Extended Server Blob Auditing Policies - Get

Ruft die Blobüberwachungsrichtlinie eines erweiterten Servers ab.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/extendedAuditingSettings/default?api-version=2021-11-01

URI-Parameter

Name In Required Type Description
blobAuditingPolicyName
path True

Der Name der Blobüberwachungsrichtlinie.

resourceGroupName
path True
  • string

Der Name der Ressourcengruppe, die die Ressource enthält. Dieser Wert kann über die Azure-Ressourcen-Manager-API oder das Portal abgerufen werden.

serverName
path True
  • string

Name des Servers

subscriptionId
path True
  • string

Abonnement-ID für ein Azure-Abonnement.

api-version
query True
  • string

API-Version, die für die Anforderung verwendet werden soll.

Antworten

Name Type Description
200 OK

Die Erweiterte Server-Blobüberwachungsrichtlinie wurde erfolgreich abgerufen.

Other Status Codes

Fehlerantworten: ***

  • 404 SubscriptionDoesNotHaveServer – Der angeforderte Server wurde nicht gefunden.

  • 404 ServerNotInSubscriptionResourceGroup – Der angegebene Server ist nicht in der angegebenen Ressourcengruppe und im Abonnement vorhanden.

Beispiele

Get a server's blob extended auditing policy

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2021-11-01

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false
  }
}

Definitionen

blobAuditingPolicyName

Der Name der Blobüberwachungsrichtlinie.

BlobAuditingPolicyState

Gibt den Zustand der Überwachung an. Wenn der Zustand aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.

ExtendedServerBlobAuditingPolicy

Eine erweiterte Server-Blobüberwachungsrichtlinie.

blobAuditingPolicyName

Der Name der Blobüberwachungsrichtlinie.

Name Type Description
default
  • string

BlobAuditingPolicyState

Gibt den Zustand der Überwachung an. Wenn der Zustand aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.

Name Type Description
Disabled
  • string
Enabled
  • string

ExtendedServerBlobAuditingPolicy

Eine erweiterte Server-Blobüberwachungsrichtlinie.

Name Type Description
id
  • string

Ressourcen-ID

name
  • string

Name der Ressource.

properties.auditActionsAndGroups
  • string[]

Gibt die zu überwachenden Actions-Groups und Aktionen an.

Die empfohlene Gruppe der zu verwendenden Aktionsgruppen ist die folgende Kombination – dies überwacht alle Abfragen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Diese obige Kombination ist auch der Satz, der standardmäßig beim Aktivieren der Überwachung aus dem Azure-Portal konfiguriert ist.

Die unterstützten Aktionsgruppen für die Überwachung sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen könnte zu sehr großen Mengen von Überwachungsdatensätzen führen):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Diese Gruppen umfassen alle sql-Anweisungen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, und sollten nicht in Kombination mit anderen Gruppen verwendet werden, da dies zu doppelten Überwachungsprotokollen führt.

Weitere Informationen finden Sie unter Gruppen für Überwachungsaktionen auf Datenbankebene.

Für die Datenbanküberwachungsrichtlinie können bestimmte Aktionen auch angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die unterstützten Aktionen zur Überwachung sind: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet: {action} ON {object} BY {principal}

Beachten Sie, dass im obigen Format auf ein Objekt wie eine Tabelle, Ansicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein gesamtes Schema verweisen kann. Für die letzten Fälle werden die FormularDATENBANK::{db_name} und SCHEMA::{schema_name} verwendet.

Beispiel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Select

Weitere Informationen finden Sie unter Überwachungsaktionen auf Datenbankebene

properties.isAzureMonitorTargetEnabled
  • boolean

Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als true an.

Wenn Sie REST-API zum Konfigurieren der Überwachung verwenden, sollten Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" auch in der Datenbank erstellt werden. Beachten Sie, dass Sie für die Serverebenenüberwachung die Datenbank "Master" als {databaseName}verwenden sollten.

Diagnoseeinstellungen-URI-Format: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter "Rest-API für Diagnoseeinstellungen " oder "Diagnoseeinstellungen" powerShell

properties.isDevopsAuditEnabled
  • boolean

Gibt den Zustand der Devops-Überwachung an. Wenn der Zustand aktiviert ist, werden Devops-Protokolle an Azure Monitor gesendet. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled", "IsAzureMonitorTargetEnabled" als true und "IsDevopsAuditEnabled" als true an.

Wenn Sie REST-API zum Konfigurieren der Überwachung verwenden, sollten Diagnoseeinstellungen mit der Kategorie "DevOpsOperationsAudit" in der Masterdatenbank auch erstellt werden.

Diagnoseeinstellungen-URI-Format: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Weitere Informationen finden Sie unter "Rest-API für Diagnoseeinstellungen " oder "Diagnoseeinstellungen" powerShell

properties.isManagedIdentityInUse
  • boolean

Gibt an, ob verwaltete Identität verwendet wird, um auf blobspeicher zuzugreifen.

properties.isStorageSecondaryKeyInUse
  • boolean

Gibt an, ob storageAccountAccessKey-Wert der sekundäre Schlüssel des Speichers ist.

properties.predicateExpression
  • string

Gibt die Bedingung an, an der Klausel beim Erstellen einer Überwachungsklausel festgelegt wird.

properties.queueDelayMs
  • integer

Gibt in Millisekunden den Zeitraum an, der verstreichen kann, bevor die Verarbeitung von Überwachungsaktionen erzwungen wird. Der standardmäßige Mindestwert beträgt 1000 (1 Sekunde). Das Maximum beträgt 2.147.483.647.

properties.retentionDays
  • integer

Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto beibehalten werden sollen.

properties.state

Gibt den Zustand der Überwachung an. Wenn der Zustand aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.

properties.storageAccountAccessKey
  • string

Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Zustand aktiviert ist und storageEndpoint angegeben ist, wird nicht angegeben, dass der SpeicherAccountAccessKey die verwaltete SQL Server-Identität verwendet, um auf den Speicher zuzugreifen. Voraussetzungen für die Verwendung der verwalteten Identitätsauthentifizierung:

  1. Weisen Sie SQL Server einer system zugewiesenen verwalteten Identität in Azure Active Directory (AAD) zu.
  2. Gewähren Sie SQL Server Identitätszugriff auf das Speicherkonto, indem Sie der Serveridentität die RBAC-Rolle "Storage Blob Data Contributor" hinzufügen. Weitere Informationen finden Sie unter Überwachung der Speicherung mithilfe der verwalteten Identitätsauthentifizierung
properties.storageAccountSubscriptionId
  • string

Gibt die Blobspeicherabonnement-ID an.

properties.storageEndpoint
  • string

Gibt den Blobspeicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Zustand aktiviert ist, ist storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.

type
  • string

Der Ressourcentyp.