Extended Server Blob Auditing Policies - Create Or Update

Létrehoz vagy frissít egy kiterjesztett kiszolgáló blobnaplózási szabályzatát.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/extendedAuditingSettings/default?api-version=2021-02-01-preview

URI-paraméterek

Name In Required Type Description
blobAuditingPolicyName
path True
  • string

A blobnaplózási szabályzat neve.

resourceGroupName
path True
  • string

Az erőforrást tartalmazó erőforráscsoport neve. Ezt az értéket az Azure Resource Manager API-ból vagy a portálról szerezheti be.

serverName
path True
  • string

A kiszolgáló neve.

subscriptionId
path True
  • string

Az Azure-előfizetést azonosító előfizetés-azonosító.

api-version
query True
  • string

A kéréshez használni kívánt API-verzió.

Kérelem törzse

Name Required Type Description
properties.state True

A naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

properties.auditActionsAndGroups
  • string[]

Megadja a naplózandó Actions-Groups és műveleteket.

A javasolt műveletcsoportok a következő kombinációt használják – ez naplózni fogja az adatbázison végrehajtott összes lekérdezést és tárolt eljárást, valamint a sikeres és sikertelen bejelentkezéseket:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ez a fenti kombináció az a készlet is, amely alapértelmezés szerint konfigurálva van a Azure Portal naplózásának engedélyezésekor.

A naplózandó támogatott műveletcsoportok (megjegyzés: csak azokat a csoportokat válassza ki, amelyek megfelelnek a naplózási igényeknek. A szükségtelen csoportok használata nagyon nagy mennyiségű naplózási rekordhoz vezethet:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Ezek olyan csoportok, amelyek lefedik az adatbázison végrehajtott összes SQL-utasítást és tárolt eljárást, és nem használhatók más csoportokkal együtt, mivel ez ismétlődő auditnaplókat eredményez.

További információ: Adatbázisszintű naplózási műveletcsoportok.

Adatbázis-naplózási házirend esetén adott műveletek is megadhatóak (vegye figyelembe, hogy a kiszolgálónaplózási házirendhez nem adhatók meg műveletek). A naplózáshoz támogatott műveletek a következők: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

A naplózandó művelet meghatározásának általános űrlapja: {action} ON {object} BY {principal}

Vegye figyelembe, hogy a fenti formátumban hivatkozhat egy objektumra, például egy táblára, nézetre vagy tárolt eljárásra, vagy egy teljes adatbázisra vagy sémára. Az utóbbi esetekben a DATABASE::{db_name} és a SCHEMA::{schema_name} űrlapot használja a rendszer.

Például: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

További információ: Adatbázisszintű naplózási műveletek

properties.isAzureMonitorTargetEnabled
  • boolean

Meghatározza, hogy a rendszer elküldi-e a naplózási eseményeket az Azure Monitornak. Az események Azure Monitorba való küldéséhez az "Állapot" mezőben adja meg az "Enabled" értéket, az "IsAzureMonitorTargetEnabled" értéket pedig igaz értékként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hoznia az adatbázis "SQLSecurityAuditEvents" diagnosztikai naplókategória diagnosztikai Gépház is. Vegye figyelembe, hogy a kiszolgálószintű naplózáshoz a "master" adatbázist {databaseName} néven kell használnia.

Diagnosztikai Gépház URI formátuma: PUThttps://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai Gépház REST API vagy Diagnosztikai Gépház PowerShell

properties.isDevopsAuditEnabled
  • boolean

A devops-naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a devops-naplókat a rendszer elküldi az Azure Monitornak. Az események Azure Monitorba való küldéséhez az "Állapot" értéket adja meg "Engedélyezve", az "IsAzureMonitorTargetEnabled" értéket igazként, az "IsDevopsAuditEnabled" értéket pedig igazként.

Ha REST API-val konfigurálja a naplózást, létre kell hoznia a diagnosztikai Gépház a "DevOpsOperationsAudit" diagnosztikai naplókategória használatával a master adatbázisban.

