Database Blob Auditing Policies - Create Or Update
Erstellt oder aktualisiert die Blobüberwachungsrichtlinie einer Datenbank.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/auditingSettings/default?api-version=2021-11-01
URI-Parameter
Name | In | Erforderlich | Typ | Beschreibung |
---|---|---|---|---|
blob
|
path | True |
Der Name der Blobüberwachungsrichtlinie. |
|
database
|
path | True |
string |
Der Name der Datenbank. |
resource
|
path | True |
string |
Der Name der Ressourcengruppe, die die Ressource enthält. Dieser Wert kann über die Azure-Ressourcen-Manager-API oder das Portal abgerufen werden. |
server
|
path | True |
string |
Name des Servers |
subscription
|
path | True |
string |
Abonnement-ID für ein Azure-Abonnement. |
api-version
|
query | True |
string |
API-Version, die für die Anforderung verwendet werden soll. |
Anforderungstext
Name | Erforderlich | Typ | Beschreibung |
---|---|---|---|
properties.state | True |
Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich. |
|
properties.auditActionsAndGroups |
string[] |
Gibt die zu überwachenden Actions-Groups und Aktionen an. Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination: Dadurch werden alle Abfragen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen überwacht: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Diese obige Kombination ist auch die Gruppe, die standardmäßig konfiguriert wird, wenn die Überwachung über die Azure-Portal aktiviert wird. Die unterstützten Aktionsgruppen, die überwacht werden sollen, sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen kann zu sehr großen Mengen von Überwachungsdatensätzen führen: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden und nicht in Kombination mit anderen Gruppen verwendet werden sollten, da dies zu doppelten Überwachungsprotokollen führt. Weitere Informationen finden Sie unter Überwachungsaktionsgruppen auf Datenbankebene. Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die zu überwachenden Aktionen werden unterstützt: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet: {action} ON {object} BY {principal} Beachten Sie, dass im obigen Format auf ein Objekt wie eine Tabelle, Sicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein schema verweisen kann. Für letztere Fälle werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet. Beispiel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Weitere Informationen finden Sie unter Überwachungsaktionen auf Datenbankebene. |
|
properties.isAzureMonitorTargetEnabled |
boolean |
Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als true an. Wenn Sie die REST-API zum Konfigurieren der Überwachung verwenden, sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" für die Datenbank erstellt werden. Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten. URI-Format der Diagnoseeinstellungen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Weitere Informationen finden Sie unter Diagnoseeinstellungen REST-API oder Diagnoseeinstellungen PowerShell. |
|
properties.isManagedIdentityInUse |
boolean |
Gibt an, ob die verwaltete Identität für den Zugriff auf Blobspeicher verwendet wird. |
|
properties.isStorageSecondaryKeyInUse |
boolean |
Gibt an, ob der Wert storageAccountAccessKey der sekundäre Schlüssel des Speichers ist. |
|
properties.queueDelayMs |
integer |
Gibt in Millisekunden den Zeitraum an, der verstreichen kann, bevor die Verarbeitung von Überwachungsaktionen erzwungen wird. Der standardmäßige Mindestwert beträgt 1000 (1 Sekunde). Der Höchstwert ist 2.147.483.647. |
|
properties.retentionDays |
integer |
Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto aufbewahrt werden sollen. |
|
properties.storageAccountAccessKey |
string |
Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Status Aktiviert und storageEndpoint angegeben ist, wird die vom Sql Server-System zugewiesene verwaltete Identität für den Zugriff auf den Speicher nicht durch angabe des storageAccountAccessKey verwendet. Voraussetzungen für die Verwendung der Authentifizierung mit verwalteter Identität:
|
|
properties.storageAccountSubscriptionId |
string |
Gibt die Blob Storage-Abonnement-ID an. |
|
