Pracovní prostory Microsoft.Synapse/sqlPools/extendedAuditingSettings 2019-06-01-preview

Definice prostředku Bicep

Typ prostředku workspaces/sqlPools/extendedAuditingSettings je možné nasadit s operacemi, které cílí na:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings, přidejte do šablony následující bicep.

resource symbolicname 'Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2019-06-01-preview' = {
  name: 'default'
  parent: resourceSymbolicName
  properties: {
    auditActionsAndGroups: [
      'string'
    ]
    isAzureMonitorTargetEnabled: bool
    isStorageSecondaryKeyInUse: bool
    predicateExpression: 'string'
    queueDelayMs: int
    retentionDays: int
    state: 'string'
    storageAccountAccessKey: 'string'
    storageAccountSubscriptionId: 'string'
    storageEndpoint: 'string'
  }
}

Hodnoty vlastností

workspaces/sqlPools/extendedAuditingSettings

Název Description Hodnota
name Název prostředku

Podívejte se, jak nastavit názvy a typy pro podřízené prostředky v nástroji Bicep.
'výchozí'
Nadřazené V nástroji Bicep můžete zadat nadřazený prostředek podřízeného prostředku. Tuto vlastnost stačí přidat pouze v případě, že je podřízený prostředek deklarován mimo nadřazený prostředek.

Další informace najdete v tématu Podřízený prostředek mimo nadřazený prostředek.
Symbolický název prostředku typu sqlPools
properties Vlastnosti prostředku. ExtendedSqlPoolBlobAuditingPolicyProperties

ExtendedSqlPoolBlobAuditingPolicyProperties

Název Description Hodnota
auditActionsAndGroups Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tato kombinace provede audit všech dotazů a uložených procedur spuštěných v databázi a také úspěšných a neúspěšných přihlášení:

BATCH_COMPLETED_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Skupiny akcí auditu na úrovni databáze.

Pro zásady auditování databáze je také možné zadat konkrétní akce (mějte na paměti, že akce nelze zadat pro zásady auditování serveru). Mezi podporované akce, které se mají auditovat, patří:
SELECT
UPDATE
INSERT
DELETE
PROVÉST
PŘIJÍMAT
REFERENCE

Obecný formulář pro definování akce, která se má auditovat, je:
{action} ON {object} BY {principal}

Všimněte si, že {object} ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo na celou databázi nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí.

Příklad:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Akce auditu na úrovni databáze.
string[]
isAzureMonitorTargetEnabled Určuje, jestli se události auditu odesílají do služby Azure Monitor.
Pokud chcete odesílat události do Azure Monitoru, zadejte stav jako Povoleno a jako hodnotu true zadejte isAzureMonitorTargetEnabled.

Pokud ke konfiguraci auditování používáte rozhraní REST API, mělo by se v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents.
Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky:
DÁT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu Rozhraní REST API nastavení diagnostiky.
nebo Nastavení diagnostiky v PowerShellu
bool
isStorageSecondaryKeyInUse Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. bool
predikátExpression Určuje podmínku klauzule where při vytváření auditu. řetězec
queueDelayMs Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu.
Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.
int
retentionDays Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. int
state Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. Zakázáno
Povoleno (povinné)
storageAccountAccessKey Určuje klíč identifikátoru účtu úložiště auditování.
Pokud je stav Povoleno a je zadaný parametr storageEndpoint, nezadáte-li klíč storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru.
Předpoklady pro použití ověřování spravované identity:
1. Přiřazení SQL Server spravované identity přiřazené systémem v Azure Active Directory (AAD).
2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat objektů blob služby Storage k identitě serveru.
Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity.
řetězec
storageAccountSubscriptionId Určuje ID předplatného úložiště objektů blob. řetězec
storageEndpoint Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. řetězec

Definice prostředku šablony ARM

Typ prostředku workspaces/sqlPools/extendedAuditingSettings je možné nasadit s operacemi, které cílí na:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings, přidejte do šablony následující kód JSON.

{
  "type": "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings",
  "apiVersion": "2019-06-01-preview",
  "name": "default",
  "properties": {
    "auditActionsAndGroups": [ "string" ],
    "isAzureMonitorTargetEnabled": "bool",
    "isStorageSecondaryKeyInUse": "bool",
    "predicateExpression": "string",
    "queueDelayMs": "int",
    "retentionDays": "int",
    "state": "string",
    "storageAccountAccessKey": "string",
    "storageAccountSubscriptionId": "string",
    "storageEndpoint": "string"
  }
}

Hodnoty vlastností

workspaces/sqlPools/extendedAuditingSettings

Název Description Hodnota
typ Typ prostředku Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings
apiVersion Verze rozhraní API prostředků '2019-06-01-preview'
name Název prostředku

Podívejte se, jak nastavit názvy a typy pro podřízené prostředky v šablonách JSON ARM.
'výchozí'
properties Vlastnosti prostředku. ExtendedSqlPoolBlobAuditingPolicyVlastnosti

ExtendedSqlPoolBlobAuditingPolicyVlastnosti

Název Description Hodnota
auditActionsAndGroups Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tím se auditují všechny dotazy a uložené procedury spuštěné v databázi a také úspěšná a neúspěšná přihlášení:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Zvolte jenom konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Skupiny akcí auditování na úrovni databáze.

