خوادم Microsoft.Sql/extendedAuditingSettings

تعريف مورد Bicep

يمكن نشر نوع مورد servers/extendedAuditingSettings مع العمليات التي تستهدف:

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.

تنسيق المورد

لإنشاء مورد Microsoft.Sql/servers/extendedAuditingSettings، أضف Bicep التالي إلى القالب الخاص بك.

resource symbolicname 'Microsoft.Sql/servers/extendedAuditingSettings@2023-05-01-preview' = {
  name: 'default'
  parent: resourceSymbolicName
  properties: {
    auditActionsAndGroups: [
      'string'
    ]
    isAzureMonitorTargetEnabled: bool
    isDevopsAuditEnabled: bool
    isManagedIdentityInUse: bool
    isStorageSecondaryKeyInUse: bool
    predicateExpression: 'string'
    queueDelayMs: int
    retentionDays: int
    state: 'string'
    storageAccountAccessKey: 'string'
    storageAccountSubscriptionId: 'string'
    storageEndpoint: 'string'
  }
}

قيم Property

servers/extendedAuditingSettings

الاسم الوصف القيمة
الاسم اسم المورد

تعرف على كيفية تعيين الأسماء والأنواع للموارد التابعة في Bicep.
"افتراضي"
أصل في Bicep، يمكنك تحديد المورد الأصل لمورد تابع. تحتاج فقط إلى إضافة هذه الخاصية عند الإعلان عن المورد التابع خارج المورد الأصل.

لمزيد من المعلومات، راجع المورد التابع خارج المورد الأصل.
اسم رمزي للمورد من النوع: الخوادم
خصائص خصائص المورد. ExtendedServerBlobAuditingPolicyProperties

ExtendedServerBlobAuditingPolicyProperties

الاسم الوصف القيمة
auditActionsAndGroups يحدد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة المنفذة مقابل قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والفشلة:

BATCH_COMPLETED_GROUP،
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP،
FAILED_DATABASE_AUTHENTICATION_GROUP.

هذه المجموعة أعلاه هي أيضا المجموعة التي يتم تكوينها افتراضيا عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها مقابل قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع مجموعات إجراءات التدقيق على مستوى قاعدة البيانات.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات محددة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي:
حدد
تحديث:
INSERT
DELETE
EXECUTE
تتلقي
REFERENCES

النموذج العام لتعريف إجراء سيتم تدقيقه هو:
{action} ON {object} BY {principal}

لاحظ أن {object} بالتنسيق أعلاه يمكنه الرجوع إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النموذجين DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيق على مستوى قاعدة البيانات
سلسلة []
isAzureMonitorTargetEnabled يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "SQLSecurityAuditEvents" على قاعدة البيانات.
لاحظ أنه بالنسبة للتدقيق على مستوى الخادم، يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع واجهة برمجة تطبيقات REST لإعدادات التشخيص
أو إعدادات التشخيص PowerShell
Bool
isDevopsAuditEnabled يحدد حالة تدقيق devops. إذا كانت الحالة ممكنة، فسيتم إرسال سجلات devops إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled"، و"IsAzureMonitorTargetEnabled" على أنها true و"IsDevopsAuditEnabled" على أنها true

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع واجهة برمجة تطبيقات REST لإعدادات التشخيص
أو إعدادات التشخيص PowerShell
Bool
isManagedIdentityInUse تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين الكائن الثنائي كبير الحجم Bool
isStorageSecondaryKeyInUse يحدد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. Bool
predicateExpression يحدد شرط حيث العبارة عند إنشاء تدقيق. سلسلة
queueDelayMs يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق.
القيمة الدنيا الافتراضية هي 1000 (ثانية واحدة). الحد الأقصى هو 2,147,483,647.
int
أيام الاستبقاء يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. int
حالة يحدد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. "معطل"
"ممكن" (مطلوب)
storageAccountAccessKey يحدد مفتاح المعرف لحساب تخزين التدقيق.
إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين.
المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
1. تعيين SQL Server هوية مدارة معينة من قبل النظام في Azure Active Directory (AAD).
2. امنح SQL Server الوصول إلى الهوية إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم.
لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
سلسلة

القيود:
قيمة حساسة. قم بالتمرير كمعلمة آمنة.
storageAccountSubscriptionId يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. سلسلة

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
نقطة نهاية التخزين يحدد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب. سلسلة

تعريف مورد قالب ARM

يمكن نشر نوع مورد servers/extendedAuditingSettings مع العمليات التي تستهدف:

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.

تنسيق المورد

لإنشاء مورد Microsoft.Sql/servers/extendedAuditingSettings، أضف JSON التالي إلى القالب الخاص بك.

{
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "apiVersion": "2023-05-01-preview",
  "name": "default",
  "properties": {
    "auditActionsAndGroups": [ "string" ],
    "isAzureMonitorTargetEnabled": "bool",
    "isDevopsAuditEnabled": "bool",
    "isManagedIdentityInUse": "bool",
    "isStorageSecondaryKeyInUse": "bool",
    "predicateExpression": "string",
    "queueDelayMs": "int",
    "retentionDays": "int",
    "state": "string",
    "storageAccountAccessKey": "string",
    "storageAccountSubscriptionId": "string",
    "storageEndpoint": "string"
  }
}

قيم Property

servers/extendedAuditingSettings

الاسم الوصف القيمة
النوع نوع المورد 'Microsoft.Sql/servers/extendedAuditingSettings'
apiVersion إصدار واجهة برمجة تطبيقات المورد 'معاينة 2023-05-01'
الاسم اسم المورد

تعرف على كيفية تعيين الأسماء والأنواع للموارد التابعة في قوالب JSON ARM.
"افتراضي"
خصائص خصائص المورد. ExtendedServerBlobAuditingPolicyProperties

ExtendedServerBlobAuditingPolicyProperties

الاسم الوصف القيمة
auditActionsAndGroups يحدد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة المنفذة مقابل قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والفشلة:

BATCH_COMPLETED_GROUP،
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP،
FAILED_DATABASE_AUTHENTICATION_GROUP.

هذه المجموعة أعلاه هي أيضا المجموعة التي يتم تكوينها افتراضيا عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها مقابل قاعدة البيانات، ولا ينبغي استخدامها مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع مجموعات إجراءات التدقيق على مستوى قاعدة البيانات.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات محددة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي:
حدد
تحديث:
INSERT
DELETE
EXECUTE
تتلقي
REFERENCES

النموذج العام لتعريف إجراء سيتم تدقيقه هو:
{action} ON {object} BY {principal}

لاحظ أن {object} بالتنسيق أعلاه يمكن أن يشير إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النموذجين DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيق على مستوى قاعدة البيانات
سلسلة []
isAzureMonitorTargetEnabled يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "SQLSecurityAuditEvents" على قاعدة البيانات.
لاحظ أنه بالنسبة للتدقيق على مستوى الخادم، يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع واجهة برمجة تطبيقات REST لإعدادات التشخيص
أو إعدادات التشخيص PowerShell
Bool
isDevopsAuditEnabled يحدد حالة تدقيق devops. إذا كانت الحالة ممكنة، فسيتم إرسال سجلات devops إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled"، و"IsAzureMonitorTargetEnabled" على أنها true و"IsDevopsAuditEnabled" على أنها true

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع واجهة برمجة تطبيقات REST لإعدادات التشخيص
أو إعدادات التشخيص PowerShell
Bool
isManagedIdentityInUse تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين الكائن الثنائي كبير الحجم Bool
isStorageSecondaryKeyInUse يحدد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. Bool
predicateExpression يحدد شرط حيث العبارة عند إنشاء تدقيق. سلسلة
queueDelayMs يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق.
القيمة الدنيا الافتراضية هي 1000 (ثانية واحدة). الحد الأقصى هو 2,147,483,647.
int
أيام الاستبقاء يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. int
حالة يحدد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. "معطل"
"ممكن" (مطلوب)
storageAccountAccessKey يحدد مفتاح المعرف لحساب تخزين التدقيق.
إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين.
المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
1. تعيين SQL Server هوية مدارة معينة من قبل النظام في Azure Active Directory (AAD).
2. امنح SQL Server الوصول إلى الهوية إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم.
لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
سلسلة

القيود:
قيمة حساسة. قم بالتمرير كمعلمة آمنة.
storageAccountSubscriptionId يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. سلسلة

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
نقطة نهاية التخزين يحدد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب. سلسلة

تعريف مورد Terraform (موفر AzAPI)

يمكن نشر نوع مورد servers/extendedAuditingSettings مع العمليات التي تستهدف:

  • مجموعات الموارد

للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.

