Eksplorowanie inspekcji serwera i bazy danych
Azure SQL inspekcja śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, obszarze roboczym usługi Log Analytics lub usłudze Event Hubs. Ponadto umożliwia utrzymanie zgodności z przepisami, analizowanie wzorców działań i identyfikowanie odchyleń, które mogą wskazywać na naruszenia zabezpieczeń.
Można zdefiniować zasady na poziomie serwera i na poziomie bazy danych. Zasady serwera automatycznie obejmują nowe i istniejące bazy danych na platformie Azure.
- Jeśli inspekcja serwera jest włączona, baza danych zostanie przeprowadź inspekcję niezależnie od ustawień inspekcji bazy danych.
- Oprócz włączania inspekcji na serwerze można ją również włączyć w bazie danych. Pozwala to na jednoczesne istnienie obu inspekcji; zasady serwera i zasady bazy danych.
Najlepiej nie włączyć zarówno inspekcji serwera, jak i inspekcji bazy danych, chyba że:
- Dla określonej bazy danych jest używane inne konto magazynu, okres przechowywania lub obszar roboczy usługi Log Analytics .
- Wymagana jest inspekcja dla określonej bazy danych, która różni się od pozostałej bazy danych na serwerze, na przykład różnych typów zdarzeń lub kategorii.
W przypadku wszystkich pozostałych przypadków zalecamy włączenie tylko inspekcji na poziomie serwera i wyłączenie inspekcji na poziomie bazy danych dla wszystkich baz danych.
Domyślne zasady inspekcji dla SQL Database obejmują następujący zestaw grup akcji:
| Grupa akcji | Definicja |
|---|---|
| BATCH_COMPLETED_GROUP | Przeprowadza inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych. |
| SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Oznacza to, że podmiot zabezpieczeń pomyślnie zaloguje się do bazy danych. |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Oznacza to, że podmiot zabezpieczeń nie może zalogować się do bazy danych. |
Aby włączyć inspekcję dla wszystkich baz danych na serwerze Azure SQL, wybierz pozycję Inspekcja w sekcji Zabezpieczenia w bloku głównym serwera.
Na stronie Inspekcja można ustawić miejsce docelowe dziennika inspekcji, a także wybrać, czy należy śledzić operacje inżyniera pomocy technicznej firmy Microsoft w tym samym miejscu docelowym dziennika co Azure SQL Inspekcja lub wybrać inną.
Dzienniki inspekcji operacji pomoc techniczna firmy Microsoft można przejrzeć w obszarze roboczym usługi Log Analytics, uruchamiając następujące zapytanie:
AzureDiagnostics
| where Category == "DevOpsOperationsAudit"
Usługi inspekcji dla SQL Database i SQL Managed Instance są zoptymalizowane pod kątem dostępności i wydajności. SQL Database i SQL Managed Instance mogą nie rejestrować niektórych zdarzeń inspekcji, gdy występuje wysoki współczynnik aktywności lub wysokie obciążenie sieci.
Uwaga
Inspekcja replik Read-Only jest automatycznie włączona.
Inspekcja etykiet poufnych
W połączeniu z klasyfikacją danych można również monitorować dostęp do poufnych danych. Azure SQL Inspekcja została rozszerzona, aby uwzględnić nowe pole w dzienniku inspekcji o nazwie data_sensitivity_information.
Rejestrując etykiety poufności danych zwracanych przez zapytanie, to pole zapewnia łatwiejszy sposób śledzenia dostępu do kolumn sklasyfikowanych.
Inspekcja składa się z śledzenia i rejestrowania zdarzeń występujących w a aparatze bazy danych. Azure SQL inspekcja upraszcza kroki konfiguracji wymagane do jej włączenia, co ułatwia śledzenie działań bazy danych dla SQL Database i SQL Managed Instance.