工作负载和服务器上的数百万条记录。 有关Azure Monitor日志搜索语言和命令的详细信息,请参阅 Azure Monitor 日志搜索参考。
使用事件中心分析日志
如果已选择将审核日志写入到事件中心,请执行以下操作:
- 要使用事件中心的审核日志数据,需设置一个流来使用事件并将其写入到目标。 有关详细信息,请参阅 Azure 事件中心文档。
- 事件中心内的审核日志在 Apache Avro 事件的主体中捕获,并使用带有 UTF-8 编码的 JSON 格式进行存储。 若要读取审核日志,可以使用 Avro 工具、Microsoft Fabric 事件流或处理此格式的类似工具。
使用 Azure 存储帐户中的日志来进行日志分析
如果选择将审核日志写入到 Azure 存储帐户,可以使用多种方法来查看日志:
审核日志会在安装期间选择的帐户中进行聚合。 可使用 Azure 存储资源管理器等工具浏览审核日志。 在 Azure 存储中,审核日志以 Blob 文件集合的形式保存在名为 sqldbauditlogs 的容器中。 有关存储文件夹的层次结构、命名约定和日志格式的详细信息,请参阅 SQL 数据库审核日志格式。
- 在 Azure 门户中,搜索 SQL 数据库并选择数据库,或搜索 SQL 服务器并选择服务器。
- 在“ 安全性”下的“资源”菜单上,选择“ 审核”。
- 在 “审核 ”页顶部,选择“ 查看审核日志”。 此时会打开 “审核记录 ”页,可以查看日志。
- 可选择“审核记录”页顶部的“筛选”,查看特定的日期。
- 可以通过切换“审核源”在服务器审核策略和数据库审核策略创建的审核记录之间进行切换。
使用系统函数
sys.fn_get_audit_file(T-SQL) 以表格格式返回审核日志数据。 有关使用此函数的详细信息,请参阅 sys.fn_get_audit_file。使用 合并审核文件 在 SQL Server Management Studio 中(从 SSMS 17 开始):
在 SSMS 菜单中,选择“文件”>“打开”>“合并审核文件”。
此时会打开“添加审核文件”对话框。 通过“添加”选项,选择是合并本地磁盘中的审核文件还是从 Azure 存储中导入。 需要提供 Azure 存储详细信息和帐户密钥。
添加要合并的所有文件后,选择“确定”完成合并操作。
合并的文件会在 SSMS 中打开,可在其中进行查看和分析,以及将其作为 XEL 或 CSV 文件导出或导出到表中。
使用 Power BI。 可在 Power BI 中查看和分析审核日志数据。 有关详细信息,请参阅在 Power BI 中使用 Azure Log Analytics。
通过门户或使用 Azure 存储资源管理器等工具从 Azure 存储 blob 容器下载日志文件。
- 在本地下载日志文件后,可双击打开文件,然后在 SSMS 中查看和分析日志。
- 也可在 Azure 存储资源管理器中同时下载多个文件。 为此,请右键单击特定子文件夹,然后选择“另存为”,以便在本地文件夹中进行保存。
更多方法:
- 下载多个文件或包含日志文件的子文件夹后,可以按照前述 SSMS 合并审核文件说明在本地合并它们。
- 以编程方式查看 blob 审核日志:使用 PowerShell 查询扩展事件文件。