Поделиться через

Настройка мониторинга в пакете управления для SQL Server

В этом разделе описаны конфигурации мониторинга в пакете управления для SQL Server.

Правила Оповещения Агента SQL Server: Особенности Конфигурации

Пакет управления для SQL Server предоставляет следующие правила генерации оповещений агента SQL Server:

  • MSSQL в Windows: обработчик предупреждений остановлен из-за неисправимых ошибок локального журнала событий
  • MSSQL в Windows: не удалось выполнить задание SQL
  • MSSQL в Windows: не удается выполнить шаг задания, так как не удалось загрузить подсистему
  • MSSQL на Windows: агент находится под подозрением. Нет ответа за последние несколько минут
  • MSSQL в Windows: не удалось запустить агент SQL Server
  • MSSQL в Windows: агент SQL Server инициирует самостоятельное завершение
  • MSSQL в Windows: шаг задания, вызвавший исключение в этой подсистеме
  • MSSQL в Windows: агенту SQL Server не удалось подключиться к SQL Server
  • MSSQL в Windows: невозможно заново открыть локальный журнал событий

По умолчанию эти правила включены в режиме мониторинга агента, но отключены в смешанном режиме мониторинга, так как Operations Manager не разрешает событиям из журналов событий собираться на удаленных компьютерах. Чтобы изменить это, можно переопределить каждое из этих правил, включив параметр AllowProxying .

Примечание.

Включение параметра AllowProxying может привести к удаленному выполнению кода. Не включите этот параметр, если вы не уверены, что компьютер защищен.

Ни один из этих правил не работает в режиме мониторинга без агента и недоступен для SQL в Linux.

Правила генерации оповещений AlwaysOn

Пакет управления для SQL Server имеет два правила событий для оповещения в случаях, когда в журнале приложений Windows отображаются следующие события:

  • Идентификатор события 1480, роль реплики базы данных изменяется

  • Идентификатор события 19406, роль реплики доступности изменилась

По умолчанию SQL Server может не запускать эти события в журнале приложений. Чтобы включить их, выполните следующие скрипты T-SQL:

sp_altermessage 1480, 'with_log', 'true'

sp_altermessage 19406, 'with_log', 'true'

Мониторинг доступности резервной копии базы данных

Пакет управления для SQL Server предоставляет мониторы, которые проверяют наличие и возраст базы данных и резервные копии журналов, как сообщает Microsoft SQL Server. Проверка выполняется путем отправки запроса к базе данных master экземпляра SQL Server и возвращения информации о дате создания резервной копии.

Эти мониторы находятся в сводном состоянии доступности баз данных группы доступности в представлении группы доступности. Список мониторов выглядит следующим образом:

  • Монитор состояния резервного копирования базы данных доступности
  • Мониторинг состояния резервного копирования журнала базы данных доступности

Монитор состояния резервного копирования базы данных доступности

Этот монитор предназначен для работоспособности базы данных доступности и проверяет состояние резервного копирования базы данных в соответствии с пороговым значением в днях.

По умолчанию монитор не отслеживает предпочтения резервного копирования группы доступности. Если этот параметр ускорения включен, система мониторинга будет отслеживать расположение резервного копирования, настроенное в параметрах резервного копирования группы доступности, и проверять, соответствует ли резервная копия на выбранной реплике настройкам частоты резервного копирования.

Параметры резервного копирования выбранной группы доступности могут быть следующими:

  • Предпочесть вторичную

    Указывает, что резервное копирование должно выполняться на вторичной реплике, за исключением тех случаев, когда в режиме «в сети» находится только первичная реплика. В этом случае резервное копирование будет выполняться на первичной реплике. Этот параметр по умолчанию.

  • Только вторичная

    Указывает, что резервное копирование никогда не выполняется на первичной реплике. Если основная реплика является единственной репликой в сети, резервное копирование не должно происходить.

  • Основной

    Указывает, что резервное копирования должно всегда выполняться на первичной реплике. Этот параметр полезен, если вам нужны функции резервного копирования, например создание разностных резервных копий, которые не поддерживаются при выполнении резервного копирования на вторичной реплике.

  • Любая реплика

    Указывает, что вы предпочитаете, чтобы задания резервного копирования не учитывали роль реплик доступности при выборе реплики для создания резервных копий.

    Примечание.

