Pracovní prostory Microsoft.Synapse/sqlPools/extendedAuditingSettings 1. 5. 2021
Definice prostředku Bicep
Typ prostředku workspaces/sqlPools/extendedAuditingSettings je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2021-05-01' = {
name: 'default'
parent: resourceSymbolicName
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isStorageSecondaryKeyInUse: bool
predicateExpression: 'string'
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Hodnoty vlastností
workspaces/sqlPools/extendedAuditingSettings
| Název | Description | Hodnota |
|---|---|---|
| name | Název prostředku Podívejte se, jak nastavit názvy a typy pro podřízené prostředky v nástroji Bicep. |
'výchozí' |
| Nadřazené | V nástroji Bicep můžete zadat nadřazený prostředek podřízeného prostředku. Tuto vlastnost stačí přidat pouze v případě, že je podřízený prostředek deklarován mimo nadřazený prostředek. Další informace najdete v tématu Podřízený prostředek mimo nadřazený prostředek. |
Symbolický název prostředku typu sqlPools |
| properties | Vlastnosti prostředku. | ExtendedSqlPoolBlobAuditingPolicyProperties |
ExtendedSqlPoolBlobAuditingPolicyProperties
| Název | Description | Hodnota |
|---|---|---|
| auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tato kombinace provede audit všech dotazů a uložených procedur spuštěných v databázi a také úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Skupiny akcí auditu na úrovni databáze. Pro zásady auditování databáze je také možné zadat konkrétní akce (mějte na paměti, že akce nelze zadat pro zásady auditování serveru). Mezi podporované akce, které se mají auditovat, patří: SELECT UPDATE INSERT DELETE PROVÉST PŘIJÍMAT REFERENCE Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že {object} ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo na celou databázi nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí. Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Akce auditu na úrovni databáze. |
string[] |
| isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Azure Monitoru, zadejte stav jako Povoleno a jako hodnotu true zadejte isAzureMonitorTargetEnabled. Pokud ke konfiguraci auditování používáte rozhraní REST API, mělo by se v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: DÁT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewDalší informace najdete v tématu Rozhraní REST API nastavení diagnostiky. nebo Nastavení diagnostiky v PowerShellu |
bool |
| isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | bool |
| predikátVýraz | Určuje podmínku klauzule where při vytváření auditu. | řetězec |
| queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximální hodnota je 2 147 483 647. |
int |
| retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | int |
| state | Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
| storageAccountAccessKey | Určuje klíč identifikátoru účtu úložiště auditování. Pokud je ve stavu Povoleno a je zadaný parametr storageEndpoint, nezadáte storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru. Požadavky pro použití ověřování spravované identity: 1. Přiřaďte SQL Server spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat v objektech blob služby Storage k identitě serveru. Další informace najdete v tématu Auditování úložiště s využitím ověřování spravované identity. |
řetězec |
| storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec |
| koncový bod úložiště | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se parametr storageEndpoint nebo isAzureMonitorTargetEnabled. |
řetězec |
Definice prostředku šablony ARM
Typ prostředku workspaces/sqlPools/extendedAuditingSettings je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings, přidejte do šablony následující kód JSON.
