Freigeben über


Microsoft.Sql server/auditingSettings

Bicep-Ressourcendefinition

Der Ressourcentyp "servers/auditingSettings" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Sql/servers/auditingSettings-Ressource zu erstellen, fügen Sie der Vorlage die folgende Bicep hinzu.

resource symbolicname 'Microsoft.Sql/servers/auditingSettings@2023-05-01-preview' = {
  name: 'default'
  parent: resourceSymbolicName
  properties: {
    auditActionsAndGroups: [
      'string'
    ]
    isAzureMonitorTargetEnabled: bool
    isDevopsAuditEnabled: bool
    isManagedIdentityInUse: bool
    isStorageSecondaryKeyInUse: bool
    queueDelayMs: int
    retentionDays: int
    state: 'string'
    storageAccountAccessKey: 'string'
    storageAccountSubscriptionId: 'string'
    storageEndpoint: 'string'
  }
}

Eigenschaftswerte

servers/auditingSettings

Name Beschreibung Wert
Name Der Ressourcenname

Erfahren Sie, wie Sie Namen und Typen für untergeordnete Ressourcen in Bicep-festlegen.
"Standard"
Elternteil In Bicep können Sie die übergeordnete Ressource für eine untergeordnete Ressource angeben. Sie müssen diese Eigenschaft nur hinzufügen, wenn die untergeordnete Ressource außerhalb der übergeordneten Ressource deklariert wird.

Weitere Informationen finden Sie unter Untergeordnete Ressource außerhalb der übergeordneten Ressource.
Symbolischer Name für Ressource vom Typ: Server
Eigenschaften Ressourceneigenschaften. ServerBlobAuditingPolicyProperties

ServerBlobAuditingPolicyProperties

Name Beschreibung Wert
auditActionsAndGroups Gibt die zu überwachenden Actions-Groups und Aktionen an.

Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination : Dadurch werden alle Abfragen und gespeicherten Prozeduren überwacht, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Diese oben genannte Kombination ist auch der Satz, der standardmäßig konfiguriert ist, wenn die Überwachung über das Azure-Portal aktiviert wird.

Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt.

Weitere Informationen finden Sie unter Database-Level Überwachen von Aktionsgruppen.

Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen für die Überwachung sind:
AUSWÄHLEN
AKTUALISIEREN
EINFÜGEN
LÖSCHEN
AUSFÜHREN
EMPFANGEN
REFERENZEN

Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet:
{action} ON {object} BY {principal}

Beachten Sie, dass {object} im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. In letzteren Fällen werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet.

Zum Beispiel:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

Weitere Informationen finden Sie unter Database-Level Überwachungsaktionen
string[]
isAzureMonitorTargetEnabled Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden.
Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als "true" an.

Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden.
Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten.

URI-Format der Diagnoseeinstellungen:
PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen
oder Diagnoseeinstellungen powerShell-
Bool
isDevopsAuditEnabled Gibt den Status der Devops-Überwachung an. Wenn der Status aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet.
Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als "true" und "IsDevopsAuditEnabled" als "true" an.

Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" in der Masterdatenbank erstellt werden.

URI-Format der Diagnoseeinstellungen:
PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen
oder Diagnoseeinstellungen powerShell-
Bool
isManagedIdentityInUse Gibt an, ob verwaltete Identität für den Zugriff auf BLOB-Speicher verwendet wird. Bool
isStorageSecondaryKeyInUse Gibt an, ob storageAccountAccessKey-Wert der Sekundärschlüssel des Speichers ist. Bool
queueDelayMs Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen.
Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647.
Int
retentionDays Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto gespeichert werden sollen. Int
Zustand Gibt den Status der Überwachung an. Wenn der Status aktiviert ist, sind "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. "Deaktiviert"
"Aktiviert" (erforderlich)
storageAccountAccessKey Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an.
Wenn der Status aktiviert ist und "storageEndpoint" angegeben ist, verwendet "storageAccountAccessKey" nicht die vom Sql Server zugewiesene verwaltete Identität für den Zugriff auf den Speicher.
Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung:
1. Zuweisen von SQL Server zu einer vom System zugewiesenen verwalteten Identität in Azure Active Directory (AAD).
2. Gewähren Sie SQL Server-Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen.
Weitere Informationen finden Sie unter Überwachung des Speichers mit verwalteter Identitätsauthentifizierung
Schnur

Zwänge:
Vertraulicher Wert. Übergeben Als sicherer Parameter.
storageAccountSubscriptionId Gibt die BLOB-Speicherabonnement-ID an. Schnur

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Gibt den BLOB-Speicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status aktiviert ist, ist "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. Schnur

Schnellstartvorlagen

Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.

Schablone Beschreibung
Azure SQL Server mit Überwachung, die in eine Blobspeicher-

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in einen BLOB-Speicher zu schreiben.
Azure SQL Server mit überwachung in Event Hub

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in Event Hub zu schreiben.
Azure SQL Server mit Überwachung in Log Analytics

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in Log Analytics (OMS-Arbeitsbereich) zu schreiben.
dedizierten SQL-Pool mit transparenter Verschlüsselung

Bereitstellen in Azure
Erstellt einen SQL Server und einen dedizierten SQL-Pool (ehemals SQL DW) mit transparenter Datenverschlüsselung.

