Blob Auditing - List By Server

  • Referenz
Service:
SQL Database
API Version:
2023-08-01-preview

Listen Überwachungseinstellungen eines Servers.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings?api-version=2023-08-01-preview

URI-Parameter

Name In Erforderlich Typ Beschreibung
resourceGroupName
 path True

string

Der Name der Ressourcengruppe, die die Ressource enthält. Dieser Wert kann über die Azure-Ressourcen-Manager-API oder das Portal abgerufen werden.
serverName
 path True

string

Name des Servers
subscriptionId
 path True

string

Abonnement-ID für ein Azure-Abonnement.
api-version
 query True

string

API-Version, die für die Anforderung verwendet werden soll.

Antworten

Name Typ Beschreibung
200 OK

ServerBlobAuditingPolicyListResult

Serverüberwachungseinstellungen wurden erfolgreich abgerufen.
Other Status Codes

ErrorResponse

Fehlerantworten: ***

  • 400 ManagedInstanceStoppingOrStopped: Konfliktierender Vorgang, der übermittelt wird, während sich instance im Status "Beenden" befindet

  • 400 ManagedInstanceStarting: Konfliktierender Vorgang, der übermittelt wird, während sich instance im Startzustand befindet

  • 404 SubscriptionDoesNotHaveServer: Der angeforderte Server wurde nicht gefunden

  • 404 ServerNotInSubscriptionResourceGroup: Der angegebene Server ist in der angegebenen Ressourcengruppe und dem angegebenen Abonnement nicht vorhanden.

Beispiele

List auditing settings of a server

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings?api-version=2023-08-01-preview

Sample Response

Status code:
200 
{
  "value": [
    {
      "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/auditingSettings/default",
      "name": "default",
      "type": "Microsoft.Sql/servers/auditingSettings",
      "properties": {
        "state": "Disabled",
        "storageEndpoint": "",
        "retentionDays": 0,
        "auditActionsAndGroups": [],
        "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
        "isStorageSecondaryKeyInUse": false,
        "isAzureMonitorTargetEnabled": false,
        "isManagedIdentityInUse": false
      }
    }
  ]
}

Definitionen

Name Beschreibung
BlobAuditingPolicyState

Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.
ErrorAdditionalInfo

Zusätzliche Informationen zum Ressourcenverwaltungsfehler.
ErrorDetail

Die Fehlerdetails.
ErrorResponse

Fehlerantwort
ServerBlobAuditingPolicy

Eine Serverblobüberwachungsrichtlinie.
ServerBlobAuditingPolicyListResult

Eine Liste der Serverüberwachungseinstellungen.

BlobAuditingPolicyState

Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.

Name Typ Beschreibung
Disabled

string

Enabled

string

ErrorAdditionalInfo

Zusätzliche Informationen zum Ressourcenverwaltungsfehler.

Name Typ Beschreibung
info

object

Zusätzliche Informationen.
type

string

Typ der zusätzlichen Informationen.

ErrorDetail

Die Fehlerdetails.

Name Typ Beschreibung
additionalInfo

ErrorAdditionalInfo[]

Die zusätzlichen Fehlerinformationen.
code

string

Der Fehlercode.
details

ErrorDetail[]

Die Fehlerdetails.
message

string

Die Fehlermeldung.
target

string

Das Fehlerziel.

ErrorResponse

Fehlerantwort

Name Typ Beschreibung
error

ErrorDetail

Das Fehlerobjekt.

ServerBlobAuditingPolicy

Eine Serverblobüberwachungsrichtlinie.

Name Typ Beschreibung
id

string

Ressourcen-ID
name

string

Name der Ressource.
properties.auditActionsAndGroups

string[]

Gibt die zu überwachenden Actions-Groups und Aktionen an.

Die empfohlene Gruppe von Aktionsgruppen für die Verwendung ist die folgende Kombination: Dadurch werden alle Abfragen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen überwacht:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Diese obige Kombination ist auch die Gruppe, die standardmäßig konfiguriert wird, wenn die Überwachung über die Azure-Portal aktiviert wird.

