Sdílet prostřednictvím

Analýza protokolů auditu a sestav pomocí auditování

  • Článek

Platí pro: Azure SQL Database Azure Synapse Analytics

Tento článek obsahuje přehled analýzy protokolů auditu pomocí auditování pro Azure SQL Database a Azure Synapse Analytics. Auditování můžete použít k analýze protokolů auditu uložených v:

  • Log Analytics
  • Event Hubs
  • Úložiště Azure

Analýza protokolů pomocí Log Analytics

Pokud jste se rozhodli zapisovat protokoly auditu do Log Analytics:

  1. Použijte Azure Portal.

  2. Přejděte k příslušnému databázovému prostředku.

  3. V horní části stránky Auditování databáze vyberte Zobrazit protokoly auditu.

    Snímek obrazovky s nabídkou Auditování na webu Azure Portal, kde můžete vybrat možnost Zobrazit protokoly auditu

Protokoly můžete zobrazit dvěma způsoby:

  • Výběrem Log Analytics v horní části stránky Záznamy auditu se otevře zobrazení protokolů v pracovním prostoru služby Log Analytics, kde můžete přizpůsobit časový rozsah a vyhledávací dotaz.

    Snímek obrazovky s výběrem Log Analytics v nabídce Záznamy auditu na webu Azure Portal

  • Výběrem řídicího panelu Zobrazit v horní části stránky Záznamy auditu se otevře řídicí panel zobrazující informace o protokolech auditu, kde můžete přejít k podrobnostem o přehledech zabezpečení nebo přístupu k citlivým datům. Tento řídicí panel je navržený tak, aby vám pomohl získat přehledy zabezpečení pro vaše data. Můžete také přizpůsobit časový rozsah a vyhledávací dotaz.

    Snímek obrazovky s výběrem řídicího panelu zobrazení v nabídce Audit záznamů na webu Azure Portal

    Snímek obrazovky řídicího panelu Auditování

  • Případně můžete k protokolům auditu přistupovat také z nabídky Log Analytics . Otevřete pracovní prostor služby Log Analytics a v části Obecné vyberte Protokoly. Můžete začít jednoduchým dotazem, například pomocí vyhledávání SQLSecurityAuditEvents a zobrazit protokoly auditu. Odtud můžete také pomocí protokolů služby Azure Monitor spouštět rozšířené vyhledávání v datech protokolu auditu. Protokoly služby Azure Monitor poskytují přehledy o provozu v reálném čase pomocí integrovaného vyhledávání a vlastních řídicích panelů k snadné analýze milionů záznamů napříč všemi úlohami a servery. Další užitečné informace o hledaném jazyce a příkazech protokolů služby Azure Monitor najdete v referenčních informacích k prohledávání protokolů služby Azure Monitor.

Analýza protokolů pomocí služby Event Hubs

Pokud jste se rozhodli zapisovat protokoly auditu do služby Event Hubs:

  • Pokud chcete využívat data protokolů auditu ze služby Event Hubs, musíte nastavit datový proud, který bude využívat události a zapisovat je do cíle. Další informace najdete v dokumentaci ke službě Azure Event Hubs.
  • Protokoly auditu ve službě Event Hubs se zaznamenávají v těle událostí Apache Avro a ukládají se pomocí formátování JSON s kódováním UTF-8. Ke čtení protokolů auditu můžete použít nástroje Avro, streamy událostí Microsoft Fabric nebo podobné nástroje, které tento formát zpracovávají.

Analýza protokolů pomocí protokolů v účtu úložiště Azure

Pokud jste se rozhodli zapisovat protokoly auditu do účtu úložiště Azure, můžete k zobrazení protokolů použít několik metod:

  • Protokoly auditu se agregují v účtu, který jste zvolili během instalace. Protokoly auditu můžete prozkoumat pomocí nástroje, jako je Průzkumník služby Azure Storage. V úložišti Azure se protokoly auditování ukládají jako kolekce souborů objektů blob v kontejneru s názvem sqldbauditlogs. Další informace o hierarchii složek úložiště, konvencích vytváření názvů a formátu protokolu najdete ve formátu protokolu auditování služby SQL Database.

    1. Použijte Azure Portal.

    2. Otevřete příslušný databázový prostředek.

    3. V horní části stránky Auditování databáze vyberte Zobrazit protokoly auditu.

      Snímek obrazovky znázorňující, jak zobrazit protokoly auditu

      Otevře se stránka Záznamy auditu a můžete zobrazit protokoly.

    4. Konkrétní data můžete zobrazit tak, že v horní části stránky Záznamy auditu vyberete Filtr.

    5. Přepnutím zdroje auditu můžete přepínat mezi záznamy auditu vytvořenými zásadami auditu serveru a zásadami auditu databáze.

      Snímek obrazovky znázorňující možnosti zobrazení záznamů auditu

  • Pomocí systémové funkce sys.fn_get_audit_file (T-SQL) vrátíte data protokolu auditu v tabulkovém formátu. Další informace o použití této funkce najdete v tématu sys.fn_get_audit_file.

  • Použití slučovacích souborů auditu v APLIKACI SQL Server Management Studio (počínaje aplikací SSMS 17):

    1. V nabídce SSMS vyberte Soubor>otevřít>slučovací soubory auditování.

      Snímek obrazovky s možností nabídky Sloučit soubory auditu

    2. Otevře se dialogové okno Přidat soubory auditu. Vyberte jednu z možností Přidat a zvolte, jestli chcete sloučit soubory auditu z místního disku nebo je importovat ze služby Azure Storage. Musíte zadat podrobnosti o službě Azure Storage a klíč účtu.

    3. Po přidání všech souborů ke sloučení vyberte OK a dokončete operaci sloučení.

    4. Sloučený soubor se otevře v aplikaci SSMS, kde ho můžete zobrazit a analyzovat a exportovat do souboru XEL nebo CSV nebo do tabulky.

  • Použijte Power BI. Data protokolu auditu můžete zobrazit a analyzovat v Power BI. Další informace a přístup k šabloně ke stažení najdete v tématu Analýza dat protokolu auditu v Power BI.

  • Soubory protokolu si můžete stáhnout z kontejneru objektů blob služby Azure Storage prostřednictvím portálu nebo pomocí nástroje, jako je například Průzkumník služby Azure Storage.

    • Po místním stažení souboru protokolu poklikáním na soubor otevřete, zobrazte a analyzujte protokoly v nástroji SSMS.
    • V Průzkumník služby Azure Storage můžete také stáhnout více souborů současně. Uděláte to tak, že kliknete pravým tlačítkem myši na konkrétní podsložku a vyberete Uložit jako , aby se uložila do místní složky.

  • Další metody:

    • Po stažení několika souborů nebo podsložek, které obsahují soubory protokolu, je můžete sloučit místně, jak je popsáno v pokynech ke sloučení souborů auditu SSMS popsané výše.
    • Zobrazení protokolů auditování objektů blob prostřednictvím kódu programu: Dotazování souborů rozšířených událostí pomocí PowerShellu

Viz také