Uso de auditoría para analizar los registros de auditoría y los informes
Se aplica a: Azure SQL Database Azure Synapse Analytics
En este artículo se proporciona información general sobre el análisis de registros de auditoría mediante auditoría para Azure SQL Database y Azure Synapse Analytics. Puede usar auditoría para analizar los registros de auditoría almacenados en:
- Log Analytics
- Event Hubs
- Almacenamiento de Azure
Análisis de registros mediante Log Analytics
Si decide escribir los registros de auditoría en Log Analytics:
Usar Azure Portal.
Vaya al recurso de base de datos correspondiente.
En la parte superior de la página Auditoría de la base de datos, seleccione Ver registros de auditoría.
Dispone de dos formas de ver los registros:
Al seleccionar Log Analytics en la parte superior de la página Registros de auditoría, se abrirá la vista de registros en el área de trabajo de Log Analytics, donde puede personalizar el intervalo de tiempo y la consulta de búsqueda.
Al seleccionar Ver panel en la parte superior de la página Registros de auditoría, se abrirá un panel con información sobre los registros de auditoría, donde puede explorar en profundidad la información de seguridad o el acceso a datos confidenciales, etc. Este panel se ha diseñado para ayudarle a obtener información de seguridad para sus datos. También puede personalizar el intervalo de tiempo y la consulta de búsqueda.
Como alternativa, también puede acceder a los registros de auditoría desde el menú Log Analytics. Abra el área de trabajo de Log Analytics y, en la sección General, seleccione Registros. Puede comenzar con una consulta simple, como: buscar "SQLSecurityAuditEvents" para ver los registros de auditoría. Desde aquí, también puede usar los registros de Azure Monitor para ejecutar búsquedas avanzadas en los datos de registro de auditoría. Los registros de Azure Monitor proporcionan conclusiones operativas en tiempo real gracias a uso de paneles personalizados y de búsqueda integrados para analizar fácilmente millones de registros en todas las cargas de trabajo y servidores. Para obtener información útil adicional sobre los comandos y el lenguaje de búsqueda de registros de Azure Monitor, consulte la referencia de búsqueda de registros de Azure Monitor.
Análisis de registros mediante Event Hubs
Si eligió escribir registros de auditoría en Event Hubs:
- Para consumir datos de registros de auditoría desde Event Hubs, debe configurar una secuencia que consuma eventos y los escriba en un destino. Para más información, consulte la documentación de Azure Event Hubs.
- Los registros de auditoría de Event Hubs se capturan en el cuerpo de los eventos de Apache Avro y se almacenan con el formato JSON con codificación UTF-8. Para leer los registros de auditoría, puede usar Avro Tools, flujos de eventos de Microsoft Fabric o herramientas similares que procesen este formato.
Análisis de registros mediante los registros de una cuenta de almacenamiento de Azure
Si eligió escribir los registros de auditoría en una cuenta de almacenamiento de Azure, hay varios métodos que puede usar para ver los registros:
Los registros de auditoría se agregan a la cuenta que eligió durante la configuración. Puede explorar los registros de auditoría con una herramienta como el Explorador de Azure Storage. En Azure Storage, los registros de auditoría se guardan como una colección de archivos de blob dentro de un contenedor llamado sqldbauditlogs. Para más información sobre la jerarquía de las carpetas de almacenamiento, las convenciones de nomenclatura y el formato del registro, consulte el artículo sobre el formato del registro de auditoría de SQL Database.
Usar Azure Portal.
Abra el recurso de base de datos correspondiente.
En la parte superior de la página Auditoría de la base de datos, seleccione Ver registros de auditoría.
Se abre la página Registros de auditoría y puede ver los registros.
Puede elegir ver fechas específicas si selecciona Filtrar en la parte superior de la página Registros de auditoría.
Puede cambiar entre los registros de auditoría que se crearon con la directiva de auditoría de servidor y la directiva de auditoría de base de datos alternando Origen de auditoría.
Use la función del sistema
sys.fn_get_audit_file
(T-SQL) para devolver los datos de registro de auditoría en formato tabular. Para más información sobre el uso de esta función, consulte sys.fn_get_audit_file.Use Combinar archivos de auditoría en SQL Server Management Studio (a partir de SSMS 17):
En el menú SSMS, seleccione Archivo>Abrir>Combinar archivos de auditoría.
Se abre el cuadro de diálogo Agregar archivos de auditoría. Seleccione una de las opciones Agregar para elegir si quiere combinar los archivos de auditoría desde un disco local o importarlos desde Azure Storage. Debe proporcionar los detalles de Azure Storage y la clave de cuenta.
Una vez agregados todos los archivos que se van a combinar, seleccione Aceptar para completar la operación de combinación.
El archivo combinado se abre en SSMS, donde puede verlo y analizarlo, y también exportarlo a un archivo XEL o CSV, o a una tabla.
Use Power BI. Puede ver y analizar los datos de registro de auditoría en Power BI. Para obtener más información y para acceder a una plantilla que se puede descargar, consulte el análisis de datos de registro de auditoría en Power BI.
Descargue los archivos de registro del contenedor de blobs de Azure Storage mediante el portal o con una herramienta como el Explorador de Azure Storage.
- Después de descargar localmente un archivo de registro, haga doble clic en él para abrir, ver y analizar los registros en SSMS.
- También puede descargar varios archivos al mismo tiempo en el Explorador de Azure Storage. Para ello, haga clic con el botón derecho en una subcarpeta específica y seleccione Guardar como para guardarlos en una carpeta local.
Más métodos:
- Después de descargar varios archivos o una subcarpeta que contenga archivos de registro, puede combinarlos localmente como se describe en las instrucciones anteriores para combinar archivos de auditoría de SSMS.
- Ver los registros de auditoría de blobs mediante programación: Consulta de archivos de eventos extendidos mediante PowerShell.