다음을 통해 공유

감사를 사용하여 감사 로그 및 보고서 분석하기

  • 아티클

적용 대상: Azure SQL 데이터베이스 Azure Synapse Analytics

이 문서에서는 Azure SQL 데이터베이스Azure Synapse Analytics에 대한 감사를 사용하여 감사 로그를 분석하는 것에 대한 개요를 제공합니다. 감사를 사용하여 다음 위치에 저장된 감사 로그를 분석할 수 있습니다.

  • Log Analytics
  • Event Hubs
  • Azure Storage

Log Analytics를 사용하여 로그 분석하기

Log Analytics에 감사 로그를 작성하도록 선택한 경우:

  1. Azure Portal 사용

  2. 관련 데이터베이스 리소스로 이동합니다.

  3. 데이터베이스의 감사 페이지 맨 위에서 감사 로그 보기를 선택합니다.

    감사 로그 보기 옵션을 선택할 수 있는 Azure Portal의 감사 메뉴 스크린샷.

로그는 두 가지 방법으로 확인할 수 있습니다.

  • 감사 레코드 페이지의 맨 위에서 Log Analytics를 클릭하면 시간 범위 및 검색 쿼리를 사용자 지정할 수 있는 Log Analytics 작업 영역에서 로그 보기가 열립니다.

    Azure Portal의 감사 기록 메뉴에서 로그 분석을 선택하는 스크린샷.

  • 감사 레코드 페이지의 맨 위에 있는 대시보드 보기를 클릭하면 감사 로그 정보를 표시하는 대시보드가 열립니다. 여기에서 보안 인사이트 또는 민감한 데이터 액세스를 드릴다운할 수 있습니다. 이 대시보드는 데이터에 대한 보안 인사이트를 얻는 데 도움이 되도록 설계되었습니다. 시간 범위 및 검색 쿼리를 사용자 지정할 수도 있습니다.

    Azure Portal의 감사 기록 메뉴에서 보기 대시보드를 선택하는 스크린샷.

    감사 대시보드의 스크린샷.

  • 또는 Log Analytics 메뉴에서 감사 로그에 액세스할 수도 있습니다. Log Analytics 작업 영역을 열고 일반 섹션 아래에서 로그를 클릭합니다. "SQLSecurityAuditEvents" 검색과 같은 간단한 쿼리를 시작하여 감사 로그를 볼 수 있습니다. 여기서 Azure Monitor 로그를 사용하여 감사 로그 데이터에서 고급 검색을 실행할 수도 있습니다. Azure Monitor 로그는 통합 검색 및 사용자 지정 대시보드를 사용하여 모든 워크로드 및 서버에서 수백만 개의 레코드를 쉽게 분석할 수 있는 실시간 운영 정보를 제공합니다. Azure Monitor 로그 검색 언어 및 명령에 대한 자세한 내용은 Azure Monitor 로그 검색 참고자료료를 참조하세요.

Event Hubs를 사용하여 로그 분석

Event Hubs에 감사 로그를 작성하도록 선택한 경우:

  • Event Hubs에서 감사 로그 데이터를 사용하려면 이벤트를 사용하고 대상에 작성하도록 스트림을 설정해야 합니다. 자세한 내용은 Azure Event Hubs 설명서를 참조하세요.
  • Event Hub의 감사 로그는 Apache Avro 이벤트의 본문에서 캡처되고 UTF-8 인코딩을 통해 JSON 형식을 사용하여 저장됩니다. 감사 로그를 읽으려면 Avro 도구, Microsoft Fabric 이벤트 스트림 또는 이 형식을 처리하는 유사한 도구를 사용할 수 있습니다.

Azure Storage 계정에서 로그를 사용하여 로그 분석하기

Azure Storage 계정에 감사 로그를 작성하도록 선택한 경우 로그를 보는 데 사용할 수 있는 여러 가지 방법이 있습니다.

  • 감사 로그는 설치 중에 선택한 계정에 집계됩니다. Azure Storage Explorer 등의 도구를 사용하여 감사 로그를 살펴볼 수 있습니다. Azure Storage에서 감사 로그는 sqldbauditlogs라는 컨테이너 내부에 Blob 파일의 컬렉션으로 저장됩니다. 스토리지 폴더의 계층 구조, 명명 규칙 및 로그 형식에 대한 자세한 내용은 SQL Database 감사 로그 형식을 참조하세요.

    1. Azure Portal 사용

    2. 관련 데이터베이스 리소스를 엽니다.

    3. 데이터베이스의 감사 페이지 맨 위에서 감사 로그 보기를 선택합니다.

      감사 로그를 보는 방법을 보여주는 스크린샷.

      감사 레코드 페이지를 열면 로그를 확인할 수 있습니다.

    4. 감사 레코드 페이지의 맨 위에서 필터를 클릭하여 특정 날짜를 볼 수 있습니다.

    5. 감사 원본을 전환하여 서버 감사 정책에서 생성된 감사 레코드와 데이터베이스 감사 정책에서 생성된 감사 레코드 간을 전환할 수 있습니다.

      감사 레코드를 표시하는 옵션을 보여 주는 스크린샷

  • 시스템 함수 sys.fn_get_audit_file(T-SQL)을 사용하여 테이블 형식의 감사 로그 데이터를 반환할 수 있습니다. 이 함수 사용에 대한 자세한 내용은 sys.fn_get_audit_file을 참조하세요.

  • SQL Server Management Studio에서 감사 파일 병합 사용(SSMS 17부터 지원):

    1. SSMS 메뉴에서 파일>열기>감사 파일 병합을 선택합니다.

      감사 파일 병합 메뉴 옵션을 보여 주는 스크린샷

    2. 감사 파일 추가 대화 상자가 열립니다. 추가 옵션 중 하나를 선택하여 로컬 디스크에서 감사 파일을 병합할지 또는 Azure Storage에서 감사 파일을 가져올지 선택합니다 Azure Storage 세부 정보 및 계정 키를 제공해야 합니다.

    3. 병합할 모든 파일을 추가했으면 확인을 클릭하여 병합 작업을 완료합니다.

    4. 병합된 파일이 SSMS에서 열립니다. 여기에서 파일을 보고 분석할 수 있을 뿐만 아니라 XEL 또는 CSV 파일이나 테이블로 내보낼 수 있습니다.

  • Power BI를 사용합니다. Power BI에서 감사 로그 데이터를 보고 분석할 수 있습니다. 자세한 내용을 확인하고 다운로드할 수 있는 템플릿에 액세스하려면 Power BI에서 감사 로그 데이터 분석을 참조하세요.

  • 포털을 통해 또는 Azure Storage Explorer와 같은 도구를 사용하여 Azure Storage Blob 컨테이너에서 로그 파일을 다운로드합니다.

    • 로그 파일을 로컬에 다운로드한 후에는 해당 파일을 두 번 클릭하여 열고, SSMS에서 로그를 살펴보고 분석합니다.
    • 또한 Azure Storage Explorer를 통해 동시에 여러 파일을 다운로드할 수 있습니다. 이렇게 하려면 특정 하위 폴더를 마우스 오른쪽 단추로 클릭하고 다른 이름으로 저장을 선택하여 로컬 폴더에 저장합니다.

  • 기타 방식:

    • 여러 파일 또는 로그 파일이 포함된 하위 폴더를 다운로드한 후 SSMS 감사 파일 병합 지침에 설명된 대로 파일을 로컬로 병합할 수 있습니다.
    • 프로그래밍 방식으로 Blob 감사 로그 보기: PowerShell을 사용하여 확장 이벤트 파일을 쿼리합니다.

참고 항목