目录

（一）前言

（二）正文

1. 创建容器

（1）搜索到存储账户类型资源

（2）点击进入存储账户

（3）点击BLOB服务

（4）新建容器

2. 配置审核日志

（1）使用 T-SQL 为审核日志配置 Blob 存储

（2）使用 SQL Server Management Studio 18 为审核日志配置 Blob 存储

---

（一）前言

在前面在Azure上设置存储账户一文中我们已经提到了创建存储账户的过程，那有了存储账户后我们需要在其上同时创建实体容器以便正式收纳我们需要存放的文件信息，本文我将用一个存放AZURE SQL MI（Azure SQL托管实例）的审计日志为例子，做一下详细展开说明。

（二）正文

1. 创建容器

（1）搜索到存储账户类型资源

（2）点击进入存储账户

在这里我们选择在引言中提到的在Azure上设置存储账户文中所提到创建的存储账户

（3）点击BLOB服务

 

（4）新建容器

 

点击进入这个容器，可以看到创建成功了： 

 此处的“上传”按钮即可上传我们的本地文件：

2. 配置审核日志

为审核日志创建容器后，可通过两种方式将其配置为审核日志的目标，即使用T-SQL以及使用 SQL Server Management Studio (SSMS) UI
使用 SQL Server Management Studio (SSMS) UI模式

（1）使用 T-SQL 为审核日志配置 Blob 存储

a. 在容器列表中，单击新创建的容器，然后单击“容器属性”。

b. 通过单击复制图标来复制容器 URL并保存该 URL（例如在记事本中）供将来使用。 容器 URL 格式应当为 https://<StorageName>.blob.core.windows.net/<ContainerName>

c. 生成一个 Azure 存储 SAS 令牌，用于向存储帐户授予托管实例审核访问权限：

• 导航到你在其中创建了容器的 Azure 存储帐户。

• 在“存储设置”菜单中单击“共享访问签名” 。

如下所述配置 SAS：

• 允许的服务：Blob

• 开始日期：为避免与时区相关的问题，请使用昨天的日期

• 结束日期：选择此 SAS 令牌的到期日期

 备注

在到期时续订令牌，以避免审核失败。

单击“生成 SAS”。

SAS 令牌会显示在底部。 通过单击复制图标来复制令牌并保存该令牌（例如在记事本中）供将来使用。

重要

从令牌的开头删除问号 (?) 字符。

 d. 通过 SQL Server Management Studio 或任何其他支持的工具连接到托管实例。

e. 执行以下 T-SQL 语句来使用你在前面的步骤中创建的容器 URL 和 SAS 令牌创建新凭据：

CREATE CREDENTIAL [<container_url>]
WITH IDENTITY='SHARED ACCESS SIGNATURE',
SECRET = '<SAS KEY>'
GO

f. 执行以下 T-SQL 语句来创建新的服务器审核（请选择自己的审核名称，并使用在前面步骤中创建的容器 URL）。 如果未指定，则 RETENTION_DAYS 默认为 0（无限期保留）： 

CREATE SERVER AUDIT [<your_audit_name>]
TO URL ( PATH ='<container_url>' , RETENTION_DAYS =  integer )
GO

注意这条T-SQL一定要切换到MASTER DB才可以操作！！！！！！ 

 

g. 启用Audit 

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE=ON);
GO

发现红色X消失，说明启用成功！！！ 

 

查看并下载审核日志

回到Azure Portal检查是否审核日志已经产生

一路点击下去，发现已经有文件夹路径了！！而且是我们所需要审计的托管实例！！！成功！！

 

单击这个文件，可以选择下载到本地来 

 

（2）使用 SQL Server Management Studio 18 为审核日志配置 Blob 存储

此方法一般适用于GLOBAL版的AZURE，因为后面涉及到用GLOBAL AZURE账号进行登录链接相关BLOB资源，如果大家使用的是中国版的AZURE账号，还是建议使用T-SQL方法

a. 使用 SQL Server Management Studio UI 连接到托管实例：

 

b.  展开对象资源管理器的根节点

c. 展开“安全性”节点，右键单击“审核”节点，然后单击“新建审核” 

 

 

d. 确保“审核目标”中已选择“URL”，然后单击“浏览” ： 

URL在上一步T-SQL章节里已经提过

e.登录到 Azure 帐户：

 

 

f. 从下拉列表中选择订阅、存储帐户和 Blob 容器，或者单击“创建”来创建自己的容器。 完成后，单击“确定”：

g. 在“创建审核”对话框中单击“确定” ,同样最后需要开启审核生效 

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE=ON);
GO