DatabaseBlobAuditingPolicyProperties interface
Propiedades de una política de auditoría de blob de bases de datos.
Propiedades
| audit |
Especifica el Actions-Groups y las acciones que se van a auditar. El conjunto recomendado de grupos de acciones que se van a usar es la siguiente combinación: esto auditará todas las consultas y procedimientos almacenados ejecutados en la base de datos, así como inicios de sesión correctos y con errores: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinación anterior es también el conjunto que se configura por defecto al habilitar la auditoría desde el portal de Azure. Los grupos de acciones admitidos que se van a auditar son (nota: elija solo grupos específicos que cubran las necesidades de auditoría. El uso de grupos innecesarios podría dar lugar a grandes cantidades de registros de auditoría): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Estos son grupos que cubren todas las instrucciones SQL y los procedimientos almacenados ejecutados en la base de datos y no deben usarse en combinación con otros grupos, ya que esto dará lugar a registros de auditoría duplicados. Para obtener más información, consulte Database-Level Auditar grupos de acciones. Para la directiva de auditoría de base de datos, también se pueden especificar acciones específicas (tenga en cuenta que las acciones no se pueden especificar para la directiva de auditoría del servidor). Las acciones soportadas para auditar son: SELECCIONAR ACTUALIZAR INSERTAR ELIMINAR EJECUTAR RECIBIR REFERENCIAS La forma general para definir una acción a auditar es: {acción} SOBRE {objeto} POR {principal} Tenga en cuenta que <objeto> en el formato anterior puede hacer referencia a un objeto como una tabla, una vista o un procedimiento almacenado, o a una base de datos o esquema completo. En los últimos casos, se usan los formularios DATABASE::{db_name} y SCHEMA::{schema_name}, respectivamente. Por ejemplo: SELECT en dbo.myTable por public SELECT en DATABASE::myDatabase por public SELECT en SCHEMA::mySchema por public Para obtener más información, consulte |
| is |
Especifica si los eventos de auditoría se envían a Azure Monitor. Para enviar los eventos a Azure Monitor, especifica 'State' como 'Enabled' y 'IsAzureMonitorTargetEnabled' como verdadero. Al usar la API REST para configurar la auditoría, también se debe crear la categoría de registros de diagnóstico "SQLSecurityAuditEvents" en la base de datos. Tenga en cuenta que para la auditoría de nivel de servidor debe usar la base de datos "master" como {databaseName}. Configuración de diagnóstico formato URI: PUT Para más información, consulte Configuración de diagnóstico API REST o Configuración de diagnóstico PowerShell |
| is |
Especifica si la identidad administrada se usa para acceder al almacenamiento de blobs. |
| is |
Especifica si el valor storageAccountAccessKey es la clave secundaria del almacenamiento. |
| queue |
Especifica la cantidad de tiempo, en milisegundos, que puede transcurrir antes de exigir que se procesen las acciones de auditoría. El valor mínimo predeterminado es 1000 (1 segundo). El máximo es 2.147.483.647. |
| retention |
Especifica el número de días que se mantendrán en los registros de auditoría de la cuenta de almacenamiento. |
| state | Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled. |
| storage |
Especifica la clave de identificador de la cuenta de almacenamiento de auditoría. Si se especifica state is Enabled and storageEndpoint, not specifying the storageAccountAccessKey will use SQL Server system-assigned managed identity to access the storage. Requisitos previos para usar la autenticación de identidad administrada:
|
| storage |
Especifica el identificador de suscripción de Blob Storage. |
| storage |
Especifica el punto de conexión de Blob Storage (por ejemplo, |
Detalles de las propiedades
auditActionsAndGroups
Especifica el Actions-Groups y las acciones que se van a auditar.
El conjunto recomendado de grupos de acciones que se van a usar es la siguiente combinación: esto auditará todas las consultas y procedimientos almacenados ejecutados en la base de datos, así como inicios de sesión correctos y con errores:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Esta combinación anterior es también el conjunto que se configura por defecto al habilitar la auditoría desde el portal de Azure.
