Questa pagina descrive il controllo del database in Cloud SQL utilizzando la funzionalità di SQL Server Audit.
Panoramica
In Cloud SQL, le funzionalità di SQL Server Audit includono quanto segue:
- Creazione di specifiche di controllo del server
- Monitoraggio e registrazione di eventi a livello di server e di database
Per ulteriori informazioni sulle funzionalità di SQL Server Audit, consulta SQL Server Audit (Database Engine).
Prima di iniziare
Prima di attivare il controllo del database, esamina i prerequisiti in questa sezione.
Bucket Cloud Storage per i file di controllo
I file di controllo (audit log) vengono caricati in una posizione del bucket Cloud Storage. Pertanto, potrebbe essere necessario creare un bucket di proprietà del tuo account Google Cloud.
In alternativa, puoi utilizzare una posizione del bucket di proprietà di un altro account. Quando
attivi il controllo, se disponi delle autorizzazioni necessarie,
il roles/storage.objectAdmin
ruolo
viene concesso automaticamente per il caricamento dei file di controllo nella posizione del bucket del
account di servizio specificato. Se
non disponi delle autorizzazioni necessarie, devi concederle per l'account di servizio in un secondo momento.
Utente valido per l'attivazione del controllo
Per attivare il controllo e creare specifiche di controllo, deve essere disponibile l'utente sqlserver
predefinito. Quando hai creato un'istanza Cloud SQL per SQL Server, è stato creato per te l'utente predefinito sqlserver
.
Attivazione del controllo
Quando attivi il controllo, è necessaria una posizione Cloud Storage. I seguenti elementi sono facoltativi:
- Il periodo di conservazione dei log nell'istanza
- L'intervallo di caricamento (frequenza di caricamento)
Console
-
Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.
- Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
- Fai clic su Modifica.
- Nella sezione Personalizza la tua istanza, fai clic su Flag e parametri.
- Seleziona la casella di controllo accanto ad Abilita l'audit SQL Server.
- Specifica un bucket Cloud Storage come posizione in cui vengono caricati i file di controllo.
- Fai clic su Opzioni avanzate.
- Se vuoi, specifica un numero di giorni per la conservazione dei log (da 1 a 7 giorni; 7 giorni è il valore predefinito).
- Se vuoi, specifica la frequenza di caricamento dei log (file di controllo) in minuti (da 1 a 720 minuti; 10 minuti è il valore predefinito).
- Fai clic su Salva per applicare le modifiche.
gcloud
Il seguente comando abilita il controllo:
gcloud sql instances patch INSTANCE_NAME --audit-bucket-path=gs://my-bucket --audit-retention-interval=24h --audit-upload-interval=10m
La seguente tabella riassume i parametri gcloud
di questa operazione:
Parametro | Descrizione | Valori consentiti | Valore predefinito |
--audit-bucket-path |
Obbligatorio. La posizione, sotto forma di bucket Cloud Storage, in cui vengono caricati i file di controllo. | Vuoto se il controllo è disattivato. In caso contrario, un percorso del bucket che inizia con: gs:// |
Vuoto, perché per impostazione predefinita il controllo è disattivato. |
--audit-retention-interval |
Facoltativo. Il numero di giorni per la conservazione dei log di controllo sul disco. | 1-7 giorni. Sono consentiti solo i giorni. | 7 giorni. |
--audit-upload-interval |
Facoltativo. La frequenza di caricamento dei log di controllo (file di controllo). | 1-720 minuti. | 10 minuti. |
REST v1
Utilizzando l'API REST, puoi attivare il controllo per un'istanza. Come mostrato nel seguente prototipo di richiesta, puoi specificare un bucket Cloud Storage, un numero di giorni per la conservazione dei file di controllo e una frequenza per il caricamento dei file di controllo. È obbligatoria solo la posizione del bucket. Per saperne di più, consulta SqlServerAuditConfig:
{ "databaseVersion":"database-version", "name":"instance-id", "region":"region", "rootPassword":"password", "settings":{ "tier":"machine-type", "sqlServerAuditConfig":{ "bucket":"gs://mybucket", "retentionInterval":"24h", "uploadInterval":"10m" } } }
REST v1beta4
Utilizzando l'API REST, puoi attivare il controllo per un'istanza. Come mostrato nel seguente prototipo di richiesta, puoi specificare un bucket Cloud Storage, un numero di giorni per la conservazione dei file di controllo e una frequenza per il caricamento dei file di controllo. È obbligatoria solo la posizione del bucket. Per saperne di più, consulta SqlServerAuditConfig:
{ "databaseVersion":"database-version", "name":"instance-id", "region":"region", "rootPassword":"password", "settings":{ "tier":"machine-type", "sqlServerAuditConfig":{ "bucket":"gs://mybucket", "retentionInterval":"24h", "uploadInterval":"10m" } } }
Disabilitazione dei controlli
Questa sezione contiene le opzioni per disattivare il controllo. Quando disattivi il controllo, tutti i file di controllo, inclusi quelli non ancora caricati, vengono eliminati dall'istanza. Inoltre, tutti i controlli del server sono disattivati e devono essere nuovamente attivati per riprendere il controllo. Gli audit log caricati nel bucket Cloud Storage potrebbero rimanere, a seconda delle impostazioni di conservazione del bucket.
Di seguito sono riportate le opzioni per disattivare i controlli.
Console
-
Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.
- Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
- Fai clic su Modifica.
- Nella sezione Personalizza la tua istanza, fai clic su Flag e parametri.
- Deseleziona la casella di controllo accanto ad Abilita l'audit di SQL Server.