{
"type": "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings",
"apiVersion": "2021-05-01",
"name": "default",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isStorageSecondaryKeyInUse": "bool",
"predicateExpression": "string",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Hodnoty vlastností
workspaces/sqlPools/extendedAuditingSettings
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings |
| apiVersion | Verze rozhraní API prostředku | '2021-05-01' |
| name | Název prostředku Podívejte se, jak nastavit názvy a typy pro podřízené prostředky v šablonách JSON ARM. |
'výchozí' |
| properties | Vlastnosti prostředku. | ExtendedSqlPoolBlobAuditingPolicyProperties |
ExtendedSqlPoolBlobAuditingPolicyProperties
| Název | Description | Hodnota |
|---|---|---|
| auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tato kombinace provede audit všech dotazů a uložených procedur spuštěných v databázi a také úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Skupiny akcí auditu na úrovni databáze. Pro zásady auditování databáze je také možné zadat konkrétní akce (mějte na paměti, že akce nelze zadat pro zásady auditování serveru). Mezi podporované akce, které se mají auditovat, patří: SELECT UPDATE INSERT DELETE PROVÉST PŘIJÍMAT REFERENCE Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že {object} ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo na celou databázi nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí. Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Akce auditu na úrovni databáze. |
string[] |
| isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Azure Monitoru, zadejte stav jako Povoleno a jako hodnotu true zadejte isAzureMonitorTargetEnabled. Pokud ke konfiguraci auditování používáte rozhraní REST API, mělo by se v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: DÁT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewDalší informace najdete v tématu Rozhraní REST API nastavení diagnostiky. nebo Nastavení diagnostiky v PowerShellu |
bool |
| isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | bool |
| predikátVýraz | Určuje podmínku klauzule where při vytváření auditu. | řetězec |
| queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximální hodnota je 2 147 483 647. |
int |
| retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | int |
| state | Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
| storageAccountAccessKey | Určuje klíč identifikátoru účtu úložiště auditování. Pokud je ve stavu Povoleno a je zadaný parametr storageEndpoint, nezadáte storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru. Požadavky pro použití ověřování spravované identity: 1. Přiřaďte SQL Server spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat v objektech blob služby Storage k identitě serveru. Další informace najdete v tématu Auditování úložiště s využitím ověřování spravované identity. |
řetězec |
| storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec |
| koncový bod úložiště | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se parametr storageEndpoint nebo isAzureMonitorTargetEnabled. |
řetězec |
Definice prostředku Terraform (poskytovatel AzAPI)
Typ prostředku workspaces/sqlPools/extendedAuditingSettings je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2021-05-01"
name = "default"
parent_id = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isStorageSecondaryKeyInUse = bool
predicateExpression = "string"
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Hodnoty vlastností
workspaces/sqlPools/extendedAuditingSettings
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2021-05-01 |
| name | Název prostředku | "výchozí" |
| parent_id | ID prostředku, který je nadřazený pro tento prostředek. | ID prostředku typu: sqlPools |
| properties | Vlastnosti prostředku. | ExtendedSqlPoolBlobAuditingPolicyProperties |
ExtendedSqlPoolBlobAuditingPolicyProperties
| Název | Description | Hodnota |
|---|---|---|
| auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tato kombinace provede audit všech dotazů a uložených procedur spuštěných v databázi a také úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Skupiny akcí auditu na úrovni databáze. Pro zásady auditování databáze je také možné zadat konkrétní akce (mějte na paměti, že akce nelze zadat pro zásady auditování serveru). Mezi podporované akce, které se mají auditovat, patří: SELECT UPDATE INSERT DELETE PROVÉST PŘIJÍMAT REFERENCE Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že {object} ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo na celou databázi nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí. Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Akce auditu na úrovni databáze. |
string[] |
| isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Azure Monitoru, zadejte stav jako Povoleno a jako hodnotu true zadejte isAzureMonitorTargetEnabled. Pokud ke konfiguraci auditování používáte rozhraní REST API, mělo by se v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: DÁT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewDalší informace najdete v tématu Rozhraní REST API nastavení diagnostiky. nebo Nastavení diagnostiky v PowerShellu |
bool |
| isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | bool |
| predikátVýraz | Určuje podmínku klauzule where při vytváření auditu. | řetězec |
| queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximální hodnota je 2 147 483 647. |
int |
| retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | int |
| state | Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. | "Zakázáno" "Povoleno" (povinné) |
| storageAccountAccessKey | Určuje klíč identifikátoru účtu úložiště auditování. Pokud je ve stavu Povoleno a je zadaný parametr storageEndpoint, nezadáte storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru. Požadavky pro použití ověřování spravované identity: 1. Přiřaďte SQL Server spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat v objektech blob služby Storage k identitě serveru. Další informace najdete v tématu Auditování úložiště s využitím ověřování spravované identity. |
řetězec |
| storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec |
| koncový bod úložiště | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se parametr storageEndpoint nebo isAzureMonitorTargetEnabled. |
řetězec |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro