Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
- neueste
- 2024-05-01-Vorschau
- 2023-08-01
- 2023-08-01-Preview-
- 2023-05-01-Preview-
- 2023-02-01-Vorschau-
- 2022-11-01-Preview-
- 2022-08-01-Preview-
- 2022-05-01-Preview-
- 2022-02-01-Preview-
- 2021-11-01
- 2021-11-01-Preview-
- 2021-08-01-Preview-
- 2021-05-01-Preview-
- 2021-02-01-Preview-
- 2020-11-01-Preview-
- 2020-08-01-Preview-
- 2020-02-02-Vorschau-
- 2017-03-01-Preview
Bicep-Ressourcendefinition
Der Ressourcentyp "servers/auditingSettings" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Sql/servers/auditingSettings-Ressource zu erstellen, fügen Sie der Vorlage die folgende Bicep hinzu.
resource symbolicname 'Microsoft.Sql/servers/auditingSettings@2023-02-01-preview' = {
parent: resourceSymbolicName
name: 'default'
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isDevopsAuditEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Eigenschaftswerte
Microsoft.Sql/servers/auditingSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Name | Der Ressourcenname | "default" (erforderlich) |
| Elternteil | In Bicep können Sie die übergeordnete Ressource für eine untergeordnete Ressource angeben. Sie müssen diese Eigenschaft nur hinzufügen, wenn die untergeordnete Ressource außerhalb der übergeordneten Ressource deklariert wird. Weitere Informationen finden Sie unter Untergeordnete Ressource außerhalb der übergeordneten Ressource. |
Symbolischer Name für Ressource vom Typ: Server |
| Eigenschaften | Ressourceneigenschaften. | ServerBlobAuditingPolicyEigenschaften |
ServerBlobAuditingPolicyEigenschaften
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| auditActionsAndGroups | Gibt die zu überwachenden Actions-Groups und Aktionen an. Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination : Dadurch werden alle Abfragen und gespeicherten Prozeduren überwacht, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Diese oben genannte Kombination ist auch der Satz, der standardmäßig konfiguriert ist, wenn die Überwachung über das Azure-Portal aktiviert wird. Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen: ANWENDUNGSROLLE_PASSWORT_WECHSEL_GRUPPE BACKUP_RESTORE_GROUP DATENBANK_ABMELDE_GRUPPE Datenbankobjekt-Änderungsgruppe DATENBANK_OBJEKT_EIGENTÜMERSCHAFT_ÄNDERUNGSGRUPPE Datenbankobjektberechtigungsänderungsgruppe Datenbankbetriebsgruppe DATENBANK_BERECHTIGUNGEN_GRUPPE_ÄNDERN Datenbankhauptgruppenänderung DATABASE_PRINCIPAL_IMPERSONATION_GRUPPE Datenbankrollenmitgliederänderungsgruppe FEHLGESCHLAGENE_DATENBANK_AUTHENTIFIZIERUNG_GRUPPE SCHEMA_OBJEKT_ZUGRIFFSGRUPPE Schema-Objekt-Änderungsgruppe SCHEMA_OBJEKT_EIGENTUMSWECHSEL_GRUPPE Schema-Objekt-Berechtigungsänderungsgruppe ERFOLGREICHE_DATENBANK_AUTHENTIFIZIERUNGS_GRUPPE USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATENBANK_BESITZWECHSEL_GRUPPE DATENBANK_ÄNDERUNGSGRUPPE LEDGER_OPERATION_GROUP Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt. Weitere Informationen finden Sie unter Database-Level Überwachen von Aktionsgruppen. Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen für die Überwachung sind: AUSWÄHLEN Aktualisierung Einfügen Löschen AUSFÜHREN EMPFANGEN REFERENZEN Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet: {Aktion} ON {object} VON {principal} Beachten Sie, dass <Objekt> im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. In letzteren Fällen werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet. Beispiel: SELECT auf dbo.myTable von public SELECT on DATABASE::myDatabase von public SELECT on SCHEMA::mySchema von public Weitere Informationen finden Sie unter Database-Level Überwachungsaktionen |
string[] |
| isAzureMonitorTargetEnabled | Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als "true" an. Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden. Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten. URI-Format der Diagnoseeinstellungen: PUT- https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewWeitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen oder Diagnoseeinstellungen powerShell- |
Boolesch |
