Sdílet prostřednictvím

DatabaseBlobAuditingPolicy interface

Balíček:
@azure/arm-sql

Zásady auditování objektů blob databáze.

Extends
ProxyResource

Vlastnosti

auditActionsAndGroups

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Database-Level Skupiny akcí auditování.

Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Podporované akce auditu: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal}

Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}.

Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Database-Level akcí auditu
isAzureMonitorTargetEnabled

Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled.

Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu rozhraní REST API pro nastavení diagnostiky nebo nastavení diagnostiky
isManagedIdentityInUse

Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob.
isStorageSecondaryKeyInUse

Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.
kind

Druh prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.
queueDelayMs

Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.
retentionDays

Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.
state

Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled.
storageAccountAccessKey

Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity:

  1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD).
  2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity
storageAccountSubscriptionId

Určuje ID předplatného úložiště objektů blob.
storageEndpoint

Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled.

Zděděné vlastnosti

id

ID prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.
name

Název prostředku POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.
type

Typ prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

Podrobnosti vlastnosti

auditActionsAndGroups

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Database-Level Skupiny akcí auditování.

Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Podporované akce auditu: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal}

Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}.

Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Database-Level akcí auditu

auditActionsAndGroups?: string[]

Hodnota vlastnosti

string[]

isAzureMonitorTargetEnabled

Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled.

Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu rozhraní REST API pro nastavení diagnostiky nebo nastavení diagnostiky

isAzureMonitorTargetEnabled?: boolean

Hodnota vlastnosti

boolean

isManagedIdentityInUse

Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob.

isManagedIdentityInUse?: boolean

Hodnota vlastnosti

boolean

isStorageSecondaryKeyInUse

Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.

isStorageSecondaryKeyInUse?: boolean

Hodnota vlastnosti

boolean

kind

Druh prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

kind?: string

Hodnota vlastnosti

string

queueDelayMs

Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.

queueDelayMs?: number

Hodnota vlastnosti

number

retentionDays

Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.

retentionDays?: number

Hodnota vlastnosti

number

state

Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled.

state?: BlobAuditingPolicyState

Hodnota vlastnosti

BlobAuditingPolicyState

storageAccountAccessKey

Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity:

  1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD).
  2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity
storageAccountAccessKey?: string

Hodnota vlastnosti

string

storageAccountSubscriptionId

Určuje ID předplatného úložiště objektů blob.

storageAccountSubscriptionId?: string

Hodnota vlastnosti

string

storageEndpoint

Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled.

storageEndpoint?: string

Hodnota vlastnosti

string

Podrobnosti zděděných vlastností

id

ID prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

id?: string

Hodnota vlastnosti

string

zděděno zeProxyResource.id

name

Název prostředku POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

name?: string

Hodnota vlastnosti

string

zděděno zeProxyResource.name

type

Typ prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

type?: string

Hodnota vlastnosti

string

zděděno zeProxyResource.type