    Задания резервного копирования могут оценивать другие факторы, такие как приоритет резервного копирования каждой реплики доступности в сочетании с его рабочим состоянием и состоянием подключения.

Приведены примеры включения и отключения параметра настройки трека в случае, когда резервные предпочтения установлены на первичной реплике группы доступности, а файл резервной копии существует только на вторичной реплике.

Параметр предпочтений отслеживания резервного копирования включен. Для обеих реплик базы данных монитор состояния резервного копирования базы данных доступности находится в критическом состоянии.

Скриншот свода статистики резервного копирования базы данных доступности, когда предпочтение отслеживания резервного копирования включено для первичной реплики.

Параметр настройки резервного копирования отключен. Только для реплики базы данных-источника монитор состояния резервного копирования базы данных доступности находится в критическом состоянии:

Снимок экрана обобщения статуса резервного копирования базы данных доступности, когда для первичной реплики отключено отслеживание параметров резервного копирования.

Мониторинг состояния резервного копирования журнала базы данных доступности

Этот монитор предназначен для работоспособности базы данных доступности и проверяет состояние резервного копирования журнала базы данных в соответствии с пороговым значением в минутах.

Свертка базы данных доступности отслеживает оповещения

Мониторы состояния резервного копирования базы данных доступности и состояния резервного копирования журналов базы данных доступности настраиваются с помощью политики агрегирования "Лучшее состояние любого члена" и имеют критические оповещения в соответствующем агрегированном состоянии, чтобы отображать полное состояние базы данных в группе доступности.

База данных доступности — это компонент базы данных, который может существовать в нескольких репликах. На основе этого, оповещение предусмотрено только для "Состояния резервного копирования базы данных доступности (сводного)", позволяющего проверить общее состояние базы данных доступности, а не только состояние каждой базы данных на каждой реплике.

Снимок экрана: оповещение об свертки резервного копирования базы данных доступности.

Свертка становится критической и вызывает оповещение только в том случае, если все реплики базы данных имеют критическое состояние резервного копирования базы данных или резервного копирования журналов. Если только одна реплика имеет критическое состояние резервного копирования базы данных или резервного копирования журналов, накопительный пакет остается работоспособным в соответствии с политикой свертки.

Мониторинг политик

Пакет управления для SQL Server собирает метрики работоспособности баз данных и объектов Always On, расположенных в целевом экземпляре SQL Server, считывая состояние политик управления на основе политик (PBM) для каждого объекта.

Помимо системных политик пакет управления позволяет отслеживать пользовательские политики для следующих объектов:

  • База данных
  • Группа доступности
  • Реплика доступности
  • Реплика базы данных

Для каждого из этих объектов пакет управления содержит следующие мониторы:

  • Монитор с двумя состояниями, включая состояние предупреждения. Этот монитор показывает состояние пользовательской политики пользователя, которая имеет одну из предопределенных категорий предупреждений в качестве категории политики.
  • Монитор двух состояний с состоянием ошибки. Этот монитор показывает состояние пользовательской политики пользователя, которая имеет одну из предопределенных категорий ошибок в качестве категории политики.

Мониторинг пространства

Пакет управления для SQL Server может выполнять мониторинг пространства, собирая набор метрик на следующих уровнях:

  • База данных
  • Файловая группа
  • Файлы
  • Файл журнала

Вы можете использовать модульные мониторы, а также метрики производительности для просмотра этих сведений для нескольких баз данных и длительных интервалов времени.

Мониторинг пространства поддерживает следующие типы носителей:

  • Локальные точки хранения и подключения
  • Общие тома кластера
  • Общие папки SMB
  • Хранилище BLOB-объектов Azure

После импорта пакета управления для SQL Server вы можете обнаружить, что некоторые рабочие процессы мониторинга пространства включены по умолчанию, а другие отключены. Для снижения нагрузки на среду мониторинг пространства включен только для уровня базы данных и отключен для файловой группы, файла журнала, контейнера OLTP в памяти и уровне файловой группы FILESTREAM. Если ваша среда учитывает дополнительную нагрузку, включение редко используемых рабочих процессов не рекомендуется.

Примечание.

При мониторинге файловых групп оповещение создается только в том случае, если все файлы в файловой группе полностью неработоспособны. Если в файловой группе есть хотя бы один файл, который работоспособен, оповещения не будут зарегистрированы.

