ExtendedDatabaseBlobAuditingPolicy Clase

Una directiva de auditoría de blobs de base de datos extendida.

Las variables solo se rellenan mediante el servidor y se omitirán al enviar una solicitud.

Herencia

azure.mgmt.sql.models._models_py3.ProxyResource

ExtendedDatabaseBlobAuditingPolicy

Constructor

ExtendedDatabaseBlobAuditingPolicy(*, predicate_expression: str | None = None, retention_days: int | None = None, audit_actions_and_groups: List[str] | None = None, is_storage_secondary_key_in_use: bool | None = None, is_azure_monitor_target_enabled: bool | None = None, queue_delay_ms: int | None = None, state: str | BlobAuditingPolicyState | None = None, storage_endpoint: str | None = None, storage_account_access_key: str | None = None, storage_account_subscription_id: str | None = None, **kwargs)

Parámetros

Nombre	Description
predicate_expression Requerido	str Especifica la condición de dónde se crea una cláusula al crear una auditoría.
retention_days Requerido	int Especifica el número de días que se mantendrán en los registros de auditoría de la cuenta de almacenamiento.
audit_actions_and_groups Requerido	list[str] Especifica el Actions-Groups y las acciones que se van a auditar. El conjunto recomendado de grupos de acciones que se van a usar es la siguiente combinación: se auditarán todas las consultas y procedimientos almacenados ejecutados en la base de datos, así como inicios de sesión correctos y con errores: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinación anterior también es el conjunto que se configura de forma predeterminada al habilitar la auditoría desde el Azure Portal. Los grupos de acciones admitidos para auditar son (nota: elija solo grupos específicos que cubran las necesidades de auditoría. El uso de grupos innecesarios podría dar lugar a grandes cantidades de registros de auditoría): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Estos son grupos que cubren todas las instrucciones SQL y los procedimientos almacenados ejecutados en la base de datos, y no deben usarse en combinación con otros grupos, ya que esto dará lugar a registros de auditoría duplicados. Para obtener más información, vea Grupos de acciones de auditoría de nivel de base de datos. Para la directiva de auditoría de base de datos, también se pueden especificar acciones específicas (tenga en cuenta que las acciones no se pueden especificar para la directiva de auditoría del servidor). Las acciones admitidas para auditar son: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES El formulario general para definir una acción que se va a auditar es: {action} ON {object} BY {principal} Tenga en cuenta que <object> en el formato anterior puede hacer referencia a un objeto como una tabla, una vista o un procedimiento almacenado, o a una base de datos o esquema completo. En los últimos casos, se usan los formularios DATABASE:::{db_name} y SCHEMA::{schema_name}, respectivamente. Por ejemplo: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Para obtener más información, vea Acciones de auditoría de nivel de base de datos.
is_storage_secondary_key_in_use Requerido	bool Especifica si el valor storageAccountAccessKey es la clave secundaria del almacenamiento.
is_azure_monitor_target_enabled Requerido	bool Especifica si los eventos de auditoría se envían a Azure Monitor. Para enviar los eventos a Azure Monitor, especifique "State" como "Enabled" y "IsAzureMonitorTargetEnabled" como true. Al usar la API REST para configurar la auditoría, también se debe crear la categoría de registros de diagnóstico "SQLSecurityAuditEvents" en la base de datos. Tenga en cuenta que, para la auditoría de nivel de servidor, debe usar la base de datos "master" como {databaseName}. Formato de URI de configuración de diagnóstico: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Para obtener más información, consulte API REST de configuración de diagnóstico o Configuración de diagnóstico de PowerShell.
queue_delay_ms Requerido	int Especifica la cantidad de tiempo, en milisegundos, que puede transcurrir antes de exigir que se procesen las acciones de auditoría. El valor mínimo predeterminado es 1000 (1 segundo). El máximo es 2.147.483.647.
state Requerido	str o BlobAuditingPolicyState Especifica el estado de la auditoría. Si el estado es Enabled, storageEndpoint o isAzureMonitorTargetEnabled son necesarios. Entre los valores posibles se incluyen: "Enabled", "Disabled".
storage_endpoint Requerido	str Especifica el punto de conexión de Blob Storage (por ejemplo, https://MyAccount.blob.core.windows.net). Si el estado es Enabled, storageEndpoint o isAzureMonitorTargetEnabled es obligatorio.
storage_account_access_key Requerido	str Especifica la clave de identificador de la cuenta de almacenamiento de auditoría. Si se especifica state is Enabled y storageEndpoint, no especifica storageAccountAccessKey usará la identidad administrada asignada por el sistema de SQL Server para acceder al almacenamiento. Requisitos previos para usar la autenticación de identidad administrada: Asigne SQL Server una identidad administrada asignada por el sistema en Azure Active Directory (AAD). #. Conceda a SQL Server acceso de identidad a la cuenta de almacenamiento agregando el rol RBAC "Colaborador de datos de Storage Blob" a la identidad del servidor. Para más información, consulte >>"<<Auditoría en el almacenamiento mediante la autenticación de identidad administrada. <https://go.microsoft.com/fwlink/?linkid=2114355>`_.
storage_account_subscription_id Requerido	str Especifica el identificador de suscripción de Blob Storage.

Parámetros de solo palabra clave

Nombre	Description
predicate_expression Requerido
retention_days Requerido
audit_actions_and_groups Requerido
is_storage_secondary_key_in_use Requerido
is_azure_monitor_target_enabled Requerido
queue_delay_ms Requerido
state Requerido
storage_endpoint Requerido
storage_account_access_key Requerido
storage_account_subscription_id Requerido

Variables

Nombre	Description
id	str Identificador del recurso.
name	str Nombre del recurso.
type	str Tipo de recurso.