Delen via

Controle gebruiken om auditlogboeken en -rapporten te analyseren

  • Artikel

van toepassing op:Azure SQL DatabaseAzure Synapse Analytics-

Dit artikel bevat een overzicht van het analyseren van auditlogboeken met behulp van Controle voor Azure SQL Database- en Azure Synapse Analytics-. U kunt Controle gebruiken om auditlogboeken te analyseren die zijn opgeslagen in:

  • Log Analytics
  • Event Hubs
  • Azure Storage

Logboeken analyseren met Log Analytics

Als u ervoor kiest om auditlogboeken naar Log Analytics te schrijven:

  1. Gebruik de Azure Portal.

  2. Ga naar de relevante gegevensbron.

  3. Selecteer bovenaan de pagina Controle van de database, Auditlogboeken weergeven.

    Schermopname van het menu Controle in Azure Portal, waar u de optie Auditlogboeken weergeven kunt selecteren.

U hebt twee manieren om de logboeken weer te geven:

  • Door Log Analytics bovenaan de pagina Auditrecords te selecteren, opent u de logboekweergave in de Log Analytics-werkruimte, waar u het tijdsbereik en de zoekquery kunt aanpassen.

    Schermopname van het selecteren van Log Analytics in het menu Audit-logboeken in de Azure-portal.

  • Wanneer u bovenaan de pagina Auditrecords de optie Dashboard bekijken selecteert, wordt een dashboard geopend dat informatie over auditlogboeken weergeeft, waarin u kunt inzoomen op Security Insights of Toegang tot gevoelige gegevens. Dit dashboard is ontworpen om u te helpen bij het verkrijgen van beveiligingsinzichten voor uw gegevens. U kunt ook het tijdsbereik en de zoekquery aanpassen.

    Schermopname van het selecteren van het dashboardweergave in het menu Controlelogboeken in de Azure-portal.

    schermopname van het dashboard Audit.

  • U kunt ook de auditlogboeken openen vanuit het menu Log Analytics. Open uw Log Analytics-werkruimte en selecteer in de sectie Algemeen de optie Logboeken. U kunt beginnen met een eenvoudige query, zoals: zoek 'SQLSecurityAuditEvents' om de auditlogboeken weer te geven. Hier kunt u ook Azure Monitor-logboeken gebruiken om geavanceerde zoekopdrachten uit te voeren op uw auditlogboekgegevens. Azure Monitor-logboeken bieden u realtime operationele inzichten met behulp van geïntegreerde zoek- en aangepaste dashboards om miljoenen records gemakkelijk te analyseren in al uw workloads en servers. Zie de zoekreferentie voor Azure Monitor-logboekenvoor extra nuttige informatie over de zoektaal en opdrachten van Azure Monitor-logboeken.

Logboeken analyseren met Event Hubs

Als u ervoor kiest om auditlogboeken naar Event Hubs te schrijven:

  • Als u auditlogboekgegevens van Event Hubs wilt verwerken, moet u een stream instellen om gebeurtenissen te verwerken en naar een bestemming te schrijven. Zie Documentatie voor Azure Event Hubsvoor meer informatie.
  • Auditlogboeken in Event Hubs worden vastgelegd in de hoofdtekst van Apache Avro gebeurtenissen en worden opgeslagen met behulp van JSON-opmaak met UTF-8-codering. Als u de auditlogboeken wilt lezen, kunt u Avro Tools, Microsoft Fabric-gebeurtenisstromenof vergelijkbare hulpprogramma's gebruiken die deze indeling verwerken.

Logboeken analyseren met behulp van logboeken in een Azure-opslagaccount

Als u ervoor kiest om auditlogboeken naar een Azure-opslagaccount te schrijven, zijn er verschillende methoden die u kunt gebruiken om de logboeken weer te geven:

  • Auditlogboeken worden samengevoegd in het account dat u tijdens de installatie hebt gekozen. U kunt auditlogboeken verkennen met behulp van een hulpprogramma zoals Azure Storage Explorer. In Azure Storage worden controlelogboeken opgeslagen als een verzameling blobbestanden in een container met de naam sqldbauditlogs. Zie de SQL Database Audit Log Formatvoor meer informatie over de hiërarchie van de opslagmappen, naamconventies en logboekindeling.

    1. Gebruik de Azure Portal.

    2. Open de relevante database-resource.

    3. Selecteer boven aan de pagina Controle van de database auditlogboeken weergeven.

      schermopname waarin wordt getoond hoe u auditlogboeken kunt weergeven.

      De auditrecords pagina worden geopend en u kunt de logboeken bekijken.

    4. U kunt specifieke datums weergeven door filter boven aan de pagina Auditrecords te selecteren.

    5. U kunt schakelen tussen controlerecords die zijn gemaakt door het controlebeleid van de -server en het databasecontrolebeleid door controlebronte schakelen.

      Schermopname met de opties voor het weergeven van de controlerecords.

  • Gebruik de systeemfunctie sys.fn_get_audit_file (T-SQL) om de auditlogboekgegevens in tabelvorm te retourneren. Zie sys.fn_get_audit_filevoor meer informatie over het gebruik van deze functie.

  • Gebruik Auditbestanden samenvoegen in SQL Server Management Studio (te beginnen met SSMS 17):

    1. Selecteer in het SSMS-menu Bestand>Open>Auditbestanden samenvoegen.

      Schermopname van de menuoptie Auditbestanden samenvoegen.

    2. Het dialoogvenster Auditbestanden toevoegen wordt geopend. Selecteer een van de -opties toevoegen om te kiezen of u auditbestanden wilt samenvoegen vanaf een lokale schijf of deze vanuit Azure Storage wilt importeren. U moet uw Azure Storage-gegevens en accountsleutel opgeven.

    3. Nadat alle bestanden zijn toegevoegd die moeten worden samengevoegd, selecteert u OK om de samenvoegbewerking te voltooien.

    4. Het samengevoegde bestand wordt geopend in SSMS, waar u het kunt bekijken en analyseren, en het exporteren naar een XEL- of CSV-bestand of naar een tabel.

  • Gebruik Power BI. U kunt auditlogboekgegevens bekijken en analyseren in Power BI. Zie Auditlogboekgegevens analyseren in Power BIvoor meer informatie en voor toegang tot een downloadbare sjabloon.

  • Download logboekbestanden uit uw Azure Storage-blobcontainer via de portal of met behulp van een hulpprogramma zoals Azure Storage Explorer.

    • Nadat u een logboekbestand lokaal hebt gedownload, dubbelklikt u op het bestand om de logboeken in SSMS te openen, weer te geven en te analyseren.
    • U kunt ook meerdere bestanden tegelijk downloaden in Azure Storage Explorer. Hiervoor klikt u met de rechtermuisknop op een specifieke submap en selecteert u Opslaan als om op te slaan in een lokale map.

  • Meer methoden:

    • Nadat u verschillende bestanden of een submap met logboekbestanden hebt gedownload, kunt u ze lokaal samenvoegen, zoals beschreven in de instructies voor auditbestanden voor SSMS-samenvoeging die eerder zijn beschreven.
    • Logboeken voor blobcontrole programmatisch weergeven: Uitgebreide gebeurtenissenbestanden opvragen met behulp van PowerShell.

Zie ook