| isDevopsAuditEnabled | Gibt den Status der Devops-Überwachung an. Wenn der Status aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als "true" und "IsDevopsAuditEnabled" als "true" an. Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" in der Masterdatenbank erstellt werden. URI-Format der Diagnoseeinstellungen: PUT- https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewWeitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen oder Diagnoseeinstellungen powerShell- |
Boolesch |
| isManagedIdentityInUse | Gibt an, ob verwaltete Identität für den Zugriff auf BLOB-Speicher verwendet wird. | Boolesch |
| isStorageSecondaryKeyInUse | Gibt an, ob storageAccountAccessKey-Wert der Sekundärschlüssel des Speichers ist. | Boolesch |
| queueDelayMs | Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen. Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647. |
INT |
| retentionDays | Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto gespeichert werden sollen. | INT |
| Staat | Gibt den Status der Überwachung an. Wenn der Status aktiviert ist, sind "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. | "Deaktiviert" "Aktiviert" (erforderlich) |
| storageAccountAccessKey | Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Status aktiviert ist und "storageEndpoint" angegeben ist, verwendet "storageAccountAccessKey" nicht die vom Sql Server zugewiesene verwaltete Identität für den Zugriff auf den Speicher. Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung: 1. Zuweisen von SQL Server zu einer vom System zugewiesenen verwalteten Identität in Azure Active Directory (AAD). 2. Gewähren Sie SQL Server-Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen. Weitere Informationen finden Sie unter Überwachung des Speichers mit verwalteter Identitätsauthentifizierung |
Zeichenfolge Zwänge: Vertraulicher Wert. Übergeben Als sicherer Parameter. |
| storageAccountSubscriptionId | Gibt die BLOB-Speicherabonnement-ID an. | Zeichenfolge Zwänge: Min. Länge = 36 Maximale Länge = 36 Muster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpunkt | Gibt den BLOB-Speicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status aktiviert ist, ist "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. |
Schnur |
Verwendungsbeispiele
Azure-Schnellstartbeispiele
Die folgenden Azure-Schnellstartvorlagen Bicep-Beispiele für die Bereitstellung dieses Ressourcentyps enthalten.
| Bicep-Datei | BESCHREIBUNG |
|---|---|
| Azure SQL Server mit Überwachung in Log Analytics | Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in Log Analytics (OMS-Arbeitsbereich) zu schreiben. |
| dedizierten SQL-Pool mit transparenter Verschlüsselung | Erstellt einen SQL Server und einen dedizierten SQL-Pool (ehemals SQL DW) mit transparenter Datenverschlüsselung. |
ARM-Vorlagenressourcendefinition
Der Ressourcentyp "servers/auditingSettings" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Sql/servers/auditingSettings-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Sql/servers/auditingSettings",
"apiVersion": "2023-02-01-preview",
"name": "string",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isDevopsAuditEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Eigenschaftswerte
Microsoft.Sql/servers/auditingSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| apiVersion (Englisch) | Die API-Version | "2023-02-01-preview" |
| Name | Der Ressourcenname | "default" (erforderlich) |
| Eigenschaften | Ressourceneigenschaften. | ServerBlobAuditingPolicyEigenschaften |
| Typ | Der Ressourcentyp | 'Microsoft.Sql/servers/auditingSettings' |
ServerBlobAuditingPolicyEigenschaften
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| auditActionsAndGroups | Gibt die zu überwachenden Actions-Groups und Aktionen an. Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination : Dadurch werden alle Abfragen und gespeicherten Prozeduren überwacht, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Diese oben genannte Kombination ist auch der Satz, der standardmäßig konfiguriert ist, wenn die Überwachung über das Azure-Portal aktiviert wird. Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen: ANWENDUNGSROLLE_PASSWORT_WECHSEL_GRUPPE BACKUP_RESTORE_GROUP DATENBANK_ABMELDE_GRUPPE Datenbankobjekt-Änderungsgruppe DATENBANK_OBJEKT_EIGENTÜMERSCHAFT_ÄNDERUNGSGRUPPE Datenbankobjektberechtigungsänderungsgruppe Datenbankbetriebsgruppe DATENBANK_BERECHTIGUNGEN_GRUPPE_ÄNDERN Datenbankhauptgruppenänderung DATABASE_PRINCIPAL_IMPERSONATION_GRUPPE Datenbankrollenmitgliederänderungsgruppe FEHLGESCHLAGENE_DATENBANK_AUTHENTIFIZIERUNG_GRUPPE SCHEMA_OBJEKT_ZUGRIFFSGRUPPE Schema-Objekt-Änderungsgruppe SCHEMA_OBJEKT_EIGENTUMSWECHSEL_GRUPPE Schema-Objekt-Berechtigungsänderungsgruppe ERFOLGREICHE_DATENBANK_AUTHENTIFIZIERUNGS_GRUPPE USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATENBANK_BESITZWECHSEL_GRUPPE DATENBANK_ÄNDERUNGSGRUPPE LEDGER_OPERATION_GROUP Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt. Weitere Informationen finden Sie unter Database-Level Überwachen von Aktionsgruppen. Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen für die Überwachung sind: AUSWÄHLEN Aktualisierung Einfügen Löschen AUSFÜHREN EMPFANGEN REFERENZEN Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet: {Aktion} ON {object} VON {principal} Beachten Sie, dass <Objekt> im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. In letzteren Fällen werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet. Beispiel: SELECT auf dbo.myTable von public SELECT on DATABASE::myDatabase von public SELECT on SCHEMA::mySchema von public Weitere Informationen finden Sie unter Database-Level Überwachungsaktionen |
string[] |
| isAzureMonitorTargetEnabled | Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als "true" an. Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden. Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten. URI-Format der Diagnoseeinstellungen: PUT- https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewWeitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen oder Diagnoseeinstellungen powerShell- |
Boolesch |
| isDevopsAuditEnabled | Gibt den Status der Devops-Überwachung an. Wenn der Status aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als "true" und "IsDevopsAuditEnabled" als "true" an. Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" in der Masterdatenbank erstellt werden. URI-Format der Diagnoseeinstellungen: PUT- https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewWeitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen oder Diagnoseeinstellungen powerShell- |
Boolesch |
| isManagedIdentityInUse | Gibt an, ob verwaltete Identität für den Zugriff auf BLOB-Speicher verwendet wird. | Boolesch |
| isStorageSecondaryKeyInUse | Gibt an, ob storageAccountAccessKey-Wert der Sekundärschlüssel des Speichers ist. | Boolesch |
| queueDelayMs | Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen. Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647. |
INT |
| retentionDays | Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto gespeichert werden sollen. | INT |
| Staat | Gibt den Status der Überwachung an. Wenn der Status aktiviert ist, sind "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. | "Deaktiviert" "Aktiviert" (erforderlich) |
| storageAccountAccessKey | Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Status aktiviert ist und "storageEndpoint" angegeben ist, verwendet "storageAccountAccessKey" nicht die vom Sql Server zugewiesene verwaltete Identität für den Zugriff auf den Speicher. Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung: 1. Zuweisen von SQL Server zu einer vom System zugewiesenen verwalteten Identität in Azure Active Directory (AAD). 2. Gewähren Sie SQL Server-Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen. Weitere Informationen finden Sie unter Überwachung des Speichers mit verwalteter Identitätsauthentifizierung |
Zeichenfolge Zwänge: Vertraulicher Wert. Übergeben Als sicherer Parameter. |
| storageAccountSubscriptionId | Gibt die BLOB-Speicherabonnement-ID an. | Zeichenfolge Zwänge: Min. Länge = 36 Maximale Länge = 36 Muster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpunkt | Gibt den BLOB-Speicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status aktiviert ist, ist "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. |
Schnur |
Verwendungsbeispiele
Azure-Schnellstartvorlagen
Die folgenden Azure-Schnellstartvorlagen diesen Ressourcentyp bereitstellen.