Los grupos de acciones admitidos que se van a auditar son (nota: elija solo grupos específicos que cubran las necesidades de auditoría. El uso de grupos innecesarios podría dar lugar a grandes cantidades de registros de auditoría):
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
Estos son grupos que cubren todas las instrucciones SQL y los procedimientos almacenados ejecutados en la base de datos y no deben usarse en combinación con otros grupos, ya que esto dará lugar a registros de auditoría duplicados.
Para obtener más información, consulte Database-Level Auditar grupos de acciones.
Para la directiva de auditoría de base de datos, también se pueden especificar acciones específicas (tenga en cuenta que las acciones no se pueden especificar para la directiva de auditoría del servidor). Las acciones soportadas para auditar son: SELECCIONAR ACTUALIZAR INSERTAR ELIMINAR EJECUTAR RECIBIR REFERENCIAS
La forma general para definir una acción a auditar es: {acción} SOBRE {objeto} POR {principal}
Tenga en cuenta que <objeto> en el formato anterior puede hacer referencia a un objeto como una tabla, una vista o un procedimiento almacenado, o a una base de datos o esquema completo. En los últimos casos, se usan los formularios DATABASE::{db_name} y SCHEMA::{schema_name}, respectivamente.
Por ejemplo: SELECT en dbo.myTable por public SELECT en DATABASE::myDatabase por public SELECT en SCHEMA::mySchema por public
Para obtener más información, consulte
auditActionsAndGroups?: string[]
Valor de propiedad
string[]
isAzureMonitorTargetEnabled
Especifica si los eventos de auditoría se envían a Azure Monitor. Para enviar los eventos a Azure Monitor, especifica 'State' como 'Enabled' y 'IsAzureMonitorTargetEnabled' como verdadero.
Al usar la API REST para configurar la auditoría, también se debe crear la categoría de registros de diagnóstico "SQLSecurityAuditEvents" en la base de datos. Tenga en cuenta que para la auditoría de nivel de servidor debe usar la base de datos "master" como {databaseName}.
Configuración de diagnóstico formato URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Para más información, consulte Configuración de diagnóstico API REST o Configuración de diagnóstico PowerShell
isAzureMonitorTargetEnabled?: boolean
Valor de propiedad
boolean
isManagedIdentityInUse
Especifica si la identidad administrada se usa para acceder al almacenamiento de blobs.
isManagedIdentityInUse?: boolean
Valor de propiedad
boolean
isStorageSecondaryKeyInUse
Especifica si el valor storageAccountAccessKey es la clave secundaria del almacenamiento.
isStorageSecondaryKeyInUse?: boolean
Valor de propiedad
boolean
queueDelayMs
Especifica la cantidad de tiempo, en milisegundos, que puede transcurrir antes de exigir que se procesen las acciones de auditoría. El valor mínimo predeterminado es 1000 (1 segundo). El máximo es 2.147.483.647.
queueDelayMs?: number
Valor de propiedad
number
retentionDays
Especifica el número de días que se mantendrán en los registros de auditoría de la cuenta de almacenamiento.
retentionDays?: number
Valor de propiedad
number
state
Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.
state: BlobAuditingPolicyState
Valor de propiedad
storageAccountAccessKey
Especifica la clave de identificador de la cuenta de almacenamiento de auditoría. Si se especifica state is Enabled and storageEndpoint, not specifying the storageAccountAccessKey will use SQL Server system-assigned managed identity to access the storage. Requisitos previos para usar la autenticación de identidad administrada:
- Asigna a SQL Server una identidad gestionada asignada por el sistema en Azure Active Directory (AAD).
- Concede acceso a la identidad de SQL Server a la cuenta de almacenamiento añadiendo el rol RBAC 'Storage Blob Data Contributor' a la identidad del servidor. Para obtener más información, consulte Auditoría en el almacenamiento mediante la autenticación de identidad administrada
storageAccountAccessKey?: string
Valor de propiedad
string
storageAccountSubscriptionId
Especifica el identificador de suscripción de Blob Storage.
storageAccountSubscriptionId?: string
Valor de propiedad
string
storageEndpoint
Especifica el punto de conexión de Blob Storage (por ejemplo, https://MyAccount.blob.core.windows.net). Si el estado es Enabled, storageEndpoint o isAzureMonitorTargetEnabled es obligatorio.
storageEndpoint?: string
Valor de propiedad
string