为 Azure SQL 数据库和 Azure Synapse Analytics 设置审核
适用于: Azure SQL 数据库 Azure Synapse Analytics
本文介绍如何在 Azure SQL 数据库和 Azure Synapse Analytics 中为逻辑服务器或数据库设置审核。
为服务器配置审核
默认审核策略包括下列操作组集合,用于审核针对数据库执行的所有查询和存储过程以及成功和失败的登录:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
若要使用 PowerShell 对不同类型的操作和操作组配置审核,请参阅管理 Azure SQL 数据库审核。
Azure SQL 数据库和 Azure Synapse Analytics 审核可以在审核记录中存储字符字段的 4000 个字符的数据。 当可审核操作返回的语句或 data_sensitivity_information 值包含超过 4000 个的字符时,超出前 4000 个字符的任何数据将被截去不进行审核。
以下部分介绍如何使用 Azure 门户配置审核。
注意
无法在暂停的专用 SQL 池上启用审核。 要启用审核,请恢复该专用 SQL 池。
如果在 Azure 门户或 PowerShell cmdlet 中将审核配置为 Log Analytics 工作区或事件中心目标,则会创建一个启用了 SQLSecurityAuditEvents
类别的诊断设置。
转到 Azure 门户。
导航到“SQL 数据库”或“SQL Server”窗格中“安全性”标题下的“审核”。
如果想设置服务器审核策略,可以选择数据库审核页中的“查看服务器设置”链接。 然后,可查看或修改服务器审核设置。 服务器审核策略应用于此服务器上所有现有和新建数据库。
如果希望在数据库级别启用审核,请将“审核”切换到“启用”。 如果启用了服务器审核,数据库配置的审核将与服务器审核并存。
你有多个选项,可以用来配置存储审核日志的位置。 可将日志写入 Azure 存储帐户、写入 Log Analytics 工作区(供 Azure Monitor 日志使用)或写入事件中心(供事件中心使用)。 可以将这些选项随意组合起来进行配置,审核日志会写入到每一个之中。
对存储目标的审核
若要配置将审核日志写入存储帐户,请在转到“审核”部分时选择“存储” 。 选择要在其中保存日志的 Azure 存储帐户。 可以使用以下两种存储身份验证类型:托管标识和存储访问密钥。 对于托管标识,支持系统分配的托管标识和用户分配的托管标识。 默认情况下会选择分配给服务器的主要用户标识。 如果没有用户标识,则会创建系统分配的托管标识并将其用于身份验证。 选择身份验证类型后,若要选择保留期,请打开“高级属性”并选择“保存”。 早于保留期的日志会被删除。
注意
如果要从 Azure 门户进行部署,请确保存储帐户与数据库和服务器位于同一区域。 如果要通过其他方法进行部署,则存储帐户可以位于任何区域中。
- 保持期的默认值为 0(无限制保留)。 在配置用于审核的存储帐户时,可以通过在“高级属性”中移动“保留期(天数)”滑块来更改此值。
- 如果将保留期从 0(无限期保留)更改为任何其他值,则该保留期将仅应用于在更改保留期值后所写入的日志。 即使启用了上述保留期,在保留天数设置为无限制保留期间所写入的日志仍将无限期保留。
对 Log Analytics 目标的审核
若要配置将审核日志写入 Log Analytics 工作区的操作,请选择“Log Analytics”,并打开“Log Analytics 详细信息”。 选择要存储日志的 Log Analytics 工作区,然后选择“确定”。 如果尚未创建 Log Analytics 工作区,请参阅在 Azure 门户中创建 Log Analytics 工作区。
对事件中心目标的审核
若要配置将审核日志写入事件中心,请选择“事件中心”。 选择要存储日志的事件中心,然后选择“保存”。 请确保事件中心与数据库和服务器位于同一区域。
注意
如果使用多个目标(如存储帐户、日志分析或事件中心),请确保拥有所有目标的权限,否则保存审核配置将会失败,因为它会尝试保存所有目标的设置。