Überwachen von Azure SQL-Datenbank und Azure Synapse Analytics

Gilt für:Azure SQL-DatenbankAzure Synapse Analytics

Die Überwachung von Azure SQL-Datenbank und Azure Synapse Analytics verfolgt Datenbankereignisse und schreibt sie in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto, Ihrem Log Analytics-Arbeitsbereich oder in Event Hubs.

Die Überwachung ermöglicht außerdem Folgendes:

  • Sie kann Ihnen dabei helfen, die gesetzlichen Bestimmungen einzuhalten, die Datenbankaktivität zu verstehen und Einblicke in Abweichungen und Anomalien zu erhalten, die auf geschäftsspezifische Bedenken oder mutmaßliche Sicherheitsverstöße hinweisen können.

  • Sie ermöglicht und unterstützt die Einhaltung von Standards, garantiert diese aber nicht. Weitere Informationen finden Sie im Microsoft Azure Trust Center, wo die aktuellste Liste von Compliance-Zertifizierungen für SQL-Datenbank angezeigt wird.

Hinweis

Informationen zur Überwachung in Azure SQL Managed Instance finden Sie unter Erste Schritte mit der Überwachung in SQL Managed Instance.

Überblick

Sie können die SQL-Datenbanküberwachung für folgende Zwecke verwenden:

  • Beibehalten eines Überwachungspfads von ausgewählten Ereignissen. Sie können Kategorien für zu protokollierende Datenbankaktionen und -ereignisse konfigurieren.
  • Melden von Datenbankaktivitäten. Sie können vorkonfigurierte Berichte und ein Dashboard verwenden, um schnell mit der Berichterstattung über Aktivitäten und Ereignisse zu beginnen.
  • Analysieren von Berichten. Sie können nach verdächtigen Ereignissen, ungewöhnliche Aktivitäten und Trends suchen.

Wichtig

Die Überwachung bei Azure SQL-Datenbank, Azure Synapse Analytics-SQL-Pools und Azure SQL Managed Instance ist im Hinblick auf Verfügbarkeit und Leistung der überwachten Datenbank oder Instanz optimiert. Während Zeiträumen mit sehr hoher Aktivität oder hoher Netzwerklast lässt das Überwachungsfeature möglicherweise die Durchführung von Transaktionen zu, ohne alle zur Überwachung markierten Ereignisse aufzuzeichnen.

Einschränkungen der Überwachung

  • Das Aktivieren der Überwachung für einen angehaltenen Azure Synapse SQL-Pool wird nicht unterstützt. Um die Überwachung zu aktivieren, setzen Sie den Synapse SQL-Pool fort.
  • Das Aktivieren der Überwachung durch Verwendung einer benutzerseitig zugewiesenen verwalteten Identität (User Assigned Managed Identity, UAMI) wird in Azure Synapse nicht unterstützt.
  • Die Überwachung für Azure Synapse-SQL-Pools unterstützt nur Standardüberwachungs-Aktionsgruppen.
  • Wenn Sie die Überwachung für einen logischen Server in Azure oder Azure SQL-Datenbank mit dem Protokollziel als Speicherkonto konfigurieren, muss der Authentifizierungsmodus mit der Konfiguration für dieses Speicherkonto übereinstimmen. Wenn Sie Speicherzugriffsschlüssel als Authentifizierungstyp verwenden, muss das Zielspeicherkonto über Zugriff auf die Speicherkontoschlüssel verfügen. Wenn das Speicherkonto so konfiguriert ist, dass nur die Authentifizierung mit Microsoft Entra ID (vormals Azure Active Directory) verwendet wird, kann die Überwachung so konfiguriert werden, dass verwaltete Identitäten für die Authentifizierung verwendet werden.

