Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
Azure SQL DatabaseAzure Synapse Analytics
Dans cet article, nous nous intéressons à la configuration de l’audit pour votre serveur logique ou votre base de données dans Azure SQL Database et Azure Synapse Analytics.
Configurer l’audit pour votre serveur
La stratégie d’audit par défaut englobe l’ensemble de groupes d’actions ci-dessous, qui audite toutes les requêtes et procédures stockées exécutées sur la base de données, ainsi que les connexions ayant abouti et échoué :
- BATCH_COMPLETED_GROUP
- GROUPE D'AUTHENTIFICATION RÉUSSIE À LA BASE DE DONNÉES
- FAILED_DATABASE_AUTHENTICATION_GROUP
Pour configurer l’audit pour différents types d’actions et de groupes d’actions à l’aide de PowerShell, consultez Gérer l’audit d’Azure SQL Database à l’aide des API.
La section suivante décrit la configuration de l’audit depuis le portail Azure.
Remarque
Vous ne pouvez pas activer l’audit sur un pool SQL dédié en pause. Pour activer l’audit, reprenez le pool SQL dédié.
Quand l’audit est configuré sur un espace de travail Log Analytics ou une destination Event Hubs au niveau du portail Azure ou d’une applet de commande PowerShell, un paramètre de diagnostic est créé avec la catégorie SQLSecurityAuditEvents activée.
Accédez au portail Azure.
Accédez à Audit sous l’en-tête Sécurité de votre volet SQL Database ou SQL Server.
Si vous préférez définir une stratégie d’audit de serveur, vous pouvez sélectionner le lien Afficher les paramètres du serveur dans la page d’audit de la base de données. Vous pouvez alors afficher ou modifier les paramètres d’audit du serveur. Les stratégies d’audit de serveur s’appliquent aux bases de données existantes et à celles qui sont nouvellement créées sur le serveur.
Si vous préférez activer l’audit au niveau base de données, définissez Audit sur ACTIVÉ. Si l’audit de serveur est activé, l’audit configuré par la base de données coexiste avec celui-ci.
Vous disposez de plusieurs options pour configurer l’emplacement de stockage des journaux d’audit. Vous pouvez consigner des journaux dans un compte de stockage Azure, dans un espace de travail Log Analytics pour qu'ils soient consommés par Azure Monitor logs, ou dans un hub d'événements pour qu'ils soient utilisés par ce hub. Vous pouvez configurer n’importe quelle combinaison de ces options, et les journaux d’audit sont écrits dans chacune d’elles.
Audit de la destination de stockage
Pour configurer l’écriture des journaux d’audit dans un compte de stockage, sélectionnez Stockage lorsque vous accédez à la section Audit. Sélectionnez le compte de stockage Azure dans lequel vous souhaitez enregistrer vos journaux. Vous pouvez utiliser les deux types d’authentification de stockage suivants : Identité managée et Clés d’accès de stockage. En ce qui concerne l’identité managée, l’identité managée affectée par le système et l’identité managée affectée par l’utilisateur sont prises en charge. Par défaut, l’identité d’utilisateur principal attribuée au serveur est sélectionnée. S’il n’existe aucune identité d’utilisateur, une identité managée affectée par le système est créée et utilisée à des fins d’authentification. Une fois que vous avez choisi un type d’authentification, sélectionnez une période de rétention en ouvrant Propriétés avancées et en sélectionnant Enregistrer. Les journaux plus vieux que la période de conservation sont supprimés.
Si vous effectuez un déploiement à partir du portail Azure, vérifiez que le compte de stockage se trouve dans la même région que votre base de données et votre serveur. Si vous effectuez un déploiement via d’autres méthodes, le compte de stockage peut se trouver dans n’importe quelle région.
Avertissement
Pour l’authentification de stockage, utilisez l’identité managée. Les clés d’accès au stockage présentent un risque de sécurité, car si elles sont compromises, les personnes non autorisées peuvent accéder à votre compte de stockage, lire, écrire ou supprimer vos données. Pour atténuer ces risques, il est essentiel de faire pivoter vos clés régulièrement et d’utiliser Azure Key Vault pour gérer et faire pivoter vos clés en toute sécurité.
- La valeur par défaut de la période de conservation est 0 (conservation illimitée). Vous pouvez changer cette valeur en déplaçant le curseur Rétention (jours) dans Propriétés avancées lors de la configuration du compte de stockage à des fins d’audit.
- Si vous faites passer la période de rétention de 0 (rétention illimitée) à toute autre valeur, la rétention s’applique uniquement aux journaux écrits après le changement de la valeur de rétention. Les journaux écrits pendant la période où les jours de rétention correspondaient à une rétention illimitée sont conservés, même après l’activation de la rétention.
Destination Audit vers Log Analytics
Pour configurer l’écriture des journaux d’audit dans un espace de travail Log Analytics, sélectionnez Log Analytics, puis ouvrez Détails de Log Analytics. Sélectionnez l'espace de travail Log Analytics dans lequel vous souhaitez stocker les journaux, puis sélectionnez OK. Si vous n’avez pas créé d’espace de travail Log Analytics, consultez Créer un espace de travail Log Analytics sur le portail Azure.
Audit vers la destination Event Hubs
Pour configurer l’écriture des journaux d’audit dans un Event Hub, sélectionnez Event Hub. Sélectionnez le hub d’événements dans lequel les journaux doivent être stockés, puis sélectionnez Enregistrer. Veillez à ce que le hub d’événements se trouve dans la même région que votre base de données et votre serveur.
Lorsque l’audit est configuré avec des moniteurs externes Azure (par exemple, Event Hubs ou Log Analytics) comme cible, une ressource de paramètres de diagnostic supplémentaire nommée SQLSecurityAuditEvents_XXXX-XXXX-XXX est créée, ce qui est essentiel pour le bon fonctionnement de l’audit.
Si les paramètres de diagnostic sont supprimés, intentionnellement ou involontairement, la fonctionnalité d’audit échoue en mode silencieux et les journaux d’audit ne sont pas envoyés à l’emplacement cible. Pour éviter cela, configurez des alertes pour la suppression des paramètres de diagnostic afin d’informer les utilisateurs et de prendre les mesures nécessaires. Pour plus d’informations sur la création de groupes d’actions et la configuration des alertes, consultez Groupes d’actions et Création ou modification d’un journal d’activité, d’intégrité du service ou d’une règle d’alerte d’intégrité des ressources.
Remarque
Si vous utilisez plusieurs cibles telles que le compte de stockage, Log Analytics ou Event Hubs, assurez-vous que vous disposez des autorisations pour toutes les cibles, ou si l’enregistrement de la configuration d’audit échoue, car il tente d’enregistrer les paramètres pour toutes les cibles.