Azure SQL 托管实例 中的SQL Server审核

applies to：Azure SQL 托管实例

可以在 Azure SQL 托管实例 中配置 SQL Server Audit。

• 审核有助于保持合规性、了解数据库活动，以及深入了解可能表示存在业务问题或疑似安全违规的偏差和异常。
• 尽管审核不保证合规性，但审核支持并有助于遵守合规性标准。 有关详细信息，请参阅 Microsoft Azure 信任中心，可在其中找到最新的SQL 托管实例符合性认证列表。

若要开始在 Azure SQL 托管实例中配置 SQL Server 审核，请参阅 Azure SQL 托管实例审核入门。

性能优化

Azure SQL 托管实例的审核针对可用性和性能进行了优化。 在高活动或高网络负载期间，Azure SQL 托管实例允许操作继续，并且可能不会记录某些已审核的事件。

审核Microsoft 支持部门操作

审核 Microsoft 支持针对 SQL 托管实例的操作，让您能够在提交支持请求期间审查 Microsoft 支持工程师对服务器的操作。 将此功能与审核结合使用，可以提高工作人员的透明度，并可以进行异常情况检测、趋势可视化和数据丢失防护。

若要启用对 Microsoft 支持部门 操作的审核，请导航到您的 SQL 托管实例中的 Security> 下的 Create Audit，然后选择 Microsoft 支持操作。

Azure SQL 托管实例 中的内部操作

在Azure SQL 数据库和Azure SQL 托管实例中，由 SQLDBControlPlaneFirstPartyApp 发起的事件是Azure SQL 数据库控制平面的内部Azure函数。 由 SQLDBControlPlaneFirstPartyApp 发起的事件是 SQL 引擎和Azure 资源管理器之间的内部同步操作的一部分。 资源管理中的这些事件是正常现象，对于在 Azure 中正确体现和操作资源是必需的。

审核Azure SQL 托管实例中的数据库与SQL Server中的数据库之间的差异

Azure SQL 托管实例数据库中的审核与SQL Server中的数据库之间的主要区别包括：

• 使用 Azure SQL 托管实例，审核在服务器级别工作，并将 .xel 日志文件存储在 Azure Blob 存储中。
• 在SQL Server中，审核在服务器级别工作，但在文件系统中存储事件并Windows事件日志。

托管实例中的 XEvent 审核支持Azure Blob 存储目标。 不支持文件和Windows日志。

用于审核到 Azure Blob 存储的 CREATE AUDIT 语法主要区别包括：

• 提供了新的语法 TO URL，可用于指定放置 .xel 文件的 Azure Blob 存储容器的 URL。
• 提供了新的语法 TO EXTERNAL MONITOR以启用 Event Hubs 和 Azure Monitor 日志监控目标。
• TO FILE语法不支持，因为Azure SQL 托管实例无法访问Windows文件共享。
• 关闭选项不受支持。
• queue_delay 不支持 为 0。

权限

若要设置审核，需要在 SQL 托管实例中拥有数据库权限，还需要对用于存储和访问审核日志的Azure资源拥有权限。

若要设置 SQL 托管实例审核，需要具有以下数据库权限：

若要配置审核以在 Azure 存储上进行，需要拥有存储帐户上的“存储 Blob 数据参与者”角色或更高权限。 若要将审核配置到事件中心或 Log Analytics，您需要在预配了事件中心或 Log Analytics 工作区的资源组上具有 监视参与者 角色或更高权限。

自动内部连接测试

启用审核后，你可能会注意到，Azure SQL 托管实例运行自动内部连接测试，以监视服务可靠性和加速问题检测。 这些测试每隔 10 秒从 SQL 托管实例子网中的内部 IP 地址运行一次，对网络吞吐量和服务性能产生微不足道的性能影响。 一项测试通过尝试使用已知会导致登录失败的凭据AzureSQLConnectivityChecker进行登录，来验证端到端连通性；该登录尝试会在审核日志、扩展事件和 SQL 错误日志中生成预期的失败登录条目。 这些条目是正常的，并不表示存在安全问题。 有关详细信息，包括如何在日志中标识测试签名，请参阅 自动内部连接测试。

后续步骤

相关内容

• 创建服务器审核和数据库审核规范
• 查看SQL Server审核日志
• 将 SQL Server 审核事件写入安全日志
• Azure SQL 托管实例 与 SQL Server 数据库之间的审计差异