적용 대상:
Azure SQL 데이터베이스Azure Synapse Analytics
이 문서에서는 Azure SQL 데이터베이스 및 Azure Synapse Analytics에서 논리 서버 또는 데이터베이스에 대한 감사 설정을 진행합니다.
서버에 대한 감사 구성
기본 감사 정책에는 데이터베이스에 대해 실행된 모든 쿼리 및 저장 프로시저와 로그인 성공 및 실패를 감사하는 다음 작업 그룹 세트가 포함됩니다.
- 배치 완료 그룹
- 데이터베이스 인증 성공 그룹
- 데이터베이스 인증 실패 그룹
PowerShell을 사용하여 다양한 형식의 작업 및 작업 그룹에 대한 감사를 구성하려면 API를 사용하여 Azure SQL 데이터베이스 감사 관리를 참조하세요.
다음 섹션에서는 Azure Portal을 사용하여 감사 구성하는 방법을 설명합니다.
주의
일시 중지된 전용 SQL 풀에서는 감사를 사용하도록 설정할 수 없습니다. 감사를 사용하도록 설정하려면 전용 SQL 풀을 다시 시작하세요.
감사가 Azure Portal 또는 PowerShell cmdlet을 통해 Log Analytics 작업 영역 또는 Event Hubs 대상으로 구성되면 범주가 활성화된 SQLSecurityAuditEvents이 만들어집니다.
Azure Portal로 이동합니다.
SQL 데이터베이스 또는 SQL 서버 창의 보안 제목 아래에 있는 감사로 이동합니다.
서버 감사 정책을 설정하는 것을 선호하면 데이터베이스 감사 페이지에서 서버 설정 보기 링크를 선택할 수 있습니다. 그런 다음 서버 감사 설정을 보거나 수정할 수 있습니다. 서버 감사 정책은 이 서버의 모든 기존 및 새로 만든 데이터베이스에 적용됩니다.
데이터베이스 수준에서 감사를 사용하도록 설정하려면 감사를 켜짐으로 전환합니다. 서버 감사가 활성화된 경우, 데이터베이스 구성 감사가 서버 감사와 나란히 존재합니다.
감사 로그가 작성될 위치의 구성에는 여러 가지 옵션이 있습니다. Azure Storage 계정에 로그를 작성할 수 있으며, Azure Monitor 로그에서 사용할 Log Analytics 작업 영역이나, 이벤트 허브에서 사용할 수 있도록 이벤트 허브에도 로그를 작성할 수 있습니다. 이러한 옵션을 조합하여 구성할 수 있으며, 감사 로그는 각각에 대해 작성됩니다.
스토리지 대상에 대한 감사 실행
스토리지 계정에 감사 로그를 작성하도록 구성하려면 감사 섹션으로 이동하여 스토리지를 선택합니다. 로그를 저장할 Azure Storage 계정을 선택합니다. 두 가지 스토리지 인증 유형(관리 ID 및 스토리지 액세스 키)을 사용할 수 있습니다. 시스템 할당 관리 ID와 사용자 할당 관리 ID 모두 지원됩니다. 기본적으로 서버에 할당된 기본 사용자 ID가 선택됩니다. 사용자 ID가 없는 경우, 시스템 할당 관리 ID가 생성되어 인증 목적으로 사용됩니다. 인증 유형을 선택한 다음, 고급 속성을 열고 저장을 선택하여 보존 기간을 선택합니다. 보존 기간 보다 오래된 로그는 삭제됩니다.
Azure Portal에서 배포하는 경우 스토리지 계정이 데이터베이스 및 서버와 동일한 지역에 있는지 확인합니다. 다른 방법을 통해 배포하는 경우 스토리지 계정은 모든 지역에 있을 수 있습니다.
경고
스토리지 인증의 경우 관리 ID를 사용합니다. 스토리지 액세스 키는 손상된 경우 권한이 없는 개인이 스토리지 계정에 액세스하여 잠재적으로 데이터를 읽거나 쓰거나 삭제할 수 있기 때문에 보안 위험을 초래합니다. 이러한 위험을 완화하려면 키를 정기적으로 회전하고 Azure Key Vault를 사용하여 키를 안전하게 관리하고 회전해야 합니다.
- 보존 기간의 기본값은 0(무제한 보존)입니다. 감사를 위해 스토리지 계정을 구성할 때 고급 속성에서 보존(일) 슬라이더를 이동하여 이 값을 변경할 수 있습니다.
- 보존 기간을 0(무제한 보존)에서 다른 값으로 변경하는 경우, 보존 값이 변경된 후에 작성된 로그에만 보존이 적용됩니다. 보존 일이 무제한 보존으로 설정된 기간 동안 기록된 로그는 보존을 활성화한 후에도 유지됩니다.
감사 데이터를 Log Analytics 대상으로 전송
Log Analytics 작업 영역에 감사 로그를 작성하도록 구성하려면 Log Analytics를 선택하고 Log Analytics 세부 정보를 엽니다. 로그를 저장할 Log Analytics 작업 영역을 선택한 다음 확인을 선택합니다. Log Analytics 작업 영역을 만들지 않았다면 Azure Portal에서 Log Analytics 작업 영역 만들기를 참조하세요.
이벤트 허브 대상으로의 감사
이벤트 허브에 감사 로그 작성을 구성하려면 Event Hub를 선택하세요. 로그를 저장할 이벤트 허브를 선택한 다음 저장을 선택합니다. 이벤트 허브는 데이터베이스 및 서버와 동일한 지역에 있어야 합니다.
감사가 대상으로 Azure 외부 모니터(예: Event Hubs 또는 Log Analytics)로 구성된 경우 SQLSecurityAuditEvents_XXXX-XXXX-XXX 라는 추가 진단 설정 리소스가 생성되며 이는 적절한 감사 기능에 중요합니다.
진단 설정이 의도적으로 또는 의도치 않게 삭제되면 감사 기능이 자동으로 실패하고 감사 로그가 대상 위치로 전송되지 않습니다. 이를 방지하려면 진단 설정 삭제에 대한 경고를 구성하여 사용자에게 알리고 필요한 조치를 취합니다. 작업 그룹을 만들고 경고를 구성하는 방법에 대한 자세한 내용은 작업 그룹을 참조하고 활동 로그, 서비스 상태 또는 리소스 상태 경고 규칙 만들기 또는 편집을 참조하세요.
주의
스토리지 계정, Log Analytics 또는 Event Hubs와 같은 여러 대상을 사용하는 경우 모든 대상에 대한 권한이 있는지 확인합니다. 그렇지 않으면 모든 대상에 대한 설정을 저장하려고 할 때 감사 구성을 저장하지 못합니다.