Controle gebruiken om auditlogboeken en -rapporten te analyseren

Van toepassing op: Azure SQL DatabaseAzure Synapse Analytics

Dit artikel bevat een overzicht van het analyseren van auditlogboeken met behulp van Controle voor Azure SQL Database en Azure Synapse Analytics. U kunt Controle gebruiken om auditlogboeken te analyseren die zijn opgeslagen in:

• Log Analytics
• Event Hubs
• Azure Storage

Logboeken analyseren met Log Analytics

Als u ervoor kiest om auditlogboeken naar Log Analytics te schrijven:

1. Gebruik Azure Portal.

2. Ga naar de relevante databaseresource.

3. Bovenaan de pagina Controle van de database selecteert u Auditlogboeken bekijken.

   

U hebt twee manieren om de logboeken weer te geven:

• Als u Log Analytics bovenaan de pagina Auditrecords selecteert, wordt de logboekweergave geopend in de Log Analytics-werkruimte, waar u het tijdsbereik en de zoekquery kunt aanpassen.

  

• Als u het dashboard Weergave bovenaan de pagina Controlerecords selecteert, wordt een dashboard geopend met informatie over auditlogboeken, waarin u kunt inzoomen op Security Insights of Toegang tot gevoelige gegevens. Dit dashboard is ontworpen om u te helpen bij het verkrijgen van beveiligingsinzichten voor uw gegevens. U kunt ook het tijdsbereik en de zoekquery aanpassen.

  

  

• U kunt ook toegang krijgen tot de auditlogboeken vanuit het menu Log Analytics . Open uw Log Analytics-werkruimte en selecteer logboeken in de sectie Algemeen. U kunt beginnen met een eenvoudige query, zoals: zoek 'SQLSecurityAuditEvents' om de auditlogboeken weer te geven. Hier kunt u ook Azure Monitor-logboeken gebruiken om geavanceerde zoekopdrachten uit te voeren op uw auditlogboekgegevens. Azure Monitor-logboeken bieden u realtime operationele inzichten met behulp van geïntegreerde zoek- en aangepaste dashboards om miljoenen records gemakkelijk te analyseren in al uw workloads en servers. Zie de zoektaal en opdrachten voor Azure Monitor-logboeken voor extra nuttige informatie over zoektaal en opdrachten in Azure Monitor-logboeken.

Logboeken analyseren met Event Hubs

Als u ervoor kiest om auditlogboeken naar Event Hubs te schrijven:

• Als u auditlogboekgegevens van Event Hubs wilt gebruiken, moet u een stream instellen om gebeurtenissen te gebruiken en naar een doel te schrijven. Zie de documentatie voor Azure Event Hubs voor meer informatie.
• Auditlogboeken in Event Hubs worden vastgelegd in de hoofdtekst van Apache Avro-gebeurtenissen en opgeslagen met behulp van JSON-opmaak met UTF-8-codering. Als u de auditlogboeken wilt lezen, kunt u Avro-hulpprogramma's of gelijksoortige hulpmiddelen gebruiken waarmee deze indeling wordt verwerkt.

Logboeken analyseren met behulp van logboeken in een Azure-opslagaccount

Als u ervoor kiest om auditlogboeken naar een Azure-opslagaccount te schrijven, zijn er verschillende methoden die u kunt gebruiken om de logboeken weer te geven:

• Auditlogboeken worden samengevoegd in het account dat u tijdens de installatie hebt gekozen. U kunt auditlogboeken verkennen met behulp van een hulpprogramma zoals Azure Storage Explorer. In Azure Storage worden controlelogboeken opgeslagen als een verzameling blobbestanden in een container met de naam sqldbauditlogs. Zie de indeling van het auditlogboek van SQL Database voor meer informatie over de hiërarchie van de opslagmappen, naamconventies en logboekindeling.

  1. Gebruik Azure Portal.

  2. Open de relevante databaseresource.

  3. Bovenaan de pagina Controle van de database selecteert u Auditlogboeken bekijken.

     

     De pagina Auditrecords wordt geopend en u kunt de logboeken bekijken.

  4. U kunt specifieke datums weergeven door Filter boven aan de pagina Auditrecords te selecteren.

  5. U kunt schakelen tussen controlerecords die zijn gemaakt door het controlebeleid van de server en het controlebeleid voor de database door controlebron in te schakelen.

     

• Gebruik de systeemfunctie sys.fn_get_audit_file (T-SQL) om de auditlogboekgegevens in tabelvorm te retourneren. Zie sys.fn_get_audit_file voor meer informatie over het gebruik van deze functie.

• Auditbestanden samenvoegen gebruiken in SQL Server Management Studio (te beginnen met SSMS 17):

  1. Selecteer in het SSMS-menu Bestandsopen>>samenvoegen auditbestanden.

     

  2. Het dialoogvenster Auditbestanden toevoegen wordt geopend. Selecteer een van de opties toevoegen om te kiezen of u auditbestanden wilt samenvoegen vanaf een lokale schijf of deze vanuit Azure Storage wilt importeren. U moet uw Azure Storage-gegevens en accountsleutel opgeven.

  3. Nadat alle bestanden zijn toegevoegd die moeten worden samengevoegd, selecteert u OK om de samenvoegbewerking te voltooien.

  4. Het samengevoegde bestand wordt geopend in SSMS, waar u het kunt bekijken en analyseren, en het exporteren naar een XEL- of CSV-bestand of naar een tabel.

• Gebruik Power BI. U kunt auditlogboekgegevens bekijken en analyseren in Power BI. Zie Auditlogboekgegevens analyseren in Power BI voor meer informatie en toegang tot een downloadbare sjabloon.

• Download logboekbestanden uit uw Azure Storage-blobcontainer via de portal of met behulp van een hulpprogramma zoals Azure Storage Explorer.

  • Nadat u een logboekbestand lokaal hebt gedownload, dubbelklikt u op het bestand om de logboeken in SSMS te openen, weer te geven en te analyseren.
  • U kunt ook meerdere bestanden tegelijk downloaden in Azure Storage Explorer. Hiervoor klikt u met de rechtermuisknop op een specifieke submap en selecteert u Opslaan als om op te slaan in een lokale map.

• Meer methoden:

  • Nadat u verschillende bestanden of een submap met logboekbestanden hebt gedownload, kunt u ze lokaal samenvoegen, zoals beschreven in de instructies voor auditbestanden voor SSMS-samenvoeging die eerder zijn beschreven.
  • Logboeken voor blobcontrole programmatisch weergeven: Bestanden met uitgebreide gebeurtenissen opvragen met behulp van PowerShell.

Zie ook

• Controleoverzicht
• Aflevering met gegevens beschikbaar gesteld wat er nieuw is in Azure SQL Auditing
• Controle voor SQL Managed Instance
• Controle voor SQL Server