Ниже приведен список, который объясняет состояние по умолчанию для каждого рабочего процесса мониторинга пространства:

  • Включенные возможности обнаружения в Windows и Linux
    • Ядра СУБД
    • Базы данных для ядра СУБД
  • Отключенные обнаружения для Windows и Linux
    • Файловые группы базы данных
    • Файлы базы данных
    • Файл журнала транзакций
    • Файловые группы FILESTREAM
    • Файловая группа данных, оптимизированная для памяти
    • Контейнеры файловых групп данных, оптимизированных для памяти
  • Включенные мониторы для Windows
    • Нацелен на базу данных
      • Слева свободное место для данных ROWS
      • Осталось свободного места в журнале
  • Отключенные мониторы для Windows
    • Нацелен на базу данных
      • Изменение процентного значения пространства данных ROWS
      • Остаток свободного места в памяти OLTP
      • Оставшееся свободное место для данных FILESTREAM
    • Предназначено для файловой группы
      • Оставшееся свободное место для файлов в базе данных
    • Предназначен для журнального файла
      • Оставшееся свободное место в файле журнала базы данных
    • Предназначено для контейнера данных OLTP в памяти
      • Свободное место в контейнере файловой группы данных, оптимизированной по памяти
    • Предназначено для файловой группы FILESTREAM
      • Свободное место в файловых группах FILESTREAM базы данных
  • Включенные мониторы для Linux
    • Предназначено для файловой группы
      • Оставшееся свободное место для файлов в базе данных
    • Предназначен для журнального файла
      • Оставшееся свободное место в файле журнала базы данных
    • Предназначено для контейнера данных OLTP в памяти
      • Свободное место в контейнере файловой группы данных, оптимизированной по памяти

Следующие мониторы поддерживают переопределение режима вычисления работоспособности:

  • Оставшееся свободное место для данных FILESTREAM
  • Остаток свободного места в памяти OLTP
  • Оставшееся свободное место в файле журнала базы данных
  • Слева свободное место для данных ROWS

Это переопределение позволяет определить, каким образом следует отслеживать свободное пространство в среде. Теперь вы можете настроить любые вышеперечисленные мониторы для отслеживания состояния работоспособности на основе параметра "Порог", выраженного в процентах (%) или метрике емкости (МБ). Чтобы сделать мониторинг еще более эффективным, вы можете использовать пороговые значения как процентного показателя (%), так и метрики емкости (МБ) одновременно, и в этом случае метрика с наихудшим состоянием будет использоваться для информирования об общем состоянии работоспособности.

Отключенные рабочие процессы мониторинга пространства для SQL в Linux

Следующие рабочие процессы отключены по умолчанию, так как они не предоставляются необходимыми данными SQL Server на Linux:

  • Правила
    • MSSQL в Linux: общий объем свободного места в файловой группе оптимизированных для памяти данных в базе данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в файловой группе оптимизированных для памяти данных в базе данных (%)
    • MSSQL в Linux: общий объем свободного места в файловой группе FILESTREAM базы данных (%)
    • MSSQL в Linux: общий объем свободного места в файловой группе FILESTREAM базы данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в файловой группе базы данных (%)
    • MSSQL в Linux: общий объем свободного места в файловой группе базы данных (в МБ)
    • MSSQL в Linux: выделенное свободное место в файловой группе базы данных (%)
    • MSSQL в Linux: распределенное свободное место в файловой группе базы данных (в МБ)
    • MSSQL в Linux: доступное внешнее пространство в базе данных (в МБ)
    • MSSQL в Linux: распределенное свободное место базы данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в журнале транзакций базы данных (%)
    • MSSQL в Linux: объем используемого распределенного места в базе данных (в МБ)
    • MSSQL в Linux: общий объем свободного места в базе данных (%)
    • MSSQL в Linux: общий объем свободного места в базе данных (в МБ)
    • MSSQL в Linux: объем распределенного места в базе данных (в МБ)
  • Мониторы
    • Оставшееся свободное место в базе данных
    • Процентное изменение пространства базы данных
    • Свободное место в журнале транзакций (%)
    • Свободное место в файловых группах FILESTREAM базы данных

Мониторинг состояния базы данных

Мониторинг состояния базы данных предназначен для проверки состояния базы данных, как сообщает Microsoft SQL Server. Проверка состояния выполняется путем выполнения запроса к базе данных master экземпляра SQL Server, возвращающего состояние базы данных. Если вы получаете оповещение от этого монитора, для возврата базы данных в рабочее состояние требуется действие.

