خوادم Microsoft.Sql/auditingSettings 2021-11-01-preview

تعريف مورد Bicep

يمكن نشر نوع مورد servers/auditingSettings مع العمليات التي تستهدف:

  • مجموعات الموارد - راجع أوامر نشر مجموعة الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير .

تنسيق المورد

لإنشاء مورد Microsoft.Sql/servers/auditingSettings، أضف Bicep التالي إلى القالب الخاص بك.

resource symbolicname 'Microsoft.Sql/servers/auditingSettings@2021-11-01-preview' = {
  name: 'default'
  parent: resourceSymbolicName
  properties: {
    auditActionsAndGroups: [
      'string'
    ]
    isAzureMonitorTargetEnabled: bool
    isDevopsAuditEnabled: bool
    isManagedIdentityInUse: bool
    isStorageSecondaryKeyInUse: bool
    queueDelayMs: int
    retentionDays: int
    state: 'string'
    storageAccountAccessKey: 'string'
    storageAccountSubscriptionId: 'string'
    storageEndpoint: 'string'
  }
}

قيم الخصائص

servers/auditingSettings

اسم وصف قيمة
اسم اسم المورد

راجع كيفية تعيين الأسماء والأنواع للموارد التابعة في Bicep.
"افتراضي"
الوالد في Bicep، يمكنك تحديد المورد الأصل لمورد تابع. تحتاج فقط إلى إضافة هذه الخاصية عند الإعلان عن المورد التابع خارج المورد الأصل.

لمزيد من المعلومات، راجع مورد تابع خارج المورد الأصل.
اسم رمزي للمورد من النوع: خوادم
خصائص خصائص المورد. ServerBlobAuditingPolicyProperties

خصائص نهج ServerBlobAuditing

اسم وصف قيمة
auditActionsAndGroups تحديد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة:

BATCH_COMPLETED_GROUP،
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP،
FAILED_DATABASE_AUTHENTICATION_GROUP.

هذه المجموعة أعلاه هي أيضا المجموعة التي تم تكوينها بشكل افتراضي عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي:
اختار
تحديث
أدخل
حذف
أعدم
استلم
مراجع

النموذج العام لتحديد الإجراء الذي سيتم تدقيقه هو:
{action} ON {object} BY {principal}

لاحظ أن {object} بالتنسيق أعلاه يمكنه الرجوع إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيق Database-Level
سلسلة[]
isAzureMonitorTargetEnabled يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات.
لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API
أو إعدادات التشخيص PowerShell
قيمة منطقية
isDevopsAuditEnabled تحديد حالة تدقيق devops. إذا كانت الحالة ممكنة، إرسال سجلات devops إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled"، و"IsAzureMonitorTargetEnabled" على أنها true و"IsDevopsAuditEnabled" على أنها true

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API
أو إعدادات التشخيص PowerShell
قيمة منطقية
isManagedIdentityInUse تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم قيمة منطقية
isStorageSecondaryKeyInUse تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. قيمة منطقية
queueDelayMs يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق.
القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647.
الباحث
أيام الاستبقاء يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. الباحث
حالة تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. "معطل"
"ممكن" (مطلوب)
storageAccountAccessKey تحديد مفتاح المعرف لحساب تخزين التدقيق.
إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين.
المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
1. تعيين هوية مدارة معينة من قبل النظام ل SQL Server في Azure Active Directory (AAD).
2. منح الوصول إلى هوية SQL Server إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم.
لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
خيط

القيود:
قيمة حساسة. تمرير كمعلمة آمنة.
storageAccountSubscriptionId يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. خيط

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
نقطة نهاية التخزين تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب. خيط

قوالب التشغيل السريع

تنشر قوالب التشغيل السريع التالية نوع المورد هذا.

قالب وصف
Azure SQL Server مع التدقيق المكتوب إلى تخزين كائن ثنائي كبير الحجم

Deploy to Azure
يسمح لك هذا القالب بنشر خادم Azure SQL مع تمكين التدقيق لكتابة سجلات التدقيق إلى تخزين كائن ثنائي كبير الحجم
Azure SQL Server مع التدقيق المكتوب إلى مركز الأحداث

Deploy to Azure
يسمح لك هذا القالب بنشر خادم Azure SQL مع تمكين التدقيق لكتابة سجلات التدقيق إلى Event Hub
Azure SQL Server مع التدقيق المكتوب إلى Log Analytics

Deploy to Azure
يسمح لك هذا القالب بنشر خادم Azure SQL مع تمكين التدقيق لكتابة سجلات التدقيق إلى Log Analytics (مساحة عمل OMS)
تجمع SQL مخصص مع تشفير شفاف

Deploy to Azure
إنشاء SQL Server وتجمع SQL مخصص (المعروف سابقا ب SQL DW) مع تشفير البيانات الشفاف.

تعريف مورد قالب ARM

يمكن نشر نوع مورد servers/auditingSettings مع العمليات التي تستهدف:

  • مجموعات الموارد - راجع أوامر نشر مجموعة الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير .

تنسيق المورد

لإنشاء مورد Microsoft.Sql/servers/auditingSettings، أضف JSON التالي إلى القالب الخاص بك.

{
  "type": "Microsoft.Sql/servers/auditingSettings",
  "apiVersion": "2021-11-01-preview",
  "name": "default",
  "properties": {
    "auditActionsAndGroups": [ "string" ],
    "isAzureMonitorTargetEnabled": "bool",
    "isDevopsAuditEnabled": "bool",
    "isManagedIdentityInUse": "bool",
    "isStorageSecondaryKeyInUse": "bool",
    "queueDelayMs": "int",
    "retentionDays": "int",
    "state": "string",
    "storageAccountAccessKey": "string",
    "storageAccountSubscriptionId": "string",
    "storageEndpoint": "string"
  }
}

قيم الخصائص

servers/auditingSettings

اسم وصف قيمة
نوع نوع المورد 'Microsoft.Sql/servers/auditingSettings'
apiVersion إصدار واجهة برمجة تطبيقات المورد '2021-11-01-preview'
اسم اسم المورد

راجع كيفية تعيين الأسماء والأنواع للموارد التابعة في قوالب JSON ARM.
"افتراضي"
خصائص خصائص المورد. ServerBlobAuditingPolicyProperties

خصائص نهج ServerBlobAuditing

اسم وصف قيمة
auditActionsAndGroups تحديد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة:

BATCH_COMPLETED_GROUP،
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP،
FAILED_DATABASE_AUTHENTICATION_GROUP.

هذه المجموعة أعلاه هي أيضا المجموعة التي تم تكوينها بشكل افتراضي عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي:
اختار
تحديث
أدخل
حذف
أعدم
استلم
مراجع

النموذج العام لتحديد الإجراء الذي سيتم تدقيقه هو:
{action} ON {object} BY {principal}

لاحظ أن {object} بالتنسيق أعلاه يمكنه الرجوع إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيق Database-Level
سلسلة[]
isAzureMonitorTargetEnabled يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات.
لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API
أو إعدادات التشخيص PowerShell
قيمة منطقية
isDevopsAuditEnabled تحديد حالة تدقيق devops. إذا كانت الحالة ممكنة، إرسال سجلات devops إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled"، و"IsAzureMonitorTargetEnabled" على أنها true و"IsDevopsAuditEnabled" على أنها true

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API
أو إعدادات التشخيص PowerShell
قيمة منطقية
isManagedIdentityInUse تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم قيمة منطقية
isStorageSecondaryKeyInUse تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. قيمة منطقية
queueDelayMs يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق.
القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647.
الباحث
أيام الاستبقاء يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. الباحث
حالة تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. "معطل"
"ممكن" (مطلوب)
storageAccountAccessKey تحديد مفتاح المعرف لحساب تخزين التدقيق.
إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين.
المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
1. تعيين هوية مدارة معينة من قبل النظام ل SQL Server في Azure Active Directory (AAD).
2. منح الوصول إلى هوية SQL Server إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم.
لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
خيط

القيود:
قيمة حساسة. تمرير كمعلمة آمنة.
storageAccountSubscriptionId يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. خيط

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
نقطة نهاية التخزين تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب. خيط

قوالب التشغيل السريع

تنشر قوالب التشغيل السريع التالية نوع المورد هذا.

