Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: 
Azure SQL Managed Instance
Podes configurar SQL Server Audit no Azure SQL Managed Instance.
- A auditoria ajuda a manter a conformidade regulatória, a compreender as atividades da base de dados e a obter informações relativas a discrepâncias e anomalias que possam traduzir preocupações comerciais ou suspeitas de violações de segurança.
- A auditoria permite e facilita a adesão às normas de conformidade, embora não garanta a conformidade. Para mais informações, consulte o Microsoft Azure Trust Center onde pode encontrar a lista mais recente de certificações de conformidade SQL Managed Instance.
Para começar a configurar a auditoria do SQL Server no Azure SQL Managed Instance, veja Introdução à auditoria do Azure SQL Managed Instance.
Otimização do desempenho
A auditoria do Azure SQL Managed Instance está otimizada para disponibilidade e desempenho. Durante alta atividade ou elevada carga de rede, o Azure SQL Managed Instance permite que as operações prossigam e pode não registar alguns eventos auditados.
Auditar as operações do Suporte da Microsoft
A auditoria das operações do Suporte da Microsoft para SQL Managed Instance permite-lhe auditar as operações dos engenheiros de Microsoft support quando precisam de aceder ao seu servidor durante um pedido de suporte. O uso desse recurso, juntamente com sua auditoria, permite mais transparência em sua força de trabalho e permite a deteção de anomalias, visualização de tendências e prevenção de perda de dados.
Para permitir a auditoria das operações de suporte Microsoft, navegue até Criar Auditoria em Segurança>Auditoria na sua instância gerida SQL e selecione operações de suporte Microsoft.
Observação
Deve criar uma auditoria de servidor separada para auditar as operações da Microsoft. Se você habilitar essa caixa de seleção para uma auditoria existente, ela substituirá a auditoria e registrará apenas as operações de suporte.
Operações internas no Azure SQL Managed Instance
Em Base de Dados SQL do Azure e Azure SQL Managed Instance, eventos iniciados por SQLDBControlPlaneFirstPartyApp são uma função interna Azure do plano de controlo Base de Dados SQL do Azure. Eventos iniciados por SQLDBControlPlaneFirstPartyApp fazem parte de uma operação interna de sincronização entre o motor SQL e Azure Resource Manager. Estes eventos são uma parte normal da gestão de recursos e são necessários para a representação e operação corretas dos recursos no Azure.
Diferenças de auditoria entre bases de dados no Azure SQL Managed Instance e bases de dados no SQL Server
As principais diferenças entre a auditoria em bases de dados no Azure SQL Managed Instance e bases de dados no SQL Server são:
- Com Azure SQL Managed Instance, a auditoria funciona ao nível do servidor e armazena ficheiros de registo
.xelno armazenamento Azure Blob. - No SQL Server, a auditoria funciona ao nível do servidor, mas armazena eventos no sistema de ficheiros e nos registos de eventos do Windows.
A auditoria XEvent em instâncias geridas suporta alvos de armazenamento Azure Blob. Os registos de ficheiros e Windows são não suportados.
As principais diferenças na sintaxe CREATE AUDIT para auditar o armazenamento Blob do Azure são as seguintes:
- É fornecida uma nova sintaxe
TO URLque permite especificar a URL do contentor de armazenamento Azure Blob onde são colocados os ficheiros.xel. - É fornecida uma nova sintaxe
TO EXTERNAL MONITORpara habilitar Event Hubs e Azure Monitor como alvos de log. - A sintaxe
TO FILEé não suportada porque o Azure SQL Managed Instance não pode aceder a partilhas de ficheiros do Windows. - A opção de desligamento não é suportada.
-
queue_delayde 0 não é suportado.
Permissões
Para configurar auditorias, precisas de permissões de base de dados dentro da instância gerida SQL, e também de permissões para os recursos do Azure usados para armazenar e aceder aos registos de auditoria.
Para configurar uma auditoria de instâncias geridas por SQL, é necessário seguir as seguintes permissões de base de dados:
| Permissões de banco de dados | Configurar auditoria | Consulte registos de auditoria usando T-SQL |
|---|---|---|
VIEW DATABASE SECURITY AUDIT |
No | Sim |
ALTER ANY DATABASE AUDIT |
Sim | No |
CONTROL DATABASE |
Sim | Sim |
Para configurar a auditoria para armazenamento do Azure, precisa da função Storage blob data contributor na conta de armazenamento ou de permissões superiores. Para configurar a auditoria para Event Hubs ou Log Analytics, precisa do papel de Contribuidor de Monitorização ou de permissões superiores no grupo de recursos onde o espaço de trabalho Event Hubs ou Log Analytics está provisionado.
Testes automáticos de conectividade interna
Depois de ativar a auditoria, poderá notar que o Azure SQL Managed Instance executa testes automáticos de conectividade interna para monitorizar a fiabilidade do serviço e acelerar a deteção de problemas. Estes testes são executados a cada 10 segundos a partir de endereços IP internos dentro da sub-rede da instância gerida SQL e têm um impacto de desempenho negligenciável no rendimento da rede e no desempenho do serviço. Um teste valida a conectividade de ponta a ponta ao tentar um login com uma credencial conhecida para falhar (AzureSQLConnectivityChecker), que gera entradas de login falhadas esperadas em registos de auditoria, Eventos Estendidos e registos de erro SQL. Estas entradas são normais e não indicam um problema de segurança. Para mais informações, incluindo como identificar assinaturas de teste nos seus registos, consulte Testes automáticos de conectividade interna.