Pro zásady auditování databáze je také možné zadat konkrétní akce (všimněte si, že akce nelze zadat pro zásady auditování serveru). Mezi podporované akce, které se mají auditovat, patří:
SELECT
UPDATE
INSERT
DELETE
PROVÉST
PŘIJÍMAT
REFERENCE

Obecný formulář pro definování akce, která se má auditovat, je:
{action} ON {object} BY {principal}

Všimněte si, že {object} ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se používají formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí.

Příklad:
Select on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Akce auditu na úrovni databáze.
string[]
isAzureMonitorTargetEnabled Určuje, jestli se události auditu odesílají do služby Azure Monitor.
Pokud chcete odesílat události do Služby Azure Monitor, zadejte stav jako Povoleno a isAzureMonitorTargetEnabled jako true.

Při použití rozhraní REST API ke konfiguraci auditování by se měla v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents.
Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky:
DÁT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu Rozhraní REST API nastavení diagnostiky.
nebo Nastavení diagnostiky v PowerShellu
bool
isStorageSecondaryKeyInUse Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. bool
predikátExpression Určuje podmínku klauzule where při vytváření auditu. řetězec
queueDelayMs Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu.
Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.
int
retentionDays Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. int
state Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. Zakázáno
Povoleno (povinné)
storageAccountAccessKey Určuje klíč identifikátoru účtu úložiště auditování.
Pokud je stav Povoleno a je zadaný parametr storageEndpoint, nezadáte-li klíč storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru.
Předpoklady pro použití ověřování spravované identity:
1. Přiřazení SQL Server spravované identity přiřazené systémem v Azure Active Directory (AAD).
2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat objektů blob služby Storage k identitě serveru.
Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity.
řetězec
storageAccountSubscriptionId Určuje ID předplatného úložiště objektů blob. řetězec
storageEndpoint Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. řetězec

Definice prostředku Terraformu (zprostředkovatele AzAPI)

Typ prostředku workspaces/sqlPools/extendedAuditingSettings je možné nasadit s operacemi, které cílí na:

  • Skupiny prostředků

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings, přidejte do šablony následující Terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2019-06-01-preview"
  name = "default"
  parent_id = "string"
  body = jsonencode({
    properties = {
      auditActionsAndGroups = [
        "string"
      ]
      isAzureMonitorTargetEnabled = bool
      isStorageSecondaryKeyInUse = bool
      predicateExpression = "string"
      queueDelayMs = int
      retentionDays = int
      state = "string"
      storageAccountAccessKey = "string"
      storageAccountSubscriptionId = "string"
      storageEndpoint = "string"
    }
  })
}

Hodnoty vlastností

workspaces/sqlPools/extendedAuditingSettings

Název Description Hodnota
typ Typ prostředku Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2019-06-01-preview
name Název prostředku "výchozí"
parent_id ID prostředku, který je nadřazený pro tento prostředek. ID prostředku typu: sqlPools
properties Vlastnosti prostředku. ExtendedSqlPoolBlobAuditingPolicyVlastnosti

ExtendedSqlPoolBlobAuditingPolicyVlastnosti

Název Description Hodnota
auditActionsAndGroups Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tím se auditují všechny dotazy a uložené procedury spuštěné v databázi a také úspěšná a neúspěšná přihlášení:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Zvolte jenom konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Skupiny akcí auditování na úrovni databáze.

Pro zásady auditování databáze je také možné zadat konkrétní akce (všimněte si, že akce nelze zadat pro zásady auditování serveru). Mezi podporované akce, které se mají auditovat, patří:
SELECT
UPDATE
INSERT
DELETE
PROVÉST
PŘIJÍMAT
REFERENCE

Obecný formulář pro definování akce, která se má auditovat, je:
{action} ON {object} BY {principal}

Všimněte si, že {object} ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se používají formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí.

Příklad:
Select on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Akce auditu na úrovni databáze.
string[]
isAzureMonitorTargetEnabled Určuje, jestli se události auditu odesílají do služby Azure Monitor.
Pokud chcete odesílat události do Služby Azure Monitor, zadejte stav jako Povoleno a isAzureMonitorTargetEnabled jako true.

Při použití rozhraní REST API ke konfiguraci auditování by se měla v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents.
Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky:
DÁT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu Rozhraní REST API nastavení diagnostiky.
nebo Nastavení diagnostiky v PowerShellu
bool
isStorageSecondaryKeyInUse Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. bool
predikátExpression Určuje podmínku klauzule where při vytváření auditu. řetězec
queueDelayMs Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu.
Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.
int
retentionDays Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. int
state Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. "Zakázáno"
"Povoleno" (povinné)
storageAccountAccessKey Určuje klíč identifikátoru účtu úložiště auditování.
Pokud je stav Povoleno a je zadaný parametr storageEndpoint, nezadáte-li klíč storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru.
Předpoklady pro použití ověřování spravované identity:
1. Přiřazení SQL Server spravované identity přiřazené systémem v Azure Active Directory (AAD).
2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat objektů blob služby Storage k identitě serveru.
Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity.
řetězec
storageAccountSubscriptionId Určuje ID předplatného úložiště objektů blob. řetězec
storageEndpoint Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. řetězec