قالب وصف
Azure SQL Server مع التدقيق المكتوب إلى تخزين كائن ثنائي كبير الحجم

Deploy to Azure
يسمح لك هذا القالب بنشر خادم Azure SQL مع تمكين التدقيق لكتابة سجلات التدقيق إلى تخزين كائن ثنائي كبير الحجم
Azure SQL Server مع التدقيق المكتوب إلى مركز الأحداث

Deploy to Azure
يسمح لك هذا القالب بنشر خادم Azure SQL مع تمكين التدقيق لكتابة سجلات التدقيق إلى Event Hub
Azure SQL Server مع التدقيق المكتوب إلى Log Analytics

Deploy to Azure
يسمح لك هذا القالب بنشر خادم Azure SQL مع تمكين التدقيق لكتابة سجلات التدقيق إلى Log Analytics (مساحة عمل OMS)
تجمع SQL مخصص مع تشفير شفاف

Deploy to Azure
إنشاء SQL Server وتجمع SQL مخصص (المعروف سابقا ب SQL DW) مع تشفير البيانات الشفاف.

تعريف مورد Terraform (موفر AzAPI)

يمكن نشر نوع مورد servers/auditingSettings مع العمليات التي تستهدف:

  • مجموعات الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير .

تنسيق المورد

لإنشاء مورد Microsoft.Sql/servers/auditingSettings، أضف Terraform التالي إلى القالب الخاص بك.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Sql/servers/auditingSettings@2021-11-01-preview"
  name = "default"
  parent_id = "string"
  body = jsonencode({
    properties = {
      auditActionsAndGroups = [
        "string"
      ]
      isAzureMonitorTargetEnabled = bool
      isDevopsAuditEnabled = bool
      isManagedIdentityInUse = bool
      isStorageSecondaryKeyInUse = bool
      queueDelayMs = int
      retentionDays = int
      state = "string"
      storageAccountAccessKey = "string"
      storageAccountSubscriptionId = "string"
      storageEndpoint = "string"
    }
  })
}

قيم الخصائص

servers/auditingSettings

اسم وصف قيمة
نوع نوع المورد "Microsoft.Sql/servers/auditingSettings@2021-11-01-preview"
اسم اسم المورد "افتراضي"
parent_id معرف المورد الأصل لهذا المورد. معرف المورد من النوع: خوادم
خصائص خصائص المورد. ServerBlobAuditingPolicyProperties

خصائص نهج ServerBlobAuditing

اسم وصف قيمة
auditActionsAndGroups تحديد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة:

BATCH_COMPLETED_GROUP،
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP،
FAILED_DATABASE_AUTHENTICATION_GROUP.

هذه المجموعة أعلاه هي أيضا المجموعة التي تم تكوينها بشكل افتراضي عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي:
اختار
تحديث
أدخل
حذف
أعدم
استلم
مراجع

النموذج العام لتحديد الإجراء الذي سيتم تدقيقه هو:
{action} ON {object} BY {principal}

لاحظ أن {object} بالتنسيق أعلاه يمكنه الرجوع إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيق Database-Level
سلسلة[]
isAzureMonitorTargetEnabled يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات.
لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API
أو إعدادات التشخيص PowerShell
قيمة منطقية
isDevopsAuditEnabled تحديد حالة تدقيق devops. إذا كانت الحالة ممكنة، إرسال سجلات devops إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled"، و"IsAzureMonitorTargetEnabled" على أنها true و"IsDevopsAuditEnabled" على أنها true

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API
أو إعدادات التشخيص PowerShell
قيمة منطقية
isManagedIdentityInUse تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم قيمة منطقية
isStorageSecondaryKeyInUse تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. قيمة منطقية
queueDelayMs يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق.
القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647.
الباحث
أيام الاستبقاء يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. الباحث
حالة تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. "معطل"
"ممكن" (مطلوب)
storageAccountAccessKey تحديد مفتاح المعرف لحساب تخزين التدقيق.
إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين.
المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
1. تعيين هوية مدارة معينة من قبل النظام ل SQL Server في Azure Active Directory (AAD).
2. منح الوصول إلى هوية SQL Server إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم.
لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
خيط

القيود:
قيمة حساسة. تمرير كمعلمة آمنة.
storageAccountSubscriptionId يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. خيط

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
نقطة نهاية التخزين تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب. خيط