Все состояния базы данных, кроме онлайн, приводят к нездоровому состоянию мониторинга. Состояния базы данных определяются в следующей таблице.

Штат Определение
ОНЛАЙН База данных доступна. Основная файловая группа находится в сети, хотя стадия отката восстановления может быть не завершена.
оффлайн База данных недоступна. База данных переходит в режим вне сети с помощью явного указания пользователя и остается в режиме вне сети до тех пор, пока пользователем не будет предпринято дополнительное действие. Например, база данных может быть переведена в режим вне сети, чтобы переместить файл на другой диск. После завершения перемещения база данных снова становится доступной.
Восстановление Восстанавливаются один или несколько файлов первичной файловой группы или один или несколько вторичных файлов в офлайн-режиме. База данных недоступна.
Восстановление База данных в процессе восстановления. Процесс восстановления является переходным состоянием; если восстановление успешно завершится, база данных автоматически становится доступной онлайн. При неудачном завершении восстановления база данных будет помечена как подозрительная. База данных недоступна.
ВОССТАНОВЛЕНИЕ ОЖИДАЕТСЯ SQL Server столкнулась с ошибкой, связанной с ресурсами во время восстановления. База данных не повреждена, но, возможно, потеряны файлы или ограничения системных ресурсов препятствуют началу процесса восстановления. База данных недоступна. Со стороны пользователя требуется дополнительное действие, чтобы исправить ошибку и разрешить завершение процесса восстановления.
ПОДОЗРЕВАЕМЫЙ По меньшей мере, первичная файловая группа помечена как подозрительная и, возможно, повреждена. Невозможно восстановить базу данных во время запуска SQL Server. База данных недоступна. Со стороны пользователя требуется дополнительное действие, чтобы устранить проблему.
АВАРИЙНЫЙ РЕЖИМ Пользователь изменил базу данных и установил состояние базы данных в значение EMERGENCY. База данных находится в однопользовательском режиме и, возможно, в процессе исправления или восстановления. База данных помечена как READ_ONLY, ведение журнала отключено и доступ возможен только элементам предопределенной роли сервера sysadmin . EMERGENCY используется в основном для диагностики. Например, база данных, помеченная как подозрительная, может быть переведена в состояние EMERGENCY. Это предоставляет системному администратору доступ к базе данных только для чтения. Только члены предопределенной роли сервера sysadmin могут перевести базу данных в состояние EMERGENCY.

Дополнительные сведения см. в разделе Состояния базы данных.

Монитор также поддерживает переопределение "Отключить, если группа доступности находится в автономном режиме" для сред под управлением Windows. Если для этого переопределения задано значение true, и группа доступности, в которой размещена база данных, недоступна, монитор перестает отслеживать ее состояние. Это переопределение полезно, так как помогает предотвратить лавину предупреждений, которая может возникнуть при работе с SQL Server 2012 из-за особенностей его архитектуры. Для более высоких версий SQL Server это переопределение не требуется.

Много баз данных на одном диске

Мониторинг пространства в пакете управления может быть шумным в средах, где многие базы данных используют один и тот же носитель и имеют параметр автоматического увеличения . В таких случаях для каждой базы данных создается предупреждение, когда объем свободного места на жестком диске достигает порогового значения.

Чтобы уменьшить шум, отключите мониторинг пространства для файлов данных и журналов транзакций и используйте пакет управления операционной системой для отслеживания места на жестком диске.

Мониторинг задержки хранилища базы данных

Пакет управления для SQL Server собирает метрики задержки чтения диска базы данных (мс) и задержки записи дисков базы данных (мс) для каждой базы данных. Кроме того, пакет управления определяет два связанных монитора, которые регистрируют оповещения в случаях значительного снижения производительности. Эти мониторы и правила производительности отключены по умолчанию. Включите их только для конкретных БД, когда это необходимо.

Заблокированные сеансы

Монитор блокирующих сеансов предназначен для запроса каждой базы данных для сеанса, заблокированного в течение значительного периода времени. При обнаружении блокировки и превышении заданного порогового значения состояние изменяется и вызывается оповещение.

Можно применить переопределение, чтобы изменить параметр WaitMinutes, используемый для определения, следует ли считать заблокированный сеанс длительным. Значение по умолчанию для этого параметра равно одной минуте.

Мониторинг состояния конфигурации защищаемых элементов

Этот монитор проверяет, доступен ли каждый из необходимых объектов безопасности SQL Server в настроенной учетной записи запуска от имени.

Ниже приведен полный список защищаемых объектов, которые проверяются монитором, предназначенным для ядро СУБД SQL Server:

  • Разрешения на уровне сервера

    • Просмотр состояния сервера
    • Просмотреть любое определение
    • ПРОСМОТР ЛЮБОЙ БАЗЫ ДАННЫХ

  • Разрешение SELECT для динамических представлений управления

    • master.sys.dm_hadr_availability_group_states
    • master.sys.dm_hadr_availability_replica_states
    • master.sys.dm_hadr_database_replica_cluster_states
    • master.sys.dm_os_performance_counters
    • master.sys.dm_tran_активные_транзакции
    • master.sys.dm_tran_session_transactions
    • master.sys.dm_exec_session
    • master.sys.dm_exec_requests
    • master.sys.dm_exec_connections
    • master.sys.dm_os_sys_info
    • master.sys.dm_os_ring_buffers
    • master.sys.dm_os_volume_stats
    • master.sys.dm_os_threads
    • master.sys.dm_server_services
    • master.sys.dm_db_xtp_checkpoint_files
    • master.sys.dm_db_xtp_table_memory_stats
    • master.sys.dm_db_xtp_hash_index_stats
    • master.sys.dm_resource_governor_resource_pools
    • master.sys.dm_db_index_physical_stats

  • Разрешение SELECT для представлений каталога

    • master.sys.dm_os_host_info
    • master.sys.availability_groups
    • master.sys.базы_данных
    • master.sys.database_files
    • master.sys.tables
    • master.sysфайловых групп
    • master.sys.syscolumns
    • master.sys.sysprocesses
    • master.sys.availability_replicas
    • master.sys.database_mirroring
    • master.sys.configurations
    • master.sys.индексы
    • msdb.dbo.syspolicy_policies
    • msdb.dbo.syspolicy_conditions
    • msdb.dbo.syspolicy_policy_execution_history
    • msdb.dbo.syspolicy_configuration
    • msdb.dbo.syspolicy_system_health_state
    • msdb.dbo.syspolicy_object_sets
    • msdb.dbo.syspolicy_policy_categories
    • msdb.dbo.syspolicy_target_sets
    • msdb.dbo.syspolicy_target_set_levels
    • msdb.dbo.syspolicy_policy_execution_history_details
    • msdb.dbo.sysjobschedules
    • msdb.dbo.syscategories
    • msdb.dbo.sysjobs_view
    • msdb.dbo.sysjobactivity
    • msdb.dbo.sysjobhistory
    • msdb.dbo.syssessions
    • msdb.dbo.log_shipping_primary_databases
    • msdb.dbo.log_shipping_secondary_databases
    • msdb.dbo.backupset

  • Разрешение EXECUTE для хранимых процедур

    • master.sys.sp_enumerrorlogs
    • master.sys.xp_readerrorlog
    • master.sys.xp_instance_regread
    • msdb.dbo.sp_help_job
    • msdb.dbo.agent_datetime
    • msdb.dbo.SQLAGENT_SUSER_SNAME

Ниже приведен полный список защищаемых объектов, проверяемых монитором, предназначенным для баз данных SQL Server:

  • Разрешение SELECT для представлений каталога
    • Системный объект sys.database_files
    • Системные таблицы (sys.tables)
    • sys.группы_файлов
    • sys.syscolumns

Примечание.

Некоторые мониторы могут иметь свойства с двойным подчеркиванием в именах. Такие свойства используются для внутренних целей пакета управления; убедитесь, что они не используются.

Монитор состояния работоспособности WMI

Этот монитор проверяет, имеет ли настроенная учетная запись для запуска доступ к следующим пространствам имен, расположенным на целевом сервере SQL Server.

