如何过滤Azure审核

Question

我已经在Azure SQL数据库中启用了Azure审核，审核将捕获数据库中的所有活动并将其存储在存储帐户中。我的问题是，有没有办法配置Azure audit并过滤在审计中捕获和不捕获的内容？

默认情况下，它捕获DDL、DML、安全角色等，这是工具中的许多信息，只想捕获安全角色更改，所以我在哪里过滤审计捕获，因为我不想在捕获后过滤数据。

谢谢

Answer 1

我担心答案是否定的，没有一种方法可以配置Azure audit并过滤在审计中捕获和不捕获的内容。

Azure SQL数据库审核不提供自定义审核活动的方法。

HTH。

Answer 2

通过使用Set-AzSqlDatabaseAudit Powershell命令，可以更详细地控制Azure SQL数据库的审计日志。

在您的示例中，您可能需要查看-AuditActionGroup参数。它接受的值之一是DATABASE_ROLE_MEMBER_CHANGE_GROUP。

-PredicateExpression允许您为所记录的内容指定WHERE子句。我发现过滤掉一些应用程序用来检查数据库可用性的SELECT 1查询非常有用。例如：

Set-AzSqlDatabaseAudit -PredicateExpression "statement <> 'SELECT 1'" -ResourceGroupName "myRg" -ServerName "myServer" -DatabaseName "myDb" -LogAnalyticsTargetState Enabled -WorkspaceResourceId "/subscriptions/<subId>/resourcegroups/<rgName>/providers/microsoft.operationalinsights/workspaces/<workspaceName>"

请注意，列名是statement，而不是您在日志中看到的statement_s。