Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Applica a:
Istanza gestita di SQL di Azure
È possibile configurare SQL Server Audit in Istanza gestita di SQL di Azure.
- Il controllo aiuta a gestire la conformità alle normative, ottenere informazioni sull'attività del database e rilevare discrepanze e anomalie che potrebbero indicare problemi aziendali o possibili violazioni della sicurezza.
- Il controllo consente e facilita la conformità agli standard di conformità, anche se non garantisce la conformità. Per altre informazioni, vedere l'Microsoft Azure Centro protezione in cui è possibile trovare l'elenco più recente delle certificazioni di conformità Istanza gestita di SQL.
Per iniziare a configurare l'Audit di SQL Server in Istanza gestita di SQL di Azure, vedere Introduzione all'audit di Istanza gestita di SQL di Azure.
Ottimizzazione delle prestazioni
Il controllo di Istanza gestita di SQL di Azure è ottimizzato per la disponibilità e le prestazioni. Durante un'attività elevata o un carico di rete elevato, Istanza gestita di SQL di Azure consente alle operazioni di procedere e potrebbe non registrare alcuni eventi controllati.
Controllare le operazioni di supporto tecnico Microsoft
Il controllo delle operazioni di supporto tecnico Microsoft per Istanza gestita di SQL consente di controllare le operazioni dei tecnici di Microsoft support quando devono accedere al server durante una richiesta di supporto. L'uso di questa funzionalità, insieme al controllo, permette una maggiore trasparenza nella forza lavoro e il rilevamento delle anomalie, la visualizzazione delle tendenze e la prevenzione della perdita dei dati.
Per abilitare il controllo delle operazioni di supporto tecnico Microsoft, passare a Crea audit in Security>Audit nell'istanza gestita di SQL e selezionare Microsoft support operations.
Annotazioni
È necessario creare una verifica del server separata per le operazioni di Microsoft. Se si abilita questa casella di controllo per un controllo esistente, sovrascrive il controllo e registra solo le operazioni di supporto.
Operazioni interne in Istanza gestita di SQL di Azure
In database SQL di Azure e Istanza gestita di SQL di Azure, gli eventi avviati da SQLDBControlPlaneFirstPartyApp sono una funzione Azure interna del piano di controllo database SQL di Azure. Gli eventi avviati da SQLDBControlPlaneFirstPartyApp fanno parte di un'operazione di sincronizzazione interna tra il motore SQL e Azure Resource Manager. Questi eventi sono una parte normale della gestione delle risorse e sono necessari per la rappresentazione e l'operazione corrette delle risorse in Azure.
Verificare le differenze tra i database nelle istanze gestite di Azure SQL e i database in SQL Server
Le differenze principali tra il controllo nei database in Istanza gestita di SQL di Azure e i database in SQL Server sono:
- Con Istanza gestita di SQL di Azure, il controllo funziona a livello di server e archivia i file di log
.xelnell'archiviazione BLOB Azure. - In SQL Server, il controllo funziona a livello di server, ma archivia gli eventi nel file system e nei registri eventi di Windows.
Il controllo XEvent nelle istanze gestite supporta le destinazioni di archiviazione Azure Blob. I log dei file e di Windows sono non supportati.
Le differenze principali nella sintassi CREATE AUDIT per l'auditing verso l'archiviazione BLOB di Azure sono:
- Viene fornita una nuova sintassi
e consente di specificare l'URL del contenitore di archiviazione BLOB Azure in cui vengono inseriti i file /> - Viene fornita una nuova sintassi
TO EXTERNAL MONITORper abilitare gli Event Hubs e le destinazioni del log di Monitoraggio di Azure. - La sintassi
TO FILEè non supportata perché Istanza gestita di SQL di Azure non è in grado di accedere alle condivisioni file Windows. - L'opzione Shutdown non è supportata.
- Un valore di
queue_delayuguale a 0 non è supportato.
Autorizzazioni
Per configurare il controllo, sono necessarie autorizzazioni di database all'interno dell'istanza gestita di SQL e sono necessarie anche le autorizzazioni per le risorse Azure usate per l'archiviazione e l'accesso ai log di controllo.
Per configurare il controllo dell'istanza gestita di SQL, è necessario disporre delle autorizzazioni del database seguenti:
| Autorizzazioni per il database | Configurare il controllo | Visualizzare i log di controllo con T-SQL |
|---|---|---|
VIEW DATABASE SECURITY AUDIT |
No | Sì |
ALTER ANY DATABASE AUDIT |
Sì | No |
CONTROL DATABASE |
Sì | Sì |
Per configurare il controllo dell'archiviazione di Azure, è necessario il ruolo Collaboratore dei dati dei BLOB di archiviazione nell'account di archiviazione o autorizzazioni superiori. Per configurare il controllo in Hub eventi o Log Analytics, è necessario il ruolo Collaboratore monitoraggio o autorizzazioni superiori per il gruppo di risorse in cui viene effettuato il provisioning dell'area di lavoro di Hub eventi o Log Analytics.
Test di connettività interni automatici
Dopo aver abilitato il controllo, è possibile notare che Istanza gestita di SQL di Azure esegue test di connettività interni automatici per monitorare l'affidabilità del servizio e accelerare il rilevamento dei problemi. Questi test vengono eseguiti ogni 10 secondi dagli indirizzi IP interni all'interno della subnet dell'istanza gestita di SQL e hanno un impatto trascurabile sulle prestazioni della velocità effettiva e del servizio di rete. Un test verifica la connettività end-to-end tentando un accesso con credenziali note come destinate a non andare a buon fine (AzureSQLConnectivityChecker), che genera le previste voci di accesso non riuscito nei log di audit, in Extended Events e nei log degli errori SQL. Queste voci sono normali e non indicano un problema di sicurezza. Per altre informazioni, tra cui come identificare le firme di test nei log, vedere Test di connettività interni automatici.