Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
Banco de Dados SQL do Azure do Azure Synapse Analytics
Neste artigo, abordamos a configuração da Auditoria para o seu servidor lógico ou base de dados no Banco de Dados SQL do Azure e no Azure Synapse Analytics .
Configurar auditoria para seu servidor
A política de auditoria padrão inclui o seguinte conjunto de grupos de ações, que audita todas as consultas e procedimentos armazenados executados no banco de dados, bem como logons bem-sucedidos e com falha:
- GRUPO_COMPLETADO_LOTE
- GRUPO_DE_AUTENTICAÇÃO_BEM-SUCEDIDA_NO_BANCO_DE_DADOS
- ERRO_AUTENTICAÇÃO_BASE_DE_DADOS_GRUPO
Para configurar a auditoria para diferentes tipos de ações e grupos de ações usando o PowerShell, consulte Gerenciar auditoria do Banco de Dados SQL do Azure usando APIs.
A seção a seguir descreve a configuração de Auditoria usando o portal do Azure.
Observação
Não é possível habilitar a auditoria em um pool SQL dedicado pausado. Para habilitar a auditoria, reinicie o pool SQL dedicado.
Quando a Auditoria é configurada para um espaço de trabalho do Log Analytics ou para um destino do Hubs de Eventos no portal do Azure ou no cmdlet do PowerShell, uma Configuração de Diagnóstico é criada com a categoria SQLSecurityAuditEvents habilitada.
Vá para o portal do Azure.
Navegue até Auditoria sob o título Segurança no painel do banco de dados SQL ou servidor SQL.
Se preferir configurar uma política de auditoria de servidor, você pode selecionar o link Exibir configurações do servidor na página de auditoria de banco de dados. Em seguida, você pode exibir ou modificar as configurações de auditoria do servidor. As políticas de auditoria do servidor aplicam-se a todos os bancos de dados existentes e recém-criados neste servidor.
Se preferir habilitar a auditoria no nível do banco de dados, alterne Auditoria para ON. Se a auditoria do servidor estiver habilitada, a auditoria configurada pelo banco de dados existirá lado a lado com a auditoria do servidor.
Você tem várias opções para configurar onde os logs de auditoria são armazenados. Você pode gravar logs em uma conta de armazenamento do Azure, em um espaço de trabalho do Log Analytics para consumo pelos logs do Azure Monitor ou no hub de eventos para consumo usando o hub de eventos. Você pode configurar qualquer combinação dessas opções, e os logs de auditoria são gravados para cada uma delas.
Auditoria ao destino do armazenamento
Para configurar a gravação de logs de auditoria numa conta de armazenamento, selecione Armazenamento quando chegar à seção Auditoria. Selecione a conta de armazenamento do Azure onde você deseja salvar seus logs. Você pode usar os dois tipos de autenticação de armazenamento a seguir: Managed Identity e Storage Access Keys. Para identidade gerida, há suporte para identidade atribuída pelo sistema e identidade atribuída pelo usuário. Por padrão, a identidade de usuário principal atribuída ao servidor é selecionada. Se não houver identidade de usuário, uma identidade gerenciada atribuída ao sistema será criada e usada para fins de autenticação. Depois de escolher um tipo de autenticação, selecione um período de retenção abrindo Propriedades avançadas e selecionando Salvar. Os logs anteriores ao período de retenção são excluídos.
Se estiver a implementar a partir do portal do Azure, certifique-se de que a conta de armazenamento está na mesma região que a base de dados e o servidor. Se você estiver implantando por outros métodos, a conta de armazenamento poderá estar em qualquer região.
Advertência
Para autenticação de armazenamento, use a Identidade Gerenciada. As chaves de acesso de armazenamento representam um risco de segurança porque, se forem comprometidas, pessoas não autorizadas podem obter acesso à sua conta de armazenamento, potencialmente lendo, escrevendo ou excluindo seus dados. Para reduzir esses riscos, é essencial girar suas chaves regularmente e usar o Azure Key Vault para gerenciar e girar suas chaves com segurança.
- O valor padrão para o período de retenção é 0 (retenção ilimitada). Você pode alterar este valor movendo o slider Retenção de (Dias) em propriedades Avançadas ao configurar a auditoria da conta de armazenamento.
- Se você alterar o período de retenção de 0 (retenção ilimitada) para qualquer outro valor, a retenção só se aplicará aos logs gravados após a alteração do valor de retenção. Os logs gravados durante o período em que os dias de retenção foram definidos como retenção ilimitada são preservados, mesmo depois que a retenção é habilitada.
Auditoria no destino do Log Analytics
Para configurar a gravação de logs de auditoria num espaço de trabalho do Log Analytics, selecione Log Analytics e abra detalhes do Log Analytics. Selecione o espaço de trabalho do Log Analytics onde deseja armazenar os logs e, em seguida, selecione OK. Se você ainda não criou um espaço de trabalho do Log Analytics, consulte Criar um espaço de trabalho do Log Analytics no portal do Azure.
Auditoria no destino dos Hubs de Eventos
Para configurar a gravação de logs de auditoria em um hub de eventos, selecione Hub de Eventos. Selecione o hub de eventos onde deseja armazenar os logs e, em seguida, selecione Salvar. Certifique-se de que o hub de eventos esteja na mesma região que o banco de dados e o servidor.
Quando a auditoria é configurada com monitores externos do Azure (por exemplo, Hubs de Eventos ou Análise de Log) como destino, um recurso adicional de configurações de diagnóstico chamado SQLSecurityAuditEvents_XXXX-XXXX-XXX é criado, o que é crítico para o funcionamento adequado da auditoria.
Se as configurações de diagnóstico forem excluídas, intencionalmente ou não, a funcionalidade de auditoria falhará silenciosamente e os logs de auditoria não serão enviados para o local de destino. Para evitar isso, configure alertas para a exclusão de configurações de diagnóstico para notificar os usuários e tomar as ações necessárias. Para obter mais informações sobre como criar grupos de ações e configurar alertas, consulte Grupos de ação e Criar ou editar um log de atividades, integridade do serviço ou regra de alerta de integridade de recursos.
Observação
Se você estiver usando vários destinos, como conta de armazenamento, Análise de Log ou Hubs de Eventos, verifique se você tem permissões para todos os destinos, caso contrário, salvar a configuração de auditoria falharia ao tentar salvar as configurações de todos os destinos.