Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:Azure SQL Managed Instance
W Azure SQL Managed Instance można skonfigurować SQL Server Audit.
- Inspekcja pomaga zachować zgodność z przepisami, analizować aktywność bazy danych oraz uzyskać wgląd w odchylenia i anomalie, które mogą oznaczać problemy biznesowe lub podejrzane naruszenia zabezpieczeń.
- Inspekcja umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności. Aby uzyskać więcej informacji, zobacz Microsoft Azure Trust Center gdzie można znaleźć najbardziej aktualną listę certyfikatów zgodności SQL Managed Instance.
Aby rozpocząć konfigurowanie inspekcji SQL Server w Azure SQL Managed Instance, zobacz Rozpoczynanie inspekcji w Azure SQL Managed Instance.
Optymalizacja wydajności
Inspekcja Azure SQL Managed Instance jest zoptymalizowana pod kątem dostępności i wydajności. Podczas wysokiej aktywności lub dużego obciążenia sieciowego Azure SQL Managed Instance umożliwia kontynuowanie operacji i może nie rejestrować niektórych zdarzeń inspekcji.
Przeprowadzanie inspekcji operacji pomoc techniczna firmy Microsoft
Inspekcja operacji pomoc techniczna firmy Microsoft dla SQL Managed Instance umożliwia inspekcję operacji inżynierów Microsoft support, gdy muszą uzyskać dostęp do serwera podczas żądania pomocy technicznej. Korzystanie z tej funkcji, wraz z audytem, zapewnia większą przejrzystość działania zespołu i umożliwia wykrywanie anomalii, wizualizację trendów i zapobieganie utracie danych.
Aby włączyć inspekcję operacji wsparcia Microsoftu, przejdź do Utwórz inspekcję w sekcji Security>Audit w wystąpieniu zarządzanym SQL i wybierz operacje wsparcia Microsoftu.
Uwaga / Notatka
Należy utworzyć oddzielną inspekcję serwera na potrzeby inspekcji operacji Microsoft. Jeśli włączysz to pole wyboru dla istniejącej inspekcji, spowoduje to zastąpienie inspekcji i zapisanie tylko operacji wsparcia.
Operacje wewnętrzne w Azure SQL Managed Instance
W Azure SQL Database i Azure SQL Managed Instance zdarzenia inicjowane przez SQLDBControlPlaneFirstPartyApp są funkcją wewnętrzną warstwy kontrolnej Azure SQL Database. Zdarzenia inicjowane przez SQLDBControlPlaneFirstPartyApp są częścią wewnętrznej operacji synchronizacji między aparatem SQL a Azure Resource Manager. Te zdarzenia są normalną częścią zarządzania zasobami i są wymagane do prawidłowej reprezentacji zasobów i operacji w Azure.
Inspekcja różnic między bazami danych w Azure SQL Managed Instance i bazach danych w SQL Server
Najważniejsze różnice między inspekcją w bazach danych w Azure SQL Managed Instance a bazami danych w SQL Server to:
- W przypadku Azure SQL Managed Instance inspekcja działa na poziomie serwera i przechowuje pliki dziennika
.xelw usłudze Azure Blob Storage. - W SQL Server audyt działa na poziomie serwera, ale przechowuje zdarzenia w systemie plików oraz w dziennikach zdarzeń Windows.
Inspekcje XEvent w wystąpieniach zarządzanych obsługują docelowe lokalizacje Azure Blob Storage. Dzienniki plików i Windows są nieobsługiwane.
Kluczowe różnice w składni CREATE AUDIT audytowania w usłudze Azure Blob Storage są następujące:
- Podano nową składnię
TO URLi umożliwia określenie adresu URL kontenera usługi Azure Blob Storage, w którym są umieszczane pliki.xel. - Udostępniono nową składnię
TO EXTERNAL MONITORw celu włączenia docelowych obiektów dziennika Event Hubs i Azure Monitor. - Składnia
TO FILEjest nieobsługiwana, ponieważ Azure SQL Managed Instance nie może uzyskać dostępu do zasobów plików Windows. - Opcja zamykania nie jest obsługiwana.
-
queue_delaywartość 0 nie jest obsługiwana.
uprawnienia
Do skonfigurowania inspekcji potrzebne są uprawnienia bazy danych w wystąpieniu zarządzanym SQL, a także uprawnienia do zasobów Azure używanych do przechowywania dzienników inspekcji i uzyskiwania do ich dostępu.
Aby skonfigurować audyt wystąpienia zarządzanego SQL, należy posiadać następujące uprawnienia do bazy danych:
| Uprawnienia bazy danych | Konfigurowanie inspekcji | Wyświetlanie dzienników inspekcji przy użyciu języka T-SQL |
|---|---|---|
VIEW DATABASE SECURITY AUDIT |
Nie. | Yes |
ALTER ANY DATABASE AUDIT |
Yes | Nie. |
CONTROL DATABASE |
Yes | Yes |
Aby skonfigurować inspekcję do magazynu Azure, potrzebujesz współautora danych obiektów blob magazynu na koncie magazynu lub wyższych uprawnień. Aby skonfigurować inspekcję w usłudze Event Hubs lub Log Analytics, musisz mieć rolę Współautor monitorowania lub wyższe uprawnienia w grupie zasobów, w której aprowizowana jest usługa Event Hubs lub obszar roboczy Log Analytics.
Automatyczne testy łączności wewnętrznej
Po włączeniu inspekcji można zauważyć, że Azure SQL Managed Instance uruchamia automatyczne wewnętrzne testy łączności w celu monitorowania niezawodności usługi i przyspieszania wykrywania problemów. Testy te są wykonywane co 10 sekund z wewnętrznych adresów IP w obrębie podsieci wystąpienia zarządzanego SQL i mają pomijalny wpływ na przepustowość sieci i wydajność usługi. Jeden test weryfikuje łączność typu end-to-end, próbując zalogować się przy użyciu poświadczeń, o których wiadomo, że spowodują niepowodzenie logowania (AzureSQLConnectivityChecker), co generuje oczekiwane wpisy o nieudanych próbach logowania w dziennikach audytu, zdarzeniach rozszerzonych i dziennikach błędów SQL. Te wpisy są normalne i nie wskazują problemu z zabezpieczeniami. Aby uzyskać więcej informacji, w tym sposób identyfikowania podpisów testowych w dziennikach, zobacz Automatyczne testy łączności wewnętrznej.