Audit SQL Server dans Azure SQL Managed Instance

Applies to :Azure SQL Managed Instance

Vous pouvez configurer SQL Server Audit dans Azure SQL Managed Instance.

  • L’audit peut vous aider à respecter une conformité réglementaire, à comprendre l’activité de la base de données ainsi qu’à découvrir des discordances et anomalies susceptibles d’indiquer des problèmes pour l’entreprise ou des violations de la sécurité.
  • L’audit permet et facilite l’adhésion aux normes de conformité, même s’il ne garantit pas la conformité. Pour plus d’informations, consultez le centre de gestion de la confidentialité Microsoft Azure où vous trouverez la liste la plus actuelle des certifications de conformité SQL Managed Instance.

Pour commencer à configurer SQL Server Audit dans Azure SQL Managed Instance, consultez Commencez avec l'audit d'Azure SQL Managed Instance.

Optimisation des performances

L’audit de Azure SQL Managed Instance est optimisé pour la disponibilité et les performances. Pendant une activité élevée ou une charge réseau élevée, Azure SQL Managed Instance permet aux opérations de continuer et peut ne pas enregistrer certains événements audités.

Auditer les opérations de Support Microsoft

L'audit des opérations de Support Microsoft pour SQL Managed Instance vous permet d'auditer les opérations des ingénieurs Microsoft support lorsqu'ils doivent accéder à votre serveur lors d'une demande de support. L’utilisation de cette fonctionnalité, ainsi que votre audit, permet une plus grande transparence pour votre personnel, ainsi que la détection des anomalies, la visualisation des tendances et la protection contre la perte de données.

Pour activer l’audit des opérations de Support Microsoft, accédez à Create Audit sous Security>Audit dans votre instance managée SQL, puis sélectionnez Microsoft support opérations.

Capture d'écran de SQL Server Management Studio affichant la case à cocher des opérations de support Microsoft.

Note

Vous devez créer un audit de serveur distinct pour l'audit des opérations Microsoft. Si vous activez cette case à cocher pour un audit existant, elle remplace l’audit et enregistre uniquement les opérations de support.

Opérations internes dans Azure SQL Managed Instance

Dans Azure SQL Database et Azure SQL Managed Instance, les événements initiés par SQLDBControlPlaneFirstPartyApp sont une fonction de Azure interne du plan de contrôle Azure SQL Database. Les événements initiés par SQLDBControlPlaneFirstPartyApp font partie d’une opération de synchronisation interne entre le moteur SQL et Azure Resource Manager. Ces événements font normalement partie de la gestion des ressources et sont nécessaires pour une représentation et une opération de ressources correctes dans Azure.

Auditer les différences entre les bases de données dans Azure SQL Managed Instance et les bases de données dans SQL Server

Les principales différences entre l’audit dans les bases de données dans Azure SQL Managed Instance et les bases de données dans SQL Server sont les suivantes :

  • Avec Azure SQL Managed Instance, l’audit fonctionne au niveau du serveur et stocke les fichiers journaux .xel dans le compte Stockage Blob Azure.
  • Dans SQL Server, l’audit fonctionne au niveau du serveur, mais stocke les événements dans le système de fichiers et Windows journaux des événements.

L’audit XEvent dans les instances managées prend en charge les cibles de stockage Blob Azure. Les journaux du système de fichiers et de Windows ne sont pas pris en charge.

Les principales différences de syntaxe CREATE AUDIT pour l’audit du Stockage Blob Azure sont :

  • Une nouvelle syntaxe TO URL est fournie et vous permet de spécifier l’URL du conteneur de stockage Blob Azure où les fichiers .xel sont placés.
  • Une nouvelle syntaxe TO EXTERNAL MONITOR est fournie pour activer les cibles de journaux Azure Monitor et Event Hub.
  • La syntaxe TO FILE est not prise en charge car Azure SQL Managed Instance ne peut pas accéder aux partages de fichiers Windows.
  • L’option d’arrêt n’est pas prise en charge.
  • La valeur 0 du paramètre queue_delay n’est pas prise en charge.

Permissions

Pour configurer l’audit, vous avez besoin d’autorisations de base de données dans l’instance managée SQL, et vous avez également besoin d’autorisations pour les ressources Azure utilisées pour le stockage et l’accès aux journaux d’audit.

Pour configurer l’audit d’instance managée SQL, vous devez suivre les autorisations de base de données suivantes :

Autorisations de base de données Configurer l’audit Afficher les journaux d’audit à l’aide de T-SQL
VIEW DATABASE SECURITY AUDIT Non Oui
ALTER ANY DATABASE AUDIT Oui Non
CONTROL DATABASE Oui Oui

Pour configurer l’audit sur le stockage Azure, vous avez besoin du rôle de contributeur de données blob de Storage sur le compte de stockage ou d'autorisations supérieures. Pour configurer l’audit sur Event Hubs ou Log Analytics, vous avez besoin du rôle Contributeur de surveillance ou des autorisations supérieures sur le groupe de ressources où Event Hubs ou Log Analytics espace de travail est approvisionné.

Tests de connectivité interne automatiques

Une fois l’audit activé, vous remarquerez peut-être que Azure SQL Managed Instance exécute des tests de connectivité internes automatiques pour surveiller la fiabilité du service et accélérer la détection des problèmes. Ces tests s’exécutent toutes les 10 secondes à partir d’adresses IP internes au sein du sous-réseau de l’instance managée SQL et ont un impact négligeable sur le débit réseau et les performances du service. Un test valide la connectivité de bout en bout en tentant une connexion avec des informations d’identification connues pour échouer (AzureSQLConnectivityChecker), ce qui génère des entrées de connexion ayant échoué attendues dans les journaux d’audit, les événements étendus et les journaux d’erreurs SQL. Ces entrées sont normales et n’indiquent pas de problème de sécurité. Pour plus d’informations, notamment sur la façon d’identifier les signatures de test dans vos journaux d’activité, consultez Tests de connectivité interne automatiques.

Étape suivante