适用于:
Azure SQL 数据库Azure Synapse Analytics
通过 Azure SQL 数据库的审核 Microsoft 支持人员针对你逻辑服务器的操作这一功能,你可以在支持请求期间当 Microsoft 支持工程师需要访问你的服务器时审核其操作。 将此功能与审核结合使用,可以提高工作人员的透明度,并可以进行异常情况检测、趋势可视化和数据丢失防护。
Microsoft 支持操作的审核包括以下操作组集合,该集合会根据数据库审核所有执行的查询,以及 Microsoft 支持工程师操作成功和失败的登录:
- BATCH_COMPLETED_GROUP (批次完成组)
- 成功的数据库认证组
- 数据库认证组失败
启用审核
若要启用对Microsoft支持操作的审核,请转到 Azure 门户。 导航到 Azure SQL Server 窗格中的 “安全性” 标题下的 “审核”,并将 “启用 Microsoft 支持操作的审核” 切换到 ON。 配置审核日志被发送到以下一个或多个目标:存储帐户、Log Analytics 或事件中心 (Event Hubs)
要在 Log Analytics 工作区中查看 Microsoft 支持人员操作的审核日志,请使用以下查询:
AzureDiagnostics
| where Category == "DevOpsOperationsAudit"
可为此审核日志选择不同的存储目标,也可为服务器使用相同的审核配置。
注释
存储在 Azure 存储中的 DevOps 审核日志可能包含敏感的作详细信息。 如果环境中的恶意参与者访问这些日志,他们可能会深入了解系统作,这可能会导致未经授权的访问或数据泄露。
客户责任 - 通过以下方式保护这些日志:
- 仅限制对授权人员的访问
- 应用强大的 Azure 基于角色的访问控制(RBAC)和网络控制
- 定期监视和审核存储访问