データベースに「いつ・誰が・どんな操作をしたか」を記録する監査(Auditing)は、セキュリティ インシデントの調査やコンプライアンス要件への対応に欠かせない機能です。Azure SQL Database では、サーバーまたはデータベース単位で監査を有効化し、イベントを Storage Account・Log Analytics・Event Hubs のいずれかに送信できます。
このラボでは、最も基本的な構成である「Storage Account への監査ログ出力」を実際に構築します。az CLI で SQL Server(論理サーバー)と Basic レベルのデータベースを作成し、サーバーレベル監査を有効化したうえで、Cloud Shell の sqlcmd からクエリを実行して監査イベントを発生させます。最後に、拡張イベント形式(.xel)のログ ファイルがストレージに書き込まれることを確認します。
監査の構成は AZ-500(Azure セキュリティ エンジニア)と DP-300(Azure データベース管理者)の両試験で問われる定番トピックです。手を動かしながら、サーバーレベルとデータベースレベルの監査の違い、既定で監査されるアクション グループ、ログの保存形式を確認していきます。
詳細な手順は、ラボ開始後に画面内のガイドとして表示されます。