ARM-Vorlagenressourcendefinition

Der Ressourcentyp "servers/auditingSettings" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Sql/servers/auditingSettings-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.

{
  "type": "Microsoft.Sql/servers/auditingSettings",
  "apiVersion": "2023-05-01-preview",
  "name": "default",
  "properties": {
    "auditActionsAndGroups": [ "string" ],
    "isAzureMonitorTargetEnabled": "bool",
    "isDevopsAuditEnabled": "bool",
    "isManagedIdentityInUse": "bool",
    "isStorageSecondaryKeyInUse": "bool",
    "queueDelayMs": "int",
    "retentionDays": "int",
    "state": "string",
    "storageAccountAccessKey": "string",
    "storageAccountSubscriptionId": "string",
    "storageEndpoint": "string"
  }
}

Eigenschaftswerte

servers/auditingSettings

Name Beschreibung Wert
Art Der Ressourcentyp 'Microsoft.Sql/servers/auditingSettings'
apiVersion Die Ressourcen-API-Version "2023-05-01-preview"
Name Der Ressourcenname

Erfahren Sie, wie Sie Namen und Typen für untergeordnete Ressourcen in JSON ARM-Vorlagenfestlegen.
"Standard"
Eigenschaften Ressourceneigenschaften. ServerBlobAuditingPolicyProperties

ServerBlobAuditingPolicyProperties

Name Beschreibung Wert
auditActionsAndGroups Gibt die zu überwachenden Actions-Groups und Aktionen an.

Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination : Dadurch werden alle Abfragen und gespeicherten Prozeduren überwacht, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Diese oben genannte Kombination ist auch der Satz, der standardmäßig konfiguriert ist, wenn die Überwachung über das Azure-Portal aktiviert wird.

Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt.

Weitere Informationen finden Sie unter Database-Level Überwachen von Aktionsgruppen.

Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen für die Überwachung sind:
AUSWÄHLEN
AKTUALISIEREN
EINFÜGEN
LÖSCHEN
AUSFÜHREN
EMPFANGEN
REFERENZEN

Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet:
{action} ON {object} BY {principal}

Beachten Sie, dass {object} im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. In letzteren Fällen werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet.

Zum Beispiel:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

Weitere Informationen finden Sie unter Database-Level Überwachungsaktionen
string[]
isAzureMonitorTargetEnabled Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden.
Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als "true" an.

Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden.
Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten.

URI-Format der Diagnoseeinstellungen:
PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen
oder Diagnoseeinstellungen powerShell-
Bool
isDevopsAuditEnabled Gibt den Status der Devops-Überwachung an. Wenn der Status aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet.
Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als "true" und "IsDevopsAuditEnabled" als "true" an.

Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" in der Masterdatenbank erstellt werden.

URI-Format der Diagnoseeinstellungen:
PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen
oder Diagnoseeinstellungen powerShell-
Bool
isManagedIdentityInUse Gibt an, ob verwaltete Identität für den Zugriff auf BLOB-Speicher verwendet wird. Bool
isStorageSecondaryKeyInUse Gibt an, ob storageAccountAccessKey-Wert der Sekundärschlüssel des Speichers ist. Bool
queueDelayMs Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen.
Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647.
Int
retentionDays Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto gespeichert werden sollen. Int
Zustand Gibt den Status der Überwachung an. Wenn der Status aktiviert ist, sind "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. "Deaktiviert"
"Aktiviert" (erforderlich)
storageAccountAccessKey Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an.
Wenn der Status aktiviert ist und "storageEndpoint" angegeben ist, verwendet "storageAccountAccessKey" nicht die vom Sql Server zugewiesene verwaltete Identität für den Zugriff auf den Speicher.
Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung:
1. Zuweisen von SQL Server zu einer vom System zugewiesenen verwalteten Identität in Azure Active Directory (AAD).
2. Gewähren Sie SQL Server-Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen.
Weitere Informationen finden Sie unter Überwachung des Speichers mit verwalteter Identitätsauthentifizierung
Schnur

Zwänge:
Vertraulicher Wert. Übergeben Als sicherer Parameter.
storageAccountSubscriptionId Gibt die BLOB-Speicherabonnement-ID an. Schnur

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Gibt den BLOB-Speicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status aktiviert ist, ist "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. Schnur

Schnellstartvorlagen

Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.

Schablone Beschreibung
Azure SQL Server mit Überwachung, die in eine Blobspeicher-

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in einen BLOB-Speicher zu schreiben.
Azure SQL Server mit überwachung in Event Hub

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in Event Hub zu schreiben.
Azure SQL Server mit Überwachung in Log Analytics

Bereitstellen in Azure
Mit dieser Vorlage können Sie einen Azure SQL-Server mit aktivierter Überwachung bereitstellen, um Überwachungsprotokolle in Log Analytics (OMS-Arbeitsbereich) zu schreiben.
dedizierten SQL-Pool mit transparenter Verschlüsselung

Bereitstellen in Azure
Erstellt einen SQL Server und einen dedizierten SQL-Pool (ehemals SQL DW) mit transparenter Datenverschlüsselung.

Terraform -Ressourcendefinition (AzAPI-Anbieter)

Der Ressourcentyp "servers/auditingSettings" kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:

  • Ressourcengruppen

Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.

Ressourcenformat

Um eine Microsoft.Sql/servers/auditingSettings-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Sql/servers/auditingSettings@2023-05-01-preview"
  name = "default"
  parent_id = "string"
  body = jsonencode({
    properties = {
      auditActionsAndGroups = [
        "string"
      ]
      isAzureMonitorTargetEnabled = bool
      isDevopsAuditEnabled = bool
      isManagedIdentityInUse = bool
      isStorageSecondaryKeyInUse = bool
      queueDelayMs = int
      retentionDays = int
      state = "string"
      storageAccountAccessKey = "string"
      storageAccountSubscriptionId = "string"
      storageEndpoint = "string"
    }
  })
}

Eigenschaftswerte

servers/auditingSettings

Name Beschreibung Wert
Art Der Ressourcentyp "Microsoft.Sql/servers/auditingSettings@2023-05-01-preview"
Name Der Ressourcenname "Standard"
parent_id Die ID der Ressource, die das übergeordnete Element für diese Ressource ist. ID für Ressource des Typs: Server
Eigenschaften Ressourceneigenschaften. ServerBlobAuditingPolicyProperties

ServerBlobAuditingPolicyProperties

Name Beschreibung Wert
auditActionsAndGroups Gibt die zu überwachenden Actions-Groups und Aktionen an.

Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination : Dadurch werden alle Abfragen und gespeicherten Prozeduren überwacht, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Diese oben genannte Kombination ist auch der Satz, der standardmäßig konfiguriert ist, wenn die Überwachung über das Azure-Portal aktiviert wird.

Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt.

Weitere Informationen finden Sie unter Database-Level Überwachen von Aktionsgruppen.

Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen für die Überwachung sind:
AUSWÄHLEN
AKTUALISIEREN
EINFÜGEN
LÖSCHEN
AUSFÜHREN
EMPFANGEN
REFERENZEN

Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet:
{action} ON {object} BY {principal}

Beachten Sie, dass {object} im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. In letzteren Fällen werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet.

Zum Beispiel:
SELECT on dbo.myTable by public
SELECT on DATABASE::myDatabase by public
SELECT on SCHEMA::mySchema by public

Weitere Informationen finden Sie unter Database-Level Überwachungsaktionen
string[]
isAzureMonitorTargetEnabled Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden.
Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als "true" an.

Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden.
Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten.

URI-Format der Diagnoseeinstellungen:
PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen
oder Diagnoseeinstellungen powerShell-
Bool
isDevopsAuditEnabled Gibt den Status der Devops-Überwachung an. Wenn der Status aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet.
Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als "true" und "IsDevopsAuditEnabled" als "true" an.

Bei Verwendung der REST-API zum Konfigurieren der Überwachung sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" in der Masterdatenbank erstellt werden.

URI-Format der Diagnoseeinstellungen:
PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter REST-API für Diagnoseeinstellungen
oder Diagnoseeinstellungen powerShell-
Bool
isManagedIdentityInUse Gibt an, ob verwaltete Identität für den Zugriff auf BLOB-Speicher verwendet wird. Bool
isStorageSecondaryKeyInUse Gibt an, ob storageAccountAccessKey-Wert der Sekundärschlüssel des Speichers ist. Bool
queueDelayMs Gibt die Zeitspanne in Millisekunden an, die verstrichen werden kann, bevor Überwachungsaktionen verarbeitet werden müssen.
Der Standardwert ist 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647.
Int
retentionDays Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto gespeichert werden sollen. Int
Zustand Gibt den Status der Überwachung an. Wenn der Status aktiviert ist, sind "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. "Deaktiviert"
"Aktiviert" (erforderlich)
storageAccountAccessKey Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an.
Wenn der Status aktiviert ist und "storageEndpoint" angegeben ist, verwendet "storageAccountAccessKey" nicht die vom Sql Server zugewiesene verwaltete Identität für den Zugriff auf den Speicher.
Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung:
1. Zuweisen von SQL Server zu einer vom System zugewiesenen verwalteten Identität in Azure Active Directory (AAD).
2. Gewähren Sie SQL Server-Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen.
Weitere Informationen finden Sie unter Überwachung des Speichers mit verwalteter Identitätsauthentifizierung
Schnur

Zwänge:
Vertraulicher Wert. Übergeben Als sicherer Parameter.
storageAccountSubscriptionId Gibt die BLOB-Speicherabonnement-ID an. Schnur

Zwänge:
Min. Länge = 36
Maximale Länge = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Gibt den BLOB-Speicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status aktiviert ist, ist "storageEndpoint" oder "isAzureMonitorTargetEnabled" erforderlich. Schnur