Diagnosztikai Gépház URI formátuma: PUThttps://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai Gépház REST API vagy Diagnosztikai Gépház PowerShell

properties.isStorageSecondaryKeyInUse
  • boolean

Megadja, hogy a storageAccountAccessKey érték a tároló másodlagos kulcsa-e.

properties.predicateExpression
  • string

A naplózás létrehozásakor a where záradék feltételét határozza meg.

properties.queueDelayMs
  • integer

Azt az időt adja meg ezredmásodpercben, amely a naplózási műveletek feldolgozásának kényszerítése előtt eltelt időt adja meg. Az alapértelmezett minimális érték 1000 (1 másodperc). A maximális érték 2 147 483 647.

properties.retentionDays
  • integer

A tárfiókban lévő auditnaplókban megőrzési napok számát adja meg.

properties.storageAccountAccessKey
  • string

Megadja a naplózási tárfiók azonosítókulcsát. Ha az állapot engedélyezve van, és a storageEndpoint meg van adva, a storageAccountAccessKey megadása nem fogja használni az SQL Server rendszer által hozzárendelt felügyelt identitását a tároló eléréséhez. A felügyelt identitás hitelesítésének használatának előfeltételei:

  1. Hozzárendelhet SQL Server egy rendszer által hozzárendelt felügyelt identitást a Azure Active Directory (AAD) szolgáltatásban.
  2. Adjon SQL Server identitáshoz való hozzáférést a tárfiókhoz úgy, hogy hozzáadja a "Storage Blobadatok közreműködője" RBAC-szerepkört a kiszolgálóidentitáshoz. További információ: Naplózás a tárolóba felügyelt identitás hitelesítésével
properties.storageAccountSubscriptionId
  • string

Megadja a Blob Storage-előfizetés azonosítóját.

properties.storageEndpoint
  • string

Megadja a Blob Storage-végpontot (pl. https://MyAccount.blob.core.windows.net). Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

Válaszok

Name Type Description
200 OK

A kiterjesztett naplózási beállítások frissítése sikeresen megtörtént.

202 Accepted

A kiterjesztett naplózási beállítások frissítése folyamatban van.

Other Status Codes

Hibaválaszok: ***

  • 400 InvalidServerBlobAuditingPolicyCreateRequest – A kiszolgáló blobnaplózási házirendjének létrehozása nem létezik, vagy nincs tulajdonságobjektuma.

  • 400 InvalidBlobAuditActionsAndGroups – Érvénytelen naplózási műveletek vagy műveletcsoportok.

  • 400 DataSecurityInvalidUserSuppliedParameter – Az ügyfél érvénytelen paraméterértéket adott meg.

  • 400 BlobAuditingPredicateExpressionEmpty – Érvénytelen "predicateExpression" paraméter, az érték nem lehet üres.

  • 400 BlobAuditingInvalidStorageAccountCredentials – A megadott tárfiók vagy hozzáférési kulcs érvénytelen.

  • 400 InvalidBlobAuditActionsAndGroups – Érvénytelen naplózási műveletek vagy műveletcsoportok.

  • 400 InsufficientDiskSpaceForAuditing – Nincs elegendő lemezterület az adatbázis naplózási metaadatainak mentéséhez

  • 400 InvalidBlobAuditActions – Érvénytelen naplózási művelet

  • 404 SubscriptionDoesNotHaveServer – A kért kiszolgáló nem található

  • 404 ServerNotInSubscriptionResourceGroup – A megadott kiszolgáló nem létezik a megadott erőforráscsoportban és előfizetésben.

  • 409 ServerBlobAuditingPolicyInProgress – A kiszolgálóblob naplózásának beállítása már folyamatban van.

Példák

Update a server's extended blob auditing policy with all parameters
Update a server's extended blob auditing policy with minimal parameters

Update a server's extended blob auditing policy with all parameters

Sample Request

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2021-02-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}

Update a server's extended blob auditing policy with minimal parameters

Sample Request

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2021-02-01-preview

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": false
  }
}

Definíciók

BlobAuditingPolicyState

A naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

ExtendedServerBlobAuditingPolicy

Kiterjesztett kiszolgálói blobnaplózási szabályzat.

BlobAuditingPolicyState

A naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

Name Type Description
Disabled
  • string
Enabled
  • string

ExtendedServerBlobAuditingPolicy

Kiterjesztett kiszolgálói blobnaplózási szabályzat.

Name Type Description
id