Die zu überwachenden Aktionsgruppen sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen kann zu sehr großen Mengen an Überwachungsdatensätzen führen:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden und nicht in Kombination mit anderen Gruppen verwendet werden sollten, da dies zu doppelten Überwachungsprotokollen führt.

Weitere Informationen finden Sie unter Überwachungsaktionsgruppen auf Datenbankebene.

Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen nicht für die Serverüberwachungsrichtlinie angegeben werden können). Die zu überwachenden Aktionen werden unterstützt: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Das allgemeine Formular zum Definieren einer zu überwachenden Aktion ist: {action} ON {object} BY {principal}

Beachten Sie, dass im obigen Format auf ein Objekt wie eine Tabelle, Eine Sicht oder eine gespeicherte Prozedur oder eine gesamte Datenbank oder ein schema verweisen kann. Für letztere Fälle werden jeweils die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet.

Beispiel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Weitere Informationen finden Sie unter Überwachungsaktionen auf Datenbankebene.
properties.isAzureMonitorTargetEnabled

boolean

Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als true an.

Wenn Sie die REST-API zum Konfigurieren der Überwachung verwenden, sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" in der Datenbank erstellt werden. Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten.

URI-Format für Diagnoseeinstellungen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter Rest-API für Diagnoseeinstellungen oder Diagnoseeinstellungen PowerShell.
properties.isDevopsAuditEnabled

boolean

Gibt den Status der devops-Überwachung an. Wenn der Status Aktiviert ist, werden devops-Protokolle an Azure Monitor gesendet. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als true und "IsDevopsAuditEnabled" als true an.

Wenn Sie die REST-API zum Konfigurieren der Überwachung verwenden, sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "DevOpsOperationsAudit" für die master Datenbank erstellt werden.

URI-Format für Diagnoseeinstellungen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter Rest-API für Diagnoseeinstellungen oder Diagnoseeinstellungen PowerShell.
properties.isManagedIdentityInUse

boolean

Gibt an, ob die verwaltete Identität für den Zugriff auf Blobspeicher verwendet wird.
properties.isStorageSecondaryKeyInUse

boolean

Gibt an, ob der Wert storageAccountAccessKey der sekundäre Schlüssel des Speichers ist.
properties.queueDelayMs

integer

Gibt in Millisekunden den Zeitraum an, der verstreichen kann, bevor die Verarbeitung von Überwachungsaktionen erzwungen wird. Der standardmäßige Mindestwert beträgt 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647.
properties.retentionDays

integer

Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto aufbewahrt werden sollen.
properties.state

BlobAuditingPolicyState

Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.
properties.storageAccountAccessKey

string

Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Status Aktiviert und storageEndpoint angegeben ist, wird die vom SQL Server systemseitig zugewiesene verwaltete Identität für den Zugriff auf den Speicher nicht angegeben. Voraussetzungen für die Verwendung der Authentifizierung mit verwalteter Identität:

  1. Weisen Sie SQL Server einer systemseitig zugewiesenen verwalteten Identität in Azure Active Directory (AAD) zu.
  2. Gewähren Sie SQL Server Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen. Weitere Informationen finden Sie unter Überwachen des Speichers mithilfe der Authentifizierung mit verwalteter Identität.
properties.storageAccountSubscriptionId

string

Gibt die Blob Storage-Abonnement-ID an.
properties.storageEndpoint

string

Gibt den Blobspeicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status Aktiviert ist, ist storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.
type

string

Der Ressourcentyp.

ServerBlobAuditingPolicyListResult

Eine Liste der Serverüberwachungseinstellungen.

Name Typ Beschreibung
nextLink

string

Link zum Abrufen der nächsten Ergebnisseite.
value

ServerBlobAuditingPolicy[]

Array von Ergebnissen.