Kontrola usług Azure Private Link i Azure Synapse Analytics
Dotyczy: 
Azure SQL Database Azure Synapse Analytics
Inspekcja co to jest usługa Azure SQL Database? i Usługa Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku inspekcji na koncie usługi Azure Storage, w obszarze roboczym usługi Log Analytics lub w usłudze Event Hubs.
Ponadto inspekcja:
Pomaga zachować zgodność z przepisami, analizować aktywność bazy danych oraz uzyskać wgląd w odchylenia i anomalie, które mogą oznaczać problemy biznesowe lub podejrzane naruszenia zabezpieczeń.
Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności. Aby uzyskać więcej informacji, zobacz Centrum zaufania platformy Microsoft Azure, w którym można znaleźć najbardziej aktualną listę certyfikatów zgodności usługi SQL Database.
Uwaga
Aby uzyskać informacje na temat inspekcji usługi Azure SQL Managed Instance, zobacz Rozpoczynanie pracy z inspekcją usługi Azure SQL Managed Instance.
Omówienie
Inspekcja usługi SQL Database umożliwia:
- Zachowaj dziennik inspekcji wybranych zdarzeń. Możesz zdefiniować kategorie akcji bazy danych, które mają być poddane inspekcji.
- Raport dotyczący aktywności bazy danych. Możesz użyć wstępnie skonfigurowanych raportów i pulpitu nawigacyjnego, aby szybko rozpocząć pracę z raportowaniem aktywności i zdarzeń.
- Analizowanie raportów. Możesz wyszukiwać podejrzane zdarzenia, nietypową aktywność i trendy.
Ważne
Inspekcja dla pul SQL Azure SQL Database, Azure Synapse Analytics i Azure SQL Managed Instance jest zoptymalizowana pod kątem dostępności i wydajności bazy danych lub wystąpienia, które są poddawane inspekcji. W okresach bardzo dużej aktywności lub dużego obciążenia sieciowego funkcja inspekcji może zezwalać na kontynuowanie transakcji bez rejestrowania wszystkich zdarzeń oznaczonych do inspekcji.
Ograniczenia inspekcji
- Włączanie inspekcji w wstrzymanej puli SQL usługi Azure Synapse nie jest obsługiwane. Aby włączyć inspekcję, wznów pulę SQL usługi Synapse.
- Włączanie inspekcji przy użyciu tożsamości zarządzanej przypisanej przez użytkownika (UAMI) nie jest obsługiwane w usłudze Azure Synapse.
- Obecnie tożsamości zarządzane nie są obsługiwane w usłudze Azure Synapse, chyba że konto magazynu znajduje się za siecią wirtualną lub zaporą.
- Inspekcja pul SQL usługi Azure Synapse obsługuje tylko domyślne grupy akcji inspekcji.
- Podczas konfigurowania inspekcji dla serwera logicznego na platformie Azure lub w usłudze Azure SQL Database z miejscem docelowym dziennika jako konto magazynu tryb uwierzytelniania musi być zgodny z konfiguracją dla tego konta magazynu. W przypadku używania kluczy dostępu do magazynu jako typu uwierzytelniania docelowe konto magazynu musi być włączone z dostępem do kluczy konta magazynu. Jeśli konto magazynu jest skonfigurowane do używania uwierzytelniania tylko z identyfikatorem Entra firmy Microsoft (dawniej Azure Active Directory), inspekcję można skonfigurować pod kątem używania tożsamości zarządzanych do uwierzytelniania.
Uwagi
- Magazyn w warstwie Premium z funkcją BlockBlobStorage jest obsługiwany. Magazyn w warstwie Standardowa jest obsługiwany. Jednak w przypadku inspekcji zapisu na koncie magazynu za siecią wirtualną lub zaporą musisz mieć konto magazynu ogólnego przeznaczenia w wersji 2. Jeśli masz konto ogólnego przeznaczenia w wersji 1 lub usługi Blob Storage, przeprowadź uaktualnienie do konta magazynu ogólnego przeznaczenia w wersji 2. Aby uzyskać szczegółowe instrukcje, zobacz Zapisywanie inspekcji na koncie magazynu za siecią wirtualną i zaporą. Aby uzyskać więcej informacji, zobacz Typy kont magazynu.
- Hierarchiczna przestrzeń nazw dla wszystkich typów konta magazynu w warstwie Standardowa i konta magazynu w warstwie Premium z funkcją BlockBlobStorage jest obsługiwana.
- Dzienniki inspekcji są zapisywane w uzupełnialnych obiektach blob w usłudze Azure Blob Storage w ramach subskrypcji platformy Azure
- Dzienniki inspekcji są w formacie xel i można je otworzyć za pomocą programu SQL Server Management Studio (SSMS).
- Aby skonfigurować niezmienny magazyn dzienników dla zdarzeń inspekcji na poziomie serwera lub bazy danych, postępuj zgodnie z instrukcjami dostarczonymi przez usługę Azure Storage. Upewnij się, że podczas konfigurowania niezmiennego magazynu obiektów blob wybrano opcję Zezwalaj na dodatkowe dołączania .
- Dzienniki inspekcji można zapisywać na koncie usługi Azure Storage za siecią wirtualną lub zaporą.
- Aby uzyskać szczegółowe informacje na temat formatu dziennika, hierarchii folderu magazynu i konwencji nazewnictwa, zobacz artykuł Format dziennika inspekcji usługi SQL Database.
- Inspekcja użycia replik tylko do odczytu do odciążania obciążeń zapytań tylko do odczytu jest automatycznie włączona. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zobacz artykuł Format dziennika inspekcji usługi SQL Database.
- W przypadku korzystania z uwierzytelniania entra firmy Microsoft rekordy nieudanych logowań nie są wyświetlane w dzienniku inspekcji SQL. Aby wyświetlić rekordy inspekcji nieudanych logowań, należy odwiedzić centrum administracyjne firmy Microsoft Entra, które rejestruje szczegóły tych zdarzeń.
- Nazwy logowania są kierowane przez bramę do określonego wystąpienia, w którym znajduje się baza danych. W przypadku logowań firmy Microsoft Entra poświadczenia są weryfikowane przed podjęciem próby zalogowania się do żądanej bazy danych przy użyciu tego użytkownika. W przypadku niepowodzenia żądana baza danych nigdy nie jest używana, więc Inspekcja nie jest przeprowadzana. W przypadku logowań SQL poświadczenia są weryfikowane na żądanych danych, więc w takim przypadku można je przeprowadzić inspekcję. Pomyślne logowania, które oczywiście docierają do bazy danych, są poddawane inspekcji w obu przypadkach.
- Po skonfigurowaniu ustawień inspekcji można włączyć nową funkcję wykrywania zagrożeń i skonfigurować adresy e-mail, na które będą trafiać alerty zabezpieczeń. Podczas korzystania z wykrywania zagrożeń otrzymujesz proaktywne alerty dotyczące nietypowych działań w bazie danych, które mogą wskazywać na potencjalne zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz SQL Advanced Threat Protection.
- Po skopiowaniu bazy danych z włączoną inspekcją na inny serwer logiczny może zostać wyświetlony wiadomość e-mail z powiadomieniem o niepomyślnym zakończeniu inspekcji. Jest to znany problem i inspekcja powinna działać zgodnie z oczekiwaniami w nowo skopiowanej bazie danych.