  • ROOT\CIMV2
  • ROOT\Microsoft\SqlServer
  • ROOT\Microsoft\SqlServer\ComputerManagement11
  • ROOT\Microsoft\SqlServer\ComputerManagement12
  • ROOT\Microsoft\SqlServer\ComputerManagement13
  • ROOT\Microsoft\SqlServer\ComputerManagement14
  • ROOT\Microsoft\SqlServer\ComputerManagement15
  • ROOT\Microsoft\SqlServer\ComputerManagement16

Монитор создает оповещение в случаях, когда нет доступа ни к одному из указанных выше пространств имен.

Мониторинг заданий Агента SQL Server

Пакет управления для SQL Server может выполнять задания агента мониторинга доступности и производительности для SQL Server со следующими рабочими процессами:

  • Монитор состояния последнего запуска

    Этот монитор проверяет все задания в агенте SQL и если одно из заданий не выполнено успешно, монитор изменяет состояние на предупреждение. Это не создает оповещение, потому что есть настройка, отключающая оповещения для снижения шума. Если вы хотите иметь такой уровень мониторинга, вам нужно снова включить создание оповещений.

    Монитор имеет переопределение порогового значения количества сбоев, указывающее, сколько раз задание агента SQL может завершиться сбоем до изменения состояния монитора на Предупреждение. Переопределение определяет состояние "Отменено", как "Сбой", что позволяет отслеживать состояние последнего запуска отмененного задания как сбой.

  • Монитор длительных заданий

    Этот монитор проверяет задания с длительным временем выполнения агента SQL Server. Предупреждение или предупреждение об ошибке появится, если задание выполнялось дольше настроенных пороговых значений — пороговое значение предупреждения (минут) и критическое пороговое значение (минуты).

    По умолчанию этот монитор не отслеживает задания с типом Запускать автоматически при старте Агента SQL Server, так как эти задания часто выполняются до остановки Агента SQL (то есть непрерывно). Как правило, репликация SQL Server использует такие задания, но в некоторых случаях задания с типом расписания Автоматический запуск при запуске агента SQL Server могут выполняться относительно непродолжительное время. Чтобы отслеживать эти задания, переопределите параметр "Включенные непрерывно выполняемые задания" со списком имен заданий с разделителями-запятыми. Имя задания в списке должно соответствовать требованиям одного из следующих классов идентификаторов:

    • Регулярное

      • Может содержать любой символ, кроме знака запятой (,) и знака двойной кавычки (").
      • Не следует начинать или заканчиваться пробельными символами.

    • разделённый

      • Может содержать любые символы и разделять двойными кавычками.
      • Кавычки двойные следует экранировать, удвоив их.

    Любое имя, принадлежащее любому из указанных выше классов, должно составлять от 1 до 128 символов, за исключением символов разделителя.

  • Монитор длительности задания

    Этот монитор проверяет все задания агента SQL и если любое из заданий занимает больше указанного порогового значения. Предупреждение или предупреждение об ошибке отображается, если длительность задания превышает настроенные пороговые значения — пороговое значение предупреждения (минут) и критическое пороговое значение (минуты). Это не создает оповещение, потому что есть настройка, отключающая оповещения для снижения шума. Если вы хотите достичь этого уровня мониторинга, необходимо переопределить генерацию оповещений и снова включить её, или использовать правило оповещений о длительности задания.

  • Правило оповещения о продолжительности выполнения задачи

    Это правило проверяет, превысило ли время выполнения любого из заданий агента SQL указанное пороговое значение в минутах и выдает оповещение, если время выполнения нарушило пороговое значение.

  • Правило производительности по длительности задания

    Это правило собирает длительность в минутах любого из заданий агента SQL.

Мониторинг сертификата шифрования подключений SQL Server

Пакет управления SQL Server предоставляет монитор, который может отслеживать состояние сертификата шифрования подключения SQL Server.

SQL Server может использовать TLS для шифрования данных, передаваемых через сеть между экземпляром SQL Server и клиентским приложением. TLS использует сертификат для реализации шифрования. Шифрование TLS позволяет повысить безопасность данных, передаваемых между экземплярами SQL Server и приложениями, расположенными в разных сетях. Дополнительные сведения см. в статьях " Общие сведения о сертификатах" и "Процедуры сертификатов".

Этот монитор предназначен для ядра СУБД SQL Server на Windows и Linux и проверяет период действия сертификата в днях и требования к сертификату.

