Какие гранты необходимы для плагина SQL Server Telegraf в базе данных Azure SQL - программирование
Подтвердить что ты не робот

Какие гранты необходимы для плагина SQL Server Telegraf в базе данных Azure SQL

Я использую входной плагин Telegraf для SQL Server (https://github.com/influxdata/telegraf/tree/master/plugins/inputs/sqlserver) для сбора метрик и создания отчетов для InfluxDB. Он хорошо работает для SQL Server, но, хотя он поддерживает базу данных SQL Azure, документация немного скудна.

Пользователь базы данных должен быть создан так:

CREATE LOGIN [telegraf] WITH PASSWORD = N'password';
GRANT VIEW SERVER STATE TO [telegraf];
GRANT VIEW ANY DEFINITION TO [telegraf];

Это работает на SQL Server, но в Azure происходит сбой:

Защищаемый класс 'server' не поддерживается в этой версии SQL Server.

Интересно, что мне нужно вместо этого дать, чтобы решить это наилучшим образом? У нас есть большое количество баз данных, работающих на одном и том же сервере в эластичном пуле, поэтому, если это возможно, я бы хотел использовать одного пользователя, который подключается к мастеру и собирает метрики для всех баз данных одновременно (как это работает) с SQL Server). Если это невозможно, я могу настроить несколько входов в систему и обрабатывать одну базу данных одновременно.

Возможно, я могу предоставить VIEW DEFINITION на уровне базы данных, но VIEW SERVER STATE, похоже, вообще не поддерживается.

Итак, как мне настроить логин базы данных SQL для Telegraf с помощью плагина SQL Server, чтобы он работал?

РЕДАКТИРОВАТЬ:

  • Запуск от имени суперпользователя на сервере работает без ошибок, но создает метрики только для master и tempdb. Мне нужны показатели для многих баз данных приложений, и они отсутствуют. Плюс работа в качестве супер пользователя не идеальна.
  • Запуск с правами суперпользователя на сервере, но подключение к конкретной базе данных приложения (добавление базы данных в строку подключения) приводит к сбою с разыменованием нулевого указателя, и журнал жалуется на то, что разрешение VIEW DATABASE STATE отклонено в хозяине базы данных (у суперпользователя есть доступ, но, по-видимому, не при подключении к специальной базе данных).
  • Предоставление VIEW DATABASE и VIEW DEFINITION телеграфу в базе данных приложения и прямое подключение к этой базе данных в случае сбоя телеграфа с разыменованием нулевого указателя и в журнале говорится, что соединение было закрыто.

РЕДАКТИРОВАТЬ 2:

Создан отчет об ошибке https://github.com/influxdata/telegraf/issues/4222.

РЕДАКТИРОВАТЬ 3:

Начиная с последней версии плагин работает, если используется учетная запись администратора сервера, поэтому проблема была решена. В базе данных Azure по-прежнему нет возможности работать с менее привилегированной учетной записью.

4b9b3361

ОТВЕТЫ

Ответ 1

Ответ: GRANT VIEW SERVER STATE не поддерживается в базе данных Azure SQL.

В SQL Database Premium Tiers требуется разрешение VIEW DATABASE STATE в базе данных. Разрешения не могут быть предоставлены Master, но представления могут быть запрошены в пользовательских базах данных. В SQL Database Standard и Basic Tiers требуется учетная запись администратора сервера базы данных SQL из-за требований безопасности, вытекающих из многоэтажного использования этих уровней.

Причина: SQL Azure SQL - это решение PaaS, поэтому большинство "серверных" функций, DMV, настройки блокируются по назначению

Рекомендации:

Grant View Server State - возможно ли, чтобы ни один пользователь SA не имел в Azure SQL?

Разрешение SQL Azure VIEW DATABASE STATE запрещено в базе данных "master"

Возможное обходное решение: (что, во всяком случае, не работает в случае ewramner)

CREATE LOGIN [telegraf] WITH PASSWORD = N'password';

USE [yourDB]
GRANT VIEW DEFINITION TO [telegraf];
GRANT VIEW DATABASE STATE TO [telegraf];

Поэтому (IMHO), нет никакого способа заставить такое приложение работать в SQL Azure без изменения кода приложения