SQL DatabaseをAzureポータルからデフォルトで作成すると監査ログの取得がされません。
SQL Databaseの概要ページで監査が構成されていないという表示がされます。
監査ログを取得して、それをSSMSで確認する方法を残します。
SQL Database作成
今回サンプルデータベースを用意しました。ここの手順は割愛します。
監査ログ設定
-
AzureポータルのSQL Databaseページから[監査]を選択します。
-
[サーバー設定を表示]を選択します。
-
監査をオンにします。
-
[Storage]にチェックを入れ、[構成]を選択します。
-
[ストレージアカウント]を選択します。
-
既存のストレージアカウントを選択するか、新規で作成します。今回は新規で作成しました。
-
新規ストレージアカウントを作成したら、監査設定を保存します。
-
SQL Databaseの概要ページに戻ると監査が構成されたことが分かります。
監査ログ確認
-
SSMS をPCにダウンロードしてインストールします。
-
SQL Database Server名、ログインID、パスワードを入力して接続します。
-
今回は監査ログの取得確認なので適当なテーブルをDROPします。
-
監査ログを取得するため、SSMSより[ファイル]→[開く]→[監査ファイルの結合]の順に選択します。
-
[追加]を選択します。
-
毎回監査ログをローカルPCにダウンロードするのはめんどくさいので、Blob Storageに直接接続します。[Azure Blob Storageから追加]にチェックを入れ、[接続]を選択します。
-
ストレージアカウント名、アカウントキーを入力して、[接続]を選択します。アカウントキーはAzureポータルの[ストレージアカウント]→[アクセスキー]から取得できます。
-
ストレージアカウントに接続したら、サーバー名、データベース名、期間を選んで[OK]を選択します。
-
その期間だと監査ファイルがいくつ対象かが分かります。[OK]を選択します。
-
こんな感じで監査ログが一覧化されます。
-
今回は事前にDROPした履歴を見てみたいと思います。SSMSの画面で[Ctrl+r]を押すとフィルター画面が出てきます。
-
statementフィールドが「DROP」という文字列を含むものという条件でフィルターしてみます。
-
先ほどDROPした履歴が出てきました。
-
詳細なクエリも確認できます。
Log Analyticsに飛ばしてみる
先ほどはBlob Storageに保存した監査ログを見てみましたが、次にLog Analyticsにログを飛ばした場合どのように見えるかやってみます。
-
SQL Database Serverの監査ログ設定から[Log Analytics]を追加します。
-
監査設定画面に戻り、[監査ログの表示]を選択します。
-
[Log Analytics]を選択します。
-
自動でクエリが実行され、Log Analytics画面で監査ログを確認することができます。
-
1つ前の画面に戻って、今度はダッシュボードを見てみます。[ダッシュボードの表示]を選択します。
-
[Azure SQL - Security Insights]を選択します。
-
このようにダッシュボードで確認することができます。
-
Log Analyticsも便利ですが、その分費用が掛かるので注意しましょう。
以上