تنسيق المورد

لإنشاء مورد Microsoft.Sql/servers/extendedAuditingSettings، أضف Terraform التالي إلى القالب الخاص بك.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Sql/servers/extendedAuditingSettings@2023-05-01-preview"
  name = "default"
  parent_id = "string"
  body = jsonencode({
    properties = {
      auditActionsAndGroups = [
        "string"
      ]
      isAzureMonitorTargetEnabled = bool
      isDevopsAuditEnabled = bool
      isManagedIdentityInUse = bool
      isStorageSecondaryKeyInUse = bool
      predicateExpression = "string"
      queueDelayMs = int
      retentionDays = int
      state = "string"
      storageAccountAccessKey = "string"
      storageAccountSubscriptionId = "string"
      storageEndpoint = "string"
    }
  })
}

قيم Property

servers/extendedAuditingSettings

الاسم الوصف القيمة
النوع نوع المورد "Microsoft.Sql/servers/extendedAuditingSettings@2023-05-01-preview"
الاسم اسم المورد "افتراضي"
parent_id معرف المورد الأصل لهذا المورد. معرف المورد من النوع: الخوادم
خصائص خصائص المورد. ExtendedServerBlobAuditingPolicyProperties

ExtendedServerBlobAuditingPolicyProperties

الاسم الوصف القيمة
auditActionsAndGroups يحدد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة المنفذة مقابل قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والفشلة:

BATCH_COMPLETED_GROUP،
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP،
FAILED_DATABASE_AUTHENTICATION_GROUP.

هذه المجموعة أعلاه هي أيضا المجموعة التي يتم تكوينها افتراضيا عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها مقابل قاعدة البيانات، ولا ينبغي استخدامها مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع مجموعات إجراءات التدقيق على مستوى قاعدة البيانات.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات محددة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي:
حدد
تحديث:
INSERT
DELETE
EXECUTE
تتلقي
REFERENCES

النموذج العام لتعريف إجراء سيتم تدقيقه هو:
{action} ON {object} BY {principal}

لاحظ أن {object} بالتنسيق أعلاه يمكن أن يشير إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النموذجين DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيق على مستوى قاعدة البيانات
سلسلة []
isAzureMonitorTargetEnabled يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "SQLSecurityAuditEvents" على قاعدة البيانات.
لاحظ أنه بالنسبة للتدقيق على مستوى الخادم، يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع واجهة برمجة تطبيقات REST لإعدادات التشخيص
أو إعدادات التشخيص PowerShell
Bool
isDevopsAuditEnabled يحدد حالة تدقيق devops. إذا كانت الحالة ممكنة، فسيتم إرسال سجلات devops إلى Azure Monitor.
لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled"، و"IsAzureMonitorTargetEnabled" على أنها true و"IsDevopsAuditEnabled" على أنها true

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.

تنسيق URI لإعدادات التشخيص:
وضع https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع واجهة برمجة تطبيقات REST لإعدادات التشخيص
أو إعدادات التشخيص PowerShell
Bool
isManagedIdentityInUse تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين الكائن الثنائي كبير الحجم Bool
isStorageSecondaryKeyInUse يحدد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. Bool
predicateExpression يحدد شرط حيث العبارة عند إنشاء تدقيق. سلسلة
queueDelayMs يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق.
القيمة الدنيا الافتراضية هي 1000 (ثانية واحدة). الحد الأقصى هو 2,147,483,647.
int
أيام الاستبقاء يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. int
حالة يحدد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. "معطل"
"ممكن" (مطلوب)
storageAccountAccessKey يحدد مفتاح المعرف لحساب تخزين التدقيق.
إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين.
المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
1. تعيين SQL Server هوية مدارة معينة من قبل النظام في Azure Active Directory (AAD).
2. امنح SQL Server الوصول إلى الهوية إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم.
لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
سلسلة

القيود:
قيمة حساسة. قم بالتمرير كمعلمة آمنة.
storageAccountSubscriptionId يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. سلسلة

القيود:
الحد الأدنى للطول = 36
الحد الأقصى للطول = 36
النمط = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
نقطة نهاية التخزين يحدد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب. سلسلة