- Fai clic su Salva per applicare le modifiche.
gcloud
Il seguente comando, che omette un valore per il parametro --audit-bucket-path
, disattiva il controllo:
gcloud sql instances patch INSTANCE_NAME --audit-bucket-path=
REST v1
Di seguito è riportato un prototipo di richiesta per la disattivazione del controllo, che omette i campi dell'oggetto sqlServerAuditConfig
:
{ "databaseVersion":"database-version", "name":"instance-id", "region":"region", "rootPassword":"password", "settings":{ "tier":"machine-type", "sqlServerAuditConfig":{ } } }
REST v1beta4
Di seguito è riportato un prototipo di richiesta per la disattivazione del controllo, che omette i campi dell'oggetto sqlServerAuditConfig
:
{ "databaseVersion":"database-version", "name":"instance-id", "region":"region", "rootPassword":"password", "settings":{ "tier":"machine-type", "sqlServerAuditConfig":{ } } }
Caricamento automatico dei file di controllo
Dopo aver attivato il controllo, i file di controllo generati vengono caricati automaticamente nel bucket Cloud Storage specificato.
Anche i file di controllo generati vengono archiviati nell'istanza fino alla scadenza del periodo di conservazione (intervallo) configurato. Al termine di questo periodo, i file di controllo vengono eliminati definitivamente, anche quelli che non è stato possibile caricare.
Creazione di controlli del server
Dopo aver attivato il controllo, l'utente sqlserver
predefinito ha le autorizzazioni per creare, modificare ed eliminare i controlli del server.
Utilizza il comando CREATE SERVER AUDIT per definire nuovi controlli del server. Puoi anche utilizzare l'interfaccia utente di SQL Server Management Studio (SSMS) per creare controlli del server.
Per tutti i controlli del server vengono applicate le seguenti categorie di parametri:
Categoria del parametro | Valori consentiti |
In caso di errore dell'audit log | Continuare o interrompere |
Destinazione dell'audit | File |
Percorso | /var/opt/mssql/audit
|
Massima dimensione del file | 2-50 MB |
File di rollover massimi | Deve essere: non configurato |
File massimi | Deve essere: non configurato |
Riservare spazio su disco | Off |
Controlli di lettura
Lettura dei controlli da un'istanza
Per recuperare i dati da un file di controllo creato da un controllo del server, puoi utilizzare la seguente stored procedure: msdb.dbo.gcloudsql_fn_get_audit_file
. La procedura msdb.dbo.gcloudsql_fn_get_audit_file
accetta gli stessi parametri della funzione sys.fn_get_audit_file
.
Pertanto, per informazioni sull'utilizzo di questa stored procedure, consulta
sys.fn_get_audit_file
.
Ecco un esempio di utilizzo della procedura msdb.dbo.gcloudsql_fn_get_audit_file
per recuperare i dati di controllo:
SELECT event_time, statement FROM msdb.dbo.gcloudsql_fn_get_audit_file('/var/opt/mssql/audit/*', NULL, NULL) WHERE statement LIKE '%INSERT%'
Lettura dei controlli da un bucket
Per leggere gli audit da un bucket Cloud Storage, puoi scaricare i file dal bucket a un'istanza SQL Server. L'istanza SQL Server potrebbe essere:
- Un'istanza Windows Compute Engine
- Un'istanza Linux Compute Engine
- Un altro tipo di istanza su cui è in esecuzione SQL Server
I file di controllo del bucket devono essere trasferiti in una posizione accessibile a quell'istanza, ad esempio il disco locale. Poi, per restituire le informazioni dai file di controllo, esegui la funzione sys.fn_get_audit_file
utilizzando un membro del ruolo del server fisso serveradmin. Ad esempio, da un'istanza Windows, se hai trasferito i file di controllo in D:\Audit
, potresti utilizzare un comando simile al seguente:
SELECT event_time, statement FROM sys.fn_get_audit_file('D:\Audit\*.*', NULL, NULL) WHERE statement LIKE '%INSERT%'
Monitoraggio delle metriche
Puoi monitorare le operazioni relative agli audit nell'ambito delle metriche di Cloud SQL, disponibili tramite Metrics Explorer:
- database/sqlserver/audits_upload_count. Questa metrica indica il totale dei tentativi di caricamento dei file di controllo, per i tentativi riusciti e non riusciti. Controlla questa metrica per monitorare se i caricamenti sono andati a buon fine.
- database/sqlserver/audits_size. Questa metrica indica la quantità di spazio su disco utilizzata dai file di controllo archiviati nell'istanza al momento di una misurazione. Questa metrica fornisce le dimensioni totali dei file di controllo sull'istanza, in byte.
Best practice
- Per evitare di trasferire file di grandi dimensioni tra regioni, valuta la possibilità di:
- Creazione di bucket Cloud Storage multiregionali oppure
- Configurare il bucket Cloud Storage di destinazione nella stessa regione dell'istanza
- Prima di utilizzare la funzionalità di SQL Server Audit, ti consigliamo di attivare gli aumenti automatici dello spazio di archiviazione. I file di controllo, a seconda delle dimensioni totali e degli intervalli di conservazione, potrebbero richiedere molto spazio su disco.
- Dopo aver attivato il controllo, verifica che l'istanza possa caricare i file di controllo nel tuo bucket Cloud Storage. Se il richiedente che ha configurato il controllo non disponeva delle autorizzazioni necessarie per caricare file nel bucket Cloud Storage, le autorizzazioni non vengono concesse automaticamente.
- Configura un criterio di avviso basato su metriche per ricevere notifiche sui tentativi di caricamento non riusciti e sull'utilizzo eccessivo del disco.
- Per evitare di conservare troppi file di controllo per troppo tempo, configura un criterio di conservazione dei dati per il tuo bucket Cloud Storage.