使用审核分析审核日志和报告

适用于: Azure SQL 数据库 Azure Synapse Analytics

本文概述了如何使用审核功能对 Azure SQL 数据库Azure Synapse Analytics 分析审核日志。 可以使用审核功能来分析存储在以下位置的审核日志:

  • Log Analytics
  • 事件中心
  • Azure 存储

使用 Log Analytics 分析日志

如果已选择将审核日志写入到 Log Analytics,请执行以下操作:

  1. 使用 Azure 门户

  2. 转到相关的数据库资源。

  3. 在数据库的“审核”页的顶部,选择“查看审核日志” 。

    Azure 门户中“审核”菜单的屏幕截图,在其中可以选择“查看审核日志”选项。

可以通过两种方式查看日志:

  • 选择“审核记录”页面顶部的“Log Analytics”,此时会在 Log Analytics 工作区中打开日志视图,你可以在其中自定义时间范围和搜索查询。

    在 Azure 门户的“审核记录”菜单中选择“Log Analytics”的屏幕截图。

  • 选择“审核记录”页面顶部的“查看仪表板”,此时会打开一个显示审核日志信息的仪表板,你可以在其中深入挖掘“安全性见解”或“访问敏感数据”。 此仪表板旨在帮助你获取数据的安全见解。 还可以自定义时间范围和搜索查询。

    在 Azure 门户的“审核记录”菜单中选择“查看仪表板”的屏幕截图。

    “审核”仪表板的屏幕截图。

  • 或者,也可以从“Log Analytics”菜单中访问审核日志。 打开“Log Analytics”工作区,在“常规”部分下选择“日志”。 一开始可以使用简单的查询(例如:搜索“SQLSecurityAuditEvents”)来查看审核日志。 在这里,也可使用 Azure Monitor 日志对审核日志数据运行高级搜索。 有了 Azure Monitor 日志,就可以使用集成的搜索和自定义仪表板来轻松分析所有工作负荷和服务器上的数百万记录,获得实时操作见解。 有关 Azure Monitor 日志搜索语言和命令的额外有用信息,请参阅 Azure Monitor 日志搜索参考

使用事件中心分析日志

如果已选择将审核日志写入到事件中心,请执行以下操作:

  • 若要使用事件中心的审核日志数据,需设置一个流来使用事件并将其写入到目标。 有关详细信息,请参阅 Azure 事件中心文档
  • 事件中心内的审核日志在 Apache Avro 事件的主体中捕获,并使用带有 UTF-8 编码的 JSON 格式进行存储。 若要读取审核日志,可以使用 Avro 工具Microsoft Fabric 事件流或处理此格式的类似工具。

使用 Azure 存储帐户中的日志分析日志

如果选择将审核日志写入到 Azure 存储帐户,可以使用多种方法来查看日志:

  • 审核日志会在安装期间选择的帐户中进行聚合。 可使用 Azure 存储资源管理器等工具浏览审核日志。 在 Azure 存储中,审核日志以 Blob 文件集合的形式保存在名为 sqldbauditlogs 的容器中。 若要详细了解存储文件夹、命名约定和日志格式的层次结构,请参阅 SQL 数据库审核日志格式

    1. 使用 Azure 门户

    2. 打开相关的数据库资源。

    3. 在数据库的“审核”页的顶部,选择“查看审核日志” 。

      显示如何查看审核日志的屏幕截图。

      此时会打开“审核记录”页,你可以查看日志。

    4. 可选择“审核记录”页顶部的“筛选”,查看特定的日期。

    5. 可以通过切换“审核源”在服务器审核策略和数据库审核策略创建的审核记录之间进行切换。

      屏幕截图显示查看审核记录的选项。

  • 使用系统函数 sys.fn_get_audit_file (T-SQL) 以表格格式返回审核日志数据。 有关使用此函数的详细信息,请参阅 sys.fn_get_audit_file

  • 使用 SQL Server Management Studio 中的“合并审核文件”选项(从 SSMS 17 开始):

    1. 在 SSMS 菜单中,选择“文件”>“打开”>“合并审核文件”。

      屏幕截图显示“合并审核文件”菜单选项。

    2. 此时会打开“添加审核文件”对话框。 通过“添加”选项,选择是合并本地磁盘中的审核文件还是从 Azure 存储中导入。 需要提供 Azure 存储详细信息和帐户密钥。

    3. 添加要合并的所有文件后,选择“确定”完成合并操作。

    4. 合并的文件会在 SSMS 中打开,可在其中进行查看和分析,以及将其作为 XEL 或 CSV 文件导出或导出到表中。

  • 使用 Power BI。 可在 Power BI 中查看和分析审核日志数据。 如需详细信息并访问可下载的模板,请参阅在 Power BI 中分析审核日志数据

  • 通过门户或使用 Azure 存储资源管理器等工具从 Azure 存储 blob 容器下载日志文件。

    • 在本地下载日志文件后,可双击打开文件,然后在 SSMS 中查看和分析日志。
    • 也可在 Azure 存储资源管理器中同时下载多个文件。 为此,请右键单击特定子文件夹,然后选择“另存为”,以便在本地文件夹中进行保存。
  • 更多方法:

    • 下载多个文件或包含日志文件的子文件夹后,可以按照前述 SSMS 合并审核文件说明在本地合并它们。
    • 以编程方式查看 blob 审核日志:使用 PowerShell 查询扩展事件文件

另请参阅