مشاركة عبر

DatabaseBlobAuditingPolicy interface

الحزمة:
@azure/arm-sql

نهج تدقيق كائن ثنائي كبير الحجم لقاعدة البيانات.

يمتد
ProxyResource

الخصائص

auditActionsAndGroups

تحديد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة:

BATCH_COMPLETED_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP

هذه المجموعة أعلاه هي أيضا المجموعة التي تم تكوينها بشكل افتراضي عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي: SELECT UPDATE INSERT INSERT DELETE EXECUTE RECEIVE REFERENCES

النموذج العام لتعريف إجراء يجب تدقيقه هو: {action} ON {object} BY {principal}

لاحظ أن <> العنصر بالتنسيق أعلاه يمكن أن يشير إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيقDatabase-Level
isAzureMonitorTargetEnabled

يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor. لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات. لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API أو إعدادات التشخيص PowerShell
isManagedIdentityInUse

تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم
isStorageSecondaryKeyInUse

تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين.
kind

نوع المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.
queueDelayMs

يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق. القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647.
retentionDays

يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين.
state

تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة.
storageAccountAccessKey

تحديد مفتاح المعرف لحساب تخزين التدقيق. إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين. المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:

  1. عين SQL Server هوية مدارة معينة من قبل النظام في Azure Active Directory (AAD).
  2. امنح الوصول إلى هوية SQL Server إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم. لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
storageAccountSubscriptionId

يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم.
storageEndpoint

تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب.

الخصائص الموروثة

id

معرف المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.
name

اسم المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.
type

نوع المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.

تفاصيل الخاصية

auditActionsAndGroups

تحديد Actions-Groups والإجراءات التي يجب تدقيقها.

مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة:

BATCH_COMPLETED_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP

هذه المجموعة أعلاه هي أيضا المجموعة التي تم تكوينها بشكل افتراضي عند تمكين التدقيق من مدخل Microsoft Azure.

مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.

لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق.

بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي: SELECT UPDATE INSERT INSERT DELETE EXECUTE RECEIVE REFERENCES

النموذج العام لتعريف إجراء يجب تدقيقه هو: {action} ON {object} BY {principal}

لاحظ أن <> العنصر بالتنسيق أعلاه يمكن أن يشير إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.

على سبيل المثال: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

لمزيد من المعلومات، راجع إجراءات التدقيقDatabase-Level

auditActionsAndGroups?: string[]

قيمة الخاصية

string[]

isAzureMonitorTargetEnabled

يحدد ما إذا كان يتم إرسال أحداث التدقيق إلى Azure Monitor. لإرسال الأحداث إلى Azure Monitor، حدد "State" على أنها "Enabled" و"IsAzureMonitorTargetEnabled" على أنها true.

عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات. لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.

تنسيق URI لإعدادات التشخيص: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

لمزيد من المعلومات، راجع إعدادات التشخيص REST API أو إعدادات التشخيص PowerShell

isAzureMonitorTargetEnabled?: boolean

قيمة الخاصية

boolean

isManagedIdentityInUse

تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم

isManagedIdentityInUse?: boolean

قيمة الخاصية

boolean

isStorageSecondaryKeyInUse

تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين.

isStorageSecondaryKeyInUse?: boolean

قيمة الخاصية

boolean

kind

نوع المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.

kind?: string

قيمة الخاصية

string

queueDelayMs

يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق. القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647.

queueDelayMs?: number

قيمة الخاصية

number

retentionDays

يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين.

retentionDays?: number

قيمة الخاصية

number

state

تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة.

state?: BlobAuditingPolicyState

قيمة الخاصية

BlobAuditingPolicyState

storageAccountAccessKey

تحديد مفتاح المعرف لحساب تخزين التدقيق. إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين. المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:

  1. عين SQL Server هوية مدارة معينة من قبل النظام في Azure Active Directory (AAD).
  2. امنح الوصول إلى هوية SQL Server إلى حساب التخزين عن طريق إضافة دور التحكم في الوصول استنادا إلى الدور "Storage Blob Data Contributor" إلى هوية الخادم. لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
storageAccountAccessKey?: string

قيمة الخاصية

string

storageAccountSubscriptionId

يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم.

storageAccountSubscriptionId?: string

قيمة الخاصية

string

storageEndpoint

تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب.

storageEndpoint?: string

قيمة الخاصية

string

تفاصيل الخاصية الموروثة

id

معرف المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.

id?: string

قيمة الخاصية

string

موروث منProxyResource.id

name

اسم المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.

name?: string

قيمة الخاصية

string

موروث منProxyResource.name

type

نوع المورد. ملاحظة: لن يتم تسلسل هذه الخاصية. لا يمكن ملؤها إلا بواسطة الخادم.

type?: string

قيمة الخاصية

string

موروث منProxyResource.type