Database Blob Auditing Policies - List By Database

Servicio:

SQL Database

Versión de la API:

2021-11-01

Enumera la configuración de auditoría de una base de datos.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/auditingSettings?api-version=2021-11-01

Parámetros de identificador URI

Nombre	En	Requerido	Tipo	Description
databaseName	path	True	string	Nombre de la base de datos.
resourceGroupName	path	True	string	Nombre del grupo de recursos que contiene el recurso. Puede obtener este valor desde la API de Azure Resource Manager o el portal.
serverName	path	True	string	Nombre del servidor.
subscriptionId	path	True	string	Identificador de suscripción que identifica una suscripción de Azure.
api-version	query	True	string	Versión de la API que se va a usar para la solicitud.

Respuestas

Nombre	Tipo	Description
200 OK	DatabaseBlobAuditingPolicyListResult	Se recuperó correctamente la configuración de auditoría de base de datos.
Other Status Codes		Respuestas de error: *** 400 BlobAuditingIsNotSupportedOnResourceType: actualmente no se admite la auditoría de blobs para este tipo de recurso. 404 SourceDatabaseNotFound: la base de datos de origen no existe. 404 DatabaseDoesNotExist: el usuario ha especificado un nombre de base de datos que no existe en esta instancia del servidor. 500 DatabaseIsUnavailable: error al cargar. Inténtelo de nuevo más tarde.

Ejemplos

List audit settings of a database

Solicitud de ejemplo

HTTP

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb/auditingSettings?api-version=2021-11-01

Java

/**
 * Samples for DatabaseBlobAuditingPolicies ListByDatabase.
 */
public final class Main {
    /*
     * x-ms-original-file:
     * specification/sql/resource-manager/Microsoft.Sql/stable/2021-11-01/examples/DatabaseAuditingSettingsList.json
     */
    /**
     * Sample code: List audit settings of a database.
     * 
     * @param azure The entry point for accessing resource management APIs in Azure.
     */
    public static void listAuditSettingsOfADatabase(com.azure.resourcemanager.AzureResourceManager azure) {
        azure.sqlServers().manager().serviceClient().getDatabaseBlobAuditingPolicies().listByDatabase(
            "blobauditingtest-6852", "blobauditingtest-2080", "testdb", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Respuesta de muestra

status code:

200

{
  "value": [
    {
      "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb/auditingSettings/default",
      "name": "default",
      "type": "Microsoft.Sql/servers/databases/auditingSettings",
      "kind": "V12",
      "properties": {
        "state": "Disabled",
        "storageEndpoint": "",
        "retentionDays": 0,
        "auditActionsAndGroups": [],
        "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
        "isStorageSecondaryKeyInUse": false,
        "isAzureMonitorTargetEnabled": false,
        "isManagedIdentityInUse": false
      }
    }
  ]
}

Definiciones

Nombre	Description
BlobAuditingPolicyState	Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.
DatabaseBlobAuditingPolicy	Una directiva de auditoría de blobs de base de datos.
DatabaseBlobAuditingPolicyListResult	Lista de la configuración de auditoría de base de datos.

BlobAuditingPolicyState

Enumeración

Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.

Valor	Description
Disabled
Enabled

DatabaseBlobAuditingPolicy

Object

Una directiva de auditoría de blobs de base de datos.

Nombre	Tipo	Description
id	string	Identificador de recurso.
kind	string	Tipo de recurso.
name	string	Nombre del recurso.
properties.auditActionsAndGroups	string[]	Especifica el Actions-Groups y las acciones que se van a auditar. El conjunto recomendado de grupos de acciones que se van a usar es la siguiente combinación: esto auditará todas las consultas y procedimientos almacenados ejecutados en la base de datos, así como inicios de sesión correctos y con errores: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinación anterior también es el conjunto que se configura de forma predeterminada al habilitar la auditoría desde Azure Portal. Los grupos de acciones admitidos que se van a auditar son (nota: elija solo grupos específicos que cubran las necesidades de auditoría. El uso de grupos innecesarios podría dar lugar a grandes cantidades de registros de auditoría): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Estos son grupos que cubren todas las instrucciones SQL y los procedimientos almacenados ejecutados en la base de datos y no deben usarse en combinación con otros grupos, ya que esto dará lugar a registros de auditoría duplicados. Para obtener más información, consulte Database-Level Auditar grupos de acciones. Para la directiva de auditoría de base de datos, también se pueden especificar acciones específicas (tenga en cuenta que las acciones no se pueden especificar para la directiva de auditoría del servidor). Las acciones admitidas para auditar son: SELECT UPDATE INSERT INSERT DELETE EXECUTE RECEIVE REFERENCES El formulario general para definir una acción que se va a auditar es: {action} ON {object} BY {principal} Tenga en cuenta que, en el formato anterior, puede hacer referencia a un objeto como una tabla, una vista o un procedimiento almacenado, o a una base de datos o esquema completo. En los últimos casos, se usan los formularios DATABASE::{db_name} y SCHEMA::{schema_name}, respectivamente. Por ejemplo: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public public Para obtener más información, consulte Database-Level Acciones de auditoría.
properties.isAzureMonitorTargetEnabled	boolean	Especifica si los eventos de auditoría se envían a Azure Monitor. Para enviar los eventos a Azure Monitor, especifique "State" como "Enabled" y "IsAzureMonitorTargetEnabled" como true. Al usar la API REST para configurar la auditoría, también se debe crear la categoría de registros de diagnóstico "SQLSecurityAuditEvents" en la base de datos. Tenga en cuenta que para la auditoría de nivel de servidor debe usar la base de datos "master" como {databaseName}. Formato de URI de configuración de diagnóstico: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Para obtener más información, consulte configuración de diagnóstico DE API REST o Configuración de diagnóstico de PowerShell
properties.isManagedIdentityInUse	boolean	Especifica si la identidad administrada se usa para acceder al almacenamiento de blobs.
properties.isStorageSecondaryKeyInUse	boolean	Especifica si el valor storageAccountAccessKey es la clave secundaria del almacenamiento.
properties.queueDelayMs	integer (int32)	Especifica la cantidad de tiempo en milisegundos que pueden transcurrir antes de que se procesen las acciones de auditoría. El valor mínimo predeterminado es 1000 (1 segundo). El máximo es 2.147.483.647.
properties.retentionDays	integer (int32)	Especifica el número de días que se mantendrán en los registros de auditoría de la cuenta de almacenamiento.
properties.state	BlobAuditingPolicyState	Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.
properties.storageAccountAccessKey	string	Especifica la clave de identificador de la cuenta de almacenamiento de auditoría. Si se especifica state is Enabled and storageEndpoint, not specifying the storageAccountAccessKey will use SQL Server system-assigned managed identity to access the storage. Requisitos previos para usar la autenticación de identidad administrada: Asigne a SQL Server una identidad administrada asignada por el sistema en Azure Active Directory (AAD). Conceda a la identidad de SQL Server acceso a la cuenta de almacenamiento agregando el rol RBAC "Colaborador de datos de blobs de almacenamiento" a la identidad del servidor. Para obtener más información, consulte Auditoría en el almacenamiento mediante la autenticación de identidad administrada
properties.storageAccountSubscriptionId	string (uuid)	Especifica el identificador de suscripción de Blob Storage.
properties.storageEndpoint	string	Especifica el punto de conexión de Blob Storage (por ejemplo, https://MyAccount.blob.core.windows.net). Si el estado es Enabled, storageEndpoint o isAzureMonitorTargetEnabled es obligatorio.
type	string	Tipo de recurso.

DatabaseBlobAuditingPolicyListResult

Object

Lista de la configuración de auditoría de base de datos.

Nombre	Tipo	Description
nextLink	string	Vínculo para recuperar la siguiente página de resultados.
value	DatabaseBlobAuditingPolicy[]	Matriz de resultados.