| Schablone | BESCHREIBUNG |
|---|---|
Azure SQL Server mit Überwachung in Log Analytics
|
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in Log Analytics (OMS-Arbeitsbereich) zu schreiben. |
|
dedizierten SQL-Pool mit transparenter Verschlüsselung
|
Erstellt einen SQL Server und einen dedizierten SQL-Pool (ehemals SQL DW) mit transparenter Datenverschlüsselung. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der Ressourcentyp "servers/auditingSettings" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Sql/servers/auditingSettings-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/auditingSettings@2023-02-01-preview"
name = "string"
parent_id = "string"
body = {
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isDevopsAuditEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
}
}
Eigenschaftswerte
Microsoft.Sql/servers/auditingSettings
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| Name | Der Ressourcenname | "default" (erforderlich) |
| Eltern-ID | Die ID der Ressource, die das übergeordnete Element für diese Ressource ist. | ID für Ressource des Typs: Server |
| Eigenschaften | Ressourceneigenschaften. | ServerBlobAuditingPolicyEigenschaften |
| Typ | Der Ressourcentyp | "Microsoft.Sql/servers/auditingSettings@2023-02-01-preview" |
ServerBlobAuditingPolicyEigenschaften
| Name | BESCHREIBUNG | Wert |
|---|---|---|
| auditActionsAndGroups | Gibt die zu überwachenden Actions-Groups und Aktionen an. Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination : Dadurch werden alle Abfragen und gespeicherten Prozeduren überwacht, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Diese oben genannte Kombination ist auch der Satz, der standardmäßig konfiguriert ist, wenn die Überwachung über das Azure-Portal aktiviert wird. Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen: ANWENDUNGSROLLE_PASSWORT_WECHSEL_GRUPPE BACKUP_RESTORE_GROUP DATENBANK_ABMELDE_GRUPPE Datenbankobjekt-Änderungsgruppe DATENBANK_OBJEKT_EIGENTÜMERSCHAFT_ÄNDERUNGSGRUPPE Datenbankobjektberechtigungsänderungsgruppe Datenbankbetriebsgruppe DATENBANK_BERECHTIGUNGEN_GRUPPE_ÄNDERN Datenbankhauptgruppenänderung DATABASE_PRINCIPAL_IMPERSONATION_GRUPPE Datenbankrollenmitgliederänderungsgruppe FEHLGESCHLAGENE_DATENBANK_AUTHENTIFIZIERUNG_GRUPPE SCHEMA_OBJEKT_ZUGRIFFSGRUPPE Schema-Objekt-Änderungsgruppe SCHEMA_OBJEKT_EIGENTUMSWECHSEL_GRUPPE Schema-Objekt-Berechtigungsänderungsgruppe ERFOLGREICHE_DATENBANK_AUTHENTIFIZIERUNGS_GRUPPE USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATENBANK_BESITZWECHSEL_GRUPPE DATENBANK_ÄNDERUNGSGRUPPE LEDGER_OPERATION_GROUP Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt. Weitere Informationen finden Sie unter Database-Level Überwachen von Aktionsgruppen. Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen für die Überwachung sind: AUSWÄHLEN Aktualisierung Einfügen Löschen AUSFÜHREN EMPFANGEN REFERENZEN Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet: {Aktion} ON {object} VON {principal} Beachten Sie, dass <Objekt> im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. In letzteren Fällen werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet. Beispiel: SELECT auf dbo.myTable von public SELECT on DATABASE::myDatabase von public SELECT on SCHEMA::mySchema von public Weitere Informationen finden Sie unter Database-Level Überwachungsaktionen |
string[] |
| isAzureMonitorTargetEnabled | Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als "true" an. Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden. Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten. URI-Format der Diagnoseeinstellungen: PUT- https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewWeitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen oder Diagnoseeinstellungen powerShell- |
Boolesch |
| isDevopsAuditEnabled | Gibt den Status der Devops-Überwachung an. Wenn der Status aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als "true" und "IsDevopsAuditEnabled" als "true" an. Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" in der Masterdatenbank erstellt werden. URI-Format der Diagnoseeinstellungen: PUT- https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewWeitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen oder Diagnoseeinstellungen powerShell- |
Boolesch |
| isManagedIdentityInUse | Gibt an, ob verwaltete Identität für den Zugriff auf BLOB-Speicher verwendet wird. | Boolesch |
| isStorageSecondaryKeyInUse | Gibt an, ob storageAccountAccessKey-Wert der Sekundärschlüssel des Speichers ist. | Boolesch |
| queueDelayMs | Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen. Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647. |
INT |
| retentionDays | Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto gespeichert werden sollen. | INT |
| Staat | Gibt den Status der Überwachung an. Wenn der Status aktiviert ist, sind "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. | "Deaktiviert" "Aktiviert" (erforderlich) |
| storageAccountAccessKey | Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Status aktiviert ist und "storageEndpoint" angegeben ist, verwendet "storageAccountAccessKey" nicht die vom Sql Server zugewiesene verwaltete Identität für den Zugriff auf den Speicher. Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung: 1. Zuweisen von SQL Server zu einer vom System zugewiesenen verwalteten Identität in Azure Active Directory (AAD). 2. Gewähren Sie SQL Server-Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen. Weitere Informationen finden Sie unter Überwachung des Speichers mit verwalteter Identitätsauthentifizierung |
Zeichenfolge Zwänge: Vertraulicher Wert. Übergeben Als sicherer Parameter. |
| storageAccountSubscriptionId | Gibt die BLOB-Speicherabonnement-ID an. | Zeichenfolge Zwänge: Min. Länge = 36 Maximale Länge = 36 Muster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpunkt | Gibt den BLOB-Speicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status aktiviert ist, ist "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. |
Schnur |