Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Applica a:
Istanza gestita di SQL di Azure
È possibile configurare SQL Server Audit in Istanza gestita di SQL di Azure.
- Il controllo aiuta a gestire la conformità alle normative, ottenere informazioni sull'attività del database e rilevare discrepanze e anomalie che potrebbero indicare problemi aziendali o possibili violazioni della sicurezza.
- Il controllo consente e facilita la conformità agli standard di conformità, anche se non garantisce la conformità. Per altre informazioni, vedere l'Microsoft Azure Centro protezione in cui è possibile trovare l'elenco più recente delle certificazioni di conformità Istanza gestita di SQL.
Per iniziare a configurare l'Audit di SQL Server in Istanza gestita di SQL di Azure, vedere Introduzione all'audit di Istanza gestita di SQL di Azure.
Ottimizzazione delle prestazioni
Il controllo di Istanza gestita di SQL di Azure è ottimizzato per la disponibilità e le prestazioni. Durante un'attività elevata o un carico di rete elevato, Istanza gestita di SQL di Azure consente alle operazioni di procedere e potrebbe non registrare alcuni eventi controllati.
Controllare le operazioni di supporto tecnico Microsoft
Il controllo delle operazioni di supporto tecnico Microsoft per Istanza gestita di SQL consente di controllare le operazioni dei tecnici di Microsoft support quando devono accedere al server durante una richiesta di supporto. L'uso di questa funzionalità, insieme al controllo, permette una maggiore trasparenza nella forza lavoro e il rilevamento delle anomalie, la visualizzazione delle tendenze e la prevenzione della perdita dei dati.
Per abilitare il controllo delle operazioni di supporto tecnico Microsoft, passare a Crea audit in Security>Audit nell'istanza gestita di SQL e selezionare Microsoft support operations.
Annotazioni
È necessario creare una verifica del server separata per le operazioni di Microsoft. Se si abilita questa casella di controllo per un controllo esistente, sovrascrive il controllo e registra solo le operazioni di supporto.
Operazioni interne in Istanza gestita di SQL di Azure
In database SQL di Azure e Istanza gestita di SQL di Azure, gli eventi avviati da SQLDBControlPlaneFirstPartyApp sono una funzione Azure interna del piano di controllo database SQL di Azure. Gli eventi avviati da SQLDBControlPlaneFirstPartyApp fanno parte di un'operazione di sincronizzazione interna tra il motore SQL e Azure Resource Manager. Questi eventi sono una parte normale della gestione delle risorse e sono necessari per la rappresentazione e l'operazione corrette delle risorse in Azure.
Verificare le differenze tra i database nelle istanze gestite di Azure SQL e i database in SQL Server
Le differenze principali tra il controllo nei database in Istanza gestita di SQL di Azure e i database in SQL Server sono:
- Con Istanza gestita di SQL di Azure, il controllo funziona a livello di server e archivia i file di log
.xelnell'archiviazione BLOB Azure. - In SQL Server, il controllo funziona a livello di server, ma archivia gli eventi nel file system e nei registri eventi di Windows.
Il controllo XEvent nelle istanze gestite supporta le destinazioni di archiviazione Azure Blob. I log dei file e di Windows sono non supportati.
Le differenze principali nella sintassi CREATE AUDIT per l'auditing verso l'archiviazione BLOB di Azure sono:
- Viene fornita una nuova sintassi
e consente di specificare l'URL del contenitore di archiviazione BLOB Azure in cui vengono inseriti i file /> - Viene fornita una nuova sintassi
TO EXTERNAL MONITORper abilitare gli Event Hubs e le destinazioni del log di Monitoraggio di Azure. - La sintassi
TO FILEè non supportata perché Istanza gestita di SQL di Azure non è in grado di accedere alle condivisioni file Windows. - L'opzione Shutdown non è supportata.
- Un valore di
queue_delayuguale a 0 non è supportato.
Autorizzazioni
Per configurare il controllo, sono necessarie autorizzazioni di database all'interno dell'istanza gestita di SQL e sono necessarie anche le autorizzazioni per le risorse Azure usate per l'archiviazione e l'accesso ai log di controllo.
Per configurare il controllo dell'istanza gestita di SQL, è necessario disporre delle autorizzazioni del database seguenti:
| Autorizzazioni per il database | Configurare il controllo | Visualizzare i log di controllo con T-SQL |
|---|---|---|
VIEW DATABASE SECURITY AUDIT |
No | Sì |
ALTER ANY DATABASE AUDIT |
Sì | No |
CONTROL DATABASE |
Sì | Sì |
Per configurare il controllo dell'archiviazione di Azure, è necessario il ruolo Collaboratore dei dati dei BLOB di archiviazione nell'account di archiviazione o autorizzazioni superiori. Per configurare il controllo in Hub eventi o Log Analytics, è necessario il ruolo Monitoring Contributor o superiore per il gruppo di risorse in cui viene effettuato il provisioning dell'hub eventi o dell'area di lavoro Log Analytics.