properties.storageEndpoint |
string |
Gibt den Blobspeicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status Aktiviert ist, ist storageEndpoint oder isAzureMonitorTargetEnabled erforderlich. |
Antworten
Name | Typ | Beschreibung |
---|---|---|
200 OK |
Die Datenbankblobüberwachungsrichtlinie wurde erfolgreich festgelegt. |
|
201 Created |
Die Datenbankblobüberwachungsrichtlinie wurde erfolgreich erstellt. |
|
Other Status Codes |
Fehlerantworten: ***
|
Beispiele
Create or update a database's azure monitor auditing policy with minimal parameters
Beispielanforderung
PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb/auditingSettings/default?api-version=2021-11-01
{
"properties": {
"state": "Enabled",
"isAzureMonitorTargetEnabled": true
}
}
Beispiel für eine Antwort
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb",
"name": "default",
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"isAzureMonitorTargetEnabled": true,
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
"auditActionsAndGroups": [
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"BATCH_COMPLETED_GROUP"
]
}
}
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb",
"name": "default",
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"isAzureMonitorTargetEnabled": true,
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
"auditActionsAndGroups": [
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"BATCH_COMPLETED_GROUP"
]
}
}
Create or update a database's blob auditing policy with all parameters
Beispielanforderung
PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb/auditingSettings/default?api-version=2021-11-01
{
"properties": {
"state": "Enabled",
"storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 6,
"storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
"isStorageSecondaryKeyInUse": false,
"queueDelayMs": 4000,
"auditActionsAndGroups": [
"DATABASE_LOGOUT_GROUP",
"DATABASE_ROLE_MEMBER_CHANGE_GROUP",
"UPDATE on database::TestDatabaseName by public"
],
"isAzureMonitorTargetEnabled": true
}
}
Beispiel für eine Antwort
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb",
"name": "default",
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
"isStorageSecondaryKeyInUse": false,
"queueDelayMs": 4000,
"auditActionsAndGroups": [
"DATABASE_LOGOUT_GROUP",
"DATABASE_ROLE_MEMBER_CHANGE_GROUP",
"UPDATE on database::TestDatabaseName by public"
],
"isAzureMonitorTargetEnabled": true
}
}
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb",
"name": "default",
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
"isStorageSecondaryKeyInUse": false,
"queueDelayMs": 4000,
"auditActionsAndGroups": [
"DATABASE_LOGOUT_GROUP",
"DATABASE_ROLE_MEMBER_CHANGE_GROUP",
"UPDATE on database::TestDatabaseName by public"
],
"isAzureMonitorTargetEnabled": true
}
}
Create or update a database's blob auditing policy with minimal parameters
Beispielanforderung
PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb/auditingSettings/default?api-version=2021-11-01
{
"properties": {
"state": "Enabled",
"storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
"storageEndpoint": "https://mystorage.blob.core.windows.net"
}
}
Beispiel für eine Antwort
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb",
"name": "default",
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"BATCH_COMPLETED_GROUP"
],
"isAzureMonitorTargetEnabled": false
}
}
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/databases/testdb",
"name": "default",
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"BATCH_COMPLETED_GROUP"
],
"isAzureMonitorTargetEnabled": false
}
}
Definitionen
Name | Beschreibung |
---|---|
blob |
Der Name der Blobüberwachungsrichtlinie. |
Blob |
Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich. |
Database |
Eine Datenbankblobüberwachungsrichtlinie. |
blobAuditingPolicyName
Der Name der Blobüberwachungsrichtlinie.
Name | Typ | Beschreibung |
---|---|---|
default |
string |
BlobAuditingPolicyState
Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich.
Name | Typ | Beschreibung |
---|---|---|
Disabled |
string |
|
Enabled |
string |
DatabaseBlobAuditingPolicy
Eine Datenbankblobüberwachungsrichtlinie.