Hinweise

  • Storage Premium mit BlockBlobStorage wird unterstützt. Standardspeicher wird unterstützt. Damit aber die Überwachung in ein Speicherkonto hinter einem VNet oder einer Firewall schreiben kann, müssen Sie ein Speicherkonto vom Typ „Universell V2“ haben. Wenn Sie über ein Speicherkonto vom Typ „Universell V1“ ober über ein Blob Storage-Konto verfügen, führen Sie ein Upgrade auf ein Speicherkonto vom Typ „Universell V2“ durch. Spezielle Anweisungen finden Sie unter Schreiben von Überwachungsprotokollen in ein Speicherkonto hinter einem VNET oder einer Firewall. Weitere Informationen finden Sie unter Speicherkontentypen.
  • Hierarchischer Namespace für alle Typen von Standardspeicherkonto und Storage Premium-Konto mit BlockBlobStorage wird unterstützt.
  • Überwachungsprotokolle werden in Ihrem Azure-Abonnement als Anfügeblobs in Azure Blob Storage geschrieben.
  • Überwachungsprotokolle liegen im XEL-Format vor und können mit SQL Server Management Studio (SSMS) geöffnet werden.
  • Wenn Sie eine unveränderliche Protokollspeicherung für Überwachungsereignisse auf Server- oder Datenbankebene konfigurieren möchten, sollten Sie der von Azure Storage bereitgestellten Anleitung folgen. Stellen Sie sicher, dass Sie beim Konfigurieren des unveränderlichen Blobspeichers Weitere Anfügungen zulassen ausgewählt haben.
  • Sie können Überwachungsprotokolle in ein Azure Storage-Konto hinter einem VNet oder einer Firewall schreiben.
  • Informationen zum Protokollformat, zur Hierarchie des Speicherordners und zu Namenskonventionen finden Sie in der Formatreferenz für Blobüberwachungsprotokolle.
  • Die Überwachung von schreibgeschützten Replikaten wird automatisch aktiviert. Weitere Informationen zur Hierarchie der Speicherordner, zu Namenskonventionen und zum Protokollformat finden Sie unter Format für SQL-Datenbank-Überwachungsprotokolle.
  • Wenn Sie die Microsoft Entra-Authentifizierung verwenden, werden Datensätze zu Anmeldefehlern im SQL-Überwachungsprotokoll nicht angezeigt. Um die Protokolle der fehlgeschlagenen Anmeldungen einzusehen, müssen Sie das Microsoft Entra Admin Center besuchen, das Details zu diesen Ereignissen protokolliert.
  • Anmeldungen werden vom Gateway an die bestimmte Instanz weitergeleitet, in der sich die Datenbank befindet. Bei Microsoft Entra-Anmeldungen werden die Anmeldeinformationen vor dem Versuch, die jeweilige Person für die Anmeldung bei der angeforderten Datenbank zu verwenden, überprüft. Bei einem Fehler wird nie auf die angeforderte Datenbank zugegriffen, sodass keine Überwachung erfolgt. Bei SQL-Anmeldungen werden die Anmeldeinformationen für die angeforderten Daten überprüft, sodass sie in diesem Fall überwacht werden können. Erfolgreiche Anmeldungen, die die Datenbank offensichtlich erreichen, werden in beiden Fällen überwacht.
  • Nachdem Sie Ihre Überwachungseinstellungen konfiguriert haben, können Sie das neue Feature der Bedrohungserkennung aktivieren und die E-Mail-Konten konfigurieren, an die Sicherheitswarnungen gesendet werden sollen. Mit der Bedrohungserkennung können Sie proaktive Warnungen bei anomalen Datenbankaktivitäten erhalten, die auf mögliche Sicherheitsbedrohungen hinweisen können. Weitere Informationen finden Sie unter Erste Schritte mit der Bedrohungserkennung.
  • Nachdem eine Datenbank mit aktivierter Überwachung auf einen anderen logischen Server kopiert wurde, erhalten Sie möglicherweise eine E-Mail mit der Information, dass ein Fehler bei der Überwachung aufgetreten ist. Dabei handelt es sich um ein bekanntes Problem. Die Überwachung sollte bei der neu kopierten Datenbank wie erwartet funktionieren.

Nächste Schritte

Siehe auch