Внимание

SQL Server не запускается, если сертификат существует в хранилище компьютеров, но соответствует только некоторым требованиям в приведенном выше списке и если он настроен вручную для использования диспетчер конфигурации SQL Server или с помощью записей реестра (только для SQL Server в Windows). Выберите другой сертификат, который соответствует всем требованиям или удалите сертификат, используемый SQL Server, пока не сможете подготовить сертификат, соответствующий требованиям. Дополнительные сведения см. в статье о настройке SQL Server для шифрования .

В следующей таблице определяются параметры переопределения мониторинга и уточняются требования к валидации сертификата для SQL Server.

Изменить имя Описание
Дополнительные имена узлов для проверки По умолчанию монитор проверяет, содержит ли сертификат имя основного ядра СУБД. Это переопределение позволяет выполнять проверку списка, разделенного запятыми, дополнительных имен узлов, таких как DNS-имя прослушивателя AlwaysOn, DNS-псевдоним хост-машины, виртуальное имя FCI и т. д.
Сертификат должен быть настроен (только для SQL Server в Windows) Если значение true, монитор изменяет состояние на критическое, если ядро СУБД не имеет явно настроенного сертификата.
Пропустить проверку "Ненадежный корень" Если значение true, монитор будет игнорировать, что сертификат не находится в доверенных корневых центрах сертификации. Если они размещены, эти сертификаты являются доверенными операционной системой и могут использоваться приложениями в качестве ссылки, для которых иерархии инфраструктуры открытых ключей (PKI) и цифровые сертификаты являются надежными.
Установите флаг "ИгнорироватьНеизвестноеАннулированиеУдостоверяющегоЦентра" Игнорируйте, что отзыв центра сертификации неизвестен при определении проверки сертификата.
Установка флага IgnoreCtlNotTimeValid Игнорируйте, что список доверия сертификатов (CTL) недействителен, например, если срок действия CTL истек, при определении проверки сертификата.
Установка флага "IgnoreCtlSignerRevocationUnknown" Игнорируйте, что неизвестен отзыв подписи списка доверия сертификатов (CTL) при проверке сертификата.
Установить флаг IgnoreEndRevocationUnknown Игнорируйте, что отзыв конечного сертификата (сертификат пользователя) неизвестен при определении проверки сертификата.
Установка флага IgnoreInvalidBasicConstraints Игнорируйте, что основные ограничения не действительны при проверке сертификата.
Установка флага IgnoreInvalidPolicy Игнорируйте недействительную политику сертификата при проверке сертификата.
Установите флаг IgnoreNotTimeNested Игнорируйте несоответствие сроков действия сертификата ЦС (центра сертификации) и выданного сертификата в процессе проверки сертификата. Например, сертификат центра сертификации (ЦС) может действовать с 1 января по 1 декабря, а выданный сертификат — со 2 января по 2 декабря, что значит, что сроки их действия не пересекаются.
Установить флаг "IgnoreNotTimeValid" Игнорировать сертификаты в цепочке, которые не считаются действительными, либо потому что истек срок действия, либо они еще не вступили в силу при определении действительности сертификата.
Установите флаг IgnoreRootRevocationUnknown Игнорируйте, что корневой отзыв неизвестен при определении проверки сертификата.
Установить флаг "IgnoreWrongUsage" Игнорируйте, что сертификат не был выдан для текущего использования при определении проверки сертификата.
Пропустить проверку "Имя узла" Если значение true, монитор пропустит проверку того, что сертификат содержит определенные имена узлов.
Пропустить проверку использования ключа для аутентификации сервера Если задано значение true, монитор пропустит требование серверного сертификата аутентификации о присутствии расширения использования ключа «Серверная аутентификация». Некоторые реализации драйвера подключения могут не проверять существование этого расширения, и они могут рассматривать сертификат допустимым даже без расширения.
Пропустить проверку отзыва Если параметр установлен в true, монитор будет игнорировать все проблемы, связанные с отзывом.

Мониторинг состояния резервного копирования сертификатов прозрачного шифрования данных (TDE)

Пакет управления для SQL Server предоставляет монитор, который может проверить, что сертификат, используемый для шифрования ключа шифрования базы данных, не был сохранен.

Прозрачное шифрование данных (TDE) шифрует хранилище всей базы данных с помощью симметричного ключа, называемого ключом шифрования базы данных. Ключ шифрования базы данных можно также защитить с помощью сертификата, защищенного главным ключом базы данных master. TDE осуществляет шифрование и дешифрование ввода-вывода данных и журналов в реальном времени. Шифрование использует ключ шифрования базы данных (DEK). Загрузочная запись базы данных хранит ключ для доступности во время восстановления. DEK — это симметричный ключ и защищенный сертификатом, который хранит основная база данных сервера или асимметричный ключ, защищенный модулем EKM. Функция прозрачного шифрования данных защищает неактивные данные, то есть файлы данных и журналы. Благодаря ей обеспечивается соответствие требованиям различных законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения. Дополнительные сведения см. в статьях о лучших методах обеспечения безопасности SQL Server и о прозрачном шифровании данных (TDE).

Примечание.

TDE недоступна для системных баз данных. Его нельзя использовать для шифрования master, модели или msdb. tempdb автоматически шифруется, если пользовательская база данных включена TDE, но не может быть зашифрована напрямую.

Мониторинг длительных запросов

Пакет управления для SQL Server предоставляет правило, которое может вызвать оповещение, если время выполнения любого из выполняемых запросов SQL превысило указанное пороговое значение (в секундах).

Правило поддерживает кастомизацию фильтров оповещений со следующими переопределениями:

  • Список исключений приложений — исключение запроса с именем приложения
  • Список исключений базы данных — для исключения запроса с именем базы данных
  • Список исключений запросов — для исключения запроса с пользовательским текстом запроса

Эти переопределения поддерживают подстановочные знаки и могут использоваться для исключения длительных запросов с именем приложения, именем базы данных или текстом запроса с разделенными запятыми значениями. Например, используйте условия, такие как *test, чтобы исключить запросы, заканчивающиеся на _test, или Test*, чтобы исключить запросы, начинающиеся с Test, или условие *test*, чтобы исключить запросы с записью test в любой части текста запроса.

Если элемент должен содержать звездочку (*), которая не является подстановочным знаком, двойной кавычкой ("), или обратной косой чертой (\), элемент должен быть экранирован обратной косой чертой \. Например, используйте условия, такие как Query\*3, чтобы исключить запросы, содержащие Query*3 в тексте запроса, или условия, подобные \\path\\to\\, чтобы исключить запросы с \path\to\ в тексте запроса, или условие "GO, WITH", чтобы исключить запросы, имеющие запись "GO, WITH" с запятой внутри текста запроса. Переопределения с списками исключений можно использовать одновременно.

В следующей таблице определены подстановочные знаки, которые можно использовать в выражениях:

Персонаж Описание Пример
? Соответствует любому отдельному символу. Вы можете использовать вопросительный знак (?) в любом месте в строке символов. Quer? находит Query, Quer1, Quer_, Quer?, Quer*, но не Query1 или Queries.
* Соответствует любому количеству символов. Звездочка (*) можно использовать в любой точке символьной строки. DB* находит DBs, DB1, DB2, DB_prod, но не 1DB или Database. *База данных находит 1DB, _DB, test-DB, но не 1DB_prod или D_Base. *DB* находит cloudDB_1, DBtest, 3DB, но не prod_D_B или базы данных.
" Соответствует любому числу символов в двойных кавычках. Двойные кавычки ("") можно использовать в любом месте в строке символов. Если строка содержит запятую, она должна быть в кавычках. "Экземпляр, база данных" находит строку "Экземпляр, база данных" с запятой внутри, но не находит строку "Экземпляр" отдельно и строку "База данных" отдельно. "Запрос с начальными и конечными пробелами" находит запись со всеми пробелами, включенными в двойные кавычки.

В следующей таблице определены escape-шаблоны, которые можно использовать в выражениях:

Персонаж Описание Пример
\* Не подстановочный знак. Экранирует звездочку (*) в любом месте в строке символов. dbname\* находит dbname*, но не dbname1, dbname_prod, dbnames.
\" Не подстановочный знак. Экранирует двойные кавычки (") в любом месте в строке символов. запрос \"example\" находит запрос "example", но не запрос\, пример запроса или "пример".
\\ Не подстановочный знак. Экранирует обратную косую черту (\) в любом месте в строке символов. C:\\Path\\to\\ находит C:\Path\to\, но не C:\, Path\\to.

Примечание.

Это правило не предоставляет тексты выполнения запросов из-за причин безопасности.