Name | Typ | Beschreibung |
---|---|---|
id |
string |
Ressourcen-ID |
kind |
string |
Ressourcenart. |
name |
string |
Name der Ressource. |
properties.auditActionsAndGroups |
string[] |
Gibt die zu überwachenden Actions-Groups und Aktionen an. Die empfohlene Gruppe von Aktionsgruppen ist die folgende Kombination: Dadurch werden alle Abfragen und gespeicherten Prozeduren, die für die Datenbank ausgeführt werden, sowie erfolgreiche und fehlgeschlagene Anmeldungen überwacht: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Diese obige Kombination ist auch die Gruppe, die standardmäßig konfiguriert wird, wenn die Überwachung über die Azure-Portal aktiviert wird. Die unterstützten Aktionsgruppen, die überwacht werden sollen, sind (Hinweis: Wählen Sie nur bestimmte Gruppen aus, die Ihre Überwachungsanforderungen abdecken. Die Verwendung unnötiger Gruppen kann zu sehr großen Mengen von Überwachungsdatensätzen führen: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dies sind Gruppen, die alle sql-Anweisungen und gespeicherten Prozeduren abdecken, die für die Datenbank ausgeführt werden und nicht in Kombination mit anderen Gruppen verwendet werden sollten, da dies zu doppelten Überwachungsprotokollen führt. Weitere Informationen finden Sie unter Überwachungsaktionsgruppen auf Datenbankebene. Für die Datenbanküberwachungsrichtlinie können auch bestimmte Aktionen angegeben werden (beachten Sie, dass Aktionen für die Serverüberwachungsrichtlinie nicht angegeben werden können). Die zu überwachenden Aktionen werden unterstützt: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Das allgemeine Formular zum Definieren einer zu überwachenden Aktion lautet: {action} ON {object} BY {principal} Beachten Sie, dass im obigen Format auf ein Objekt wie eine Tabelle, Sicht oder gespeicherte Prozedur oder eine gesamte Datenbank oder ein schema verweisen kann. Für letztere Fälle werden die Formulare DATABASE::{db_name} und SCHEMA::{schema_name} verwendet. Beispiel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Weitere Informationen finden Sie unter Überwachungsaktionen auf Datenbankebene. |
properties.isAzureMonitorTargetEnabled |
boolean |
Gibt an, ob Überwachungsereignisse an Azure Monitor gesendet werden. Um die Ereignisse an Azure Monitor zu senden, geben Sie "State" als "Enabled" und "IsAzureMonitorTargetEnabled" als true an. Wenn Sie die REST-API zum Konfigurieren der Überwachung verwenden, sollten auch Diagnoseeinstellungen mit der Diagnoseprotokollkategorie "SQLSecurityAuditEvents" für die Datenbank erstellt werden. Beachten Sie, dass Sie für die Überwachung auf Serverebene die Datenbank "master" als {databaseName} verwenden sollten. URI-Format der Diagnoseeinstellungen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Weitere Informationen finden Sie unter Diagnoseeinstellungen REST-API oder Diagnoseeinstellungen PowerShell. |
properties.isManagedIdentityInUse |
boolean |
Gibt an, ob die verwaltete Identität für den Zugriff auf Blobspeicher verwendet wird. |
properties.isStorageSecondaryKeyInUse |
boolean |
Gibt an, ob der Wert storageAccountAccessKey der sekundäre Schlüssel des Speichers ist. |
properties.queueDelayMs |
integer |
Gibt in Millisekunden den Zeitraum an, der verstreichen kann, bevor die Verarbeitung von Überwachungsaktionen erzwungen wird. Der standardmäßige Mindestwert beträgt 1000 (1 Sekunde). Der Höchstwert ist 2.147.483.647. |
properties.retentionDays |
integer |
Gibt die Anzahl der Tage an, die in den Überwachungsprotokollen im Speicherkonto aufbewahrt werden sollen. |
properties.state |
Gibt den Status der Überwachung an. Wenn der Status Aktiviert ist, sind storageEndpoint oder isAzureMonitorTargetEnabled erforderlich. |
|
properties.storageAccountAccessKey |
string |
Gibt den Bezeichnerschlüssel des Überwachungsspeicherkontos an. Wenn der Status Aktiviert und storageEndpoint angegeben ist, wird die vom Sql Server-System zugewiesene verwaltete Identität für den Zugriff auf den Speicher nicht durch angabe des storageAccountAccessKey verwendet. Voraussetzungen für die Verwendung der Authentifizierung mit verwalteter Identität:
|
properties.storageAccountSubscriptionId |
string |
Gibt die Blob Storage-Abonnement-ID an. |
properties.storageEndpoint |
string |
Gibt den Blobspeicherendpunkt an (z. B. https://MyAccount.blob.core.windows.net). Wenn der Status Aktiviert ist, ist storageEndpoint oder isAzureMonitorTargetEnabled erforderlich. |
type |
string |
Der Ressourcentyp. |