Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
Azure SQL Managed Instance
Вы можете сконфигурировать SQL Server Audit в Azure SQL Managed Instance.
- Аудит может помочь вам соблюсти требования нормативов, проанализировать работу с базой данных и получить представление о расхождениях и аномалиях, которые могут указывать на бизнес-проблемы или предполагаемые нарушения безопасности.
- Аудит позволяет и упрощает соблюдение стандартов соответствия, хотя он не гарантирует соответствие требованиям. Дополнительные сведения см. в Microsoft Azure Центре управления безопасностью где можно найти самый актуальный список сертификатов соответствия SQL Managed Instance.
Чтобы приступить к настройке аудита SQL Server в Azure SQL Managed Instance, ознакомьтесь с Началом работы с аудитом в Azure SQL Managed Instance.
Оптимизация производительности
Аудит Azure SQL Managed Instance оптимизирован для доступности и производительности. Во время высокой активности или высокой сетевой нагрузки Azure SQL Managed Instance позволяет выполнять операции и не записывать некоторые проверенные события.
Аудит операций службы поддержки Microsoft
Аудит операций службы поддержки Microsoft для SQL Managed Instance позволяет осуществлять аудит действий инженеров службы поддержки Microsoft при необходимости доступа к вашему серверу во время запроса на поддержку. Использование такой возможности вместе с аудитом обеспечивает дополнительную прозрачность в отношении персонала, а также возможности обнаружения аномалий, визуализации трендов и предотвращение потери данных.
Чтобы включить аудит операций Microsoft Support, Перейдите к Create Audit в разделе Security>Audit в управляемом экземпляре SQL и выберите операции Microsoft support.
Замечание
Необходимо создать отдельный серверный аудит для проверки операций Microsoft. Если этот флажок установлен для существующего аудита, он перезаписывает аудит и регистрирует только операции поддержки.
Внутренние операции в Azure SQL Managed Instance
В Azure SQL Database и Azure SQL Managed Instance события, инициируемые SQLDBControlPlaneFirstPartyApp, являются внутренней функцией Azure плоскости управления Azure SQL Database. События, инициированные SQLDBControlPlaneFirstPartyApp, являются частью внутренней операции синхронизации между подсистемой SQL и Azure Resource Manager. Эти события являются обычной частью управления ресурсами и необходимы для правильного представления ресурсов и операций в Azure.
Аудит различий между базами данных в Azure SQL Managed Instance и базах данных в SQL Server
Основные различия между аудитом в базах данных в Azure SQL Managed Instance и базах данных в SQL Server:
- При Azure SQL Managed Instance аудит работает на уровне сервера и сохраняет файлы журнала
.xelв Blob-хранилище Azure. - В SQL Server аудит работает на уровне сервера, но сохраняет события в файловой системе и Windows журналы событий.
Аудит XEvent в управляемых экземплярах поддерживает работу с целевыми объектами хранения Azure Blob. Журналы файлов и Windows не поддерживаются.
Основные различия в синтаксисе CREATE AUDIT для аудита в Azure Blob-хранилище:
- Предоставляется новый синтаксис
TO URLи позволяет указать URL-адрес контейнера хранилища BLOB-объектов Azure, где помещаются файлы.xel. - Предоставляется новый синтаксис
TO EXTERNAL MONITORдля включения центров событий и целевых объектов журнала Azure Monitor. - Синтаксис
TO FILEне поддерживается, поскольку Azure SQL Managed Instance не может получить доступ к общим папкам Windows. - Параметр завершения работы не поддерживается.
- Значение 0 для
queue_delayне поддерживается.
Разрешения
Для настройки аудита требуются разрешения базы данных в управляемом экземпляре SQL, а также необходимы разрешения на Azure ресурсы, используемые для хранения и доступа к журналам аудита.
Чтобы настроить аудит управляемого экземпляра SQL-сервера, требуются следующие разрешения базы данных:
| Разрешения базы данных | Настройка аудита | Просмотр журналов аудита с помощью T-SQL |
|---|---|---|
VIEW DATABASE SECURITY AUDIT |
Нет | Да |
ALTER ANY DATABASE AUDIT |
Да | Нет |
CONTROL DATABASE |
Да | Да |
Чтобы настроить аудит для хранилища Azure, вам потребуется роль участник данных хранилища blob в учетной записи хранения или более высокие разрешения. Чтобы настроить аудит в Центрах событий или Log Analytics, вам потребуется роль участника Monitoring или более высокие разрешения для группы ресурсов, в которой подготовлена рабочая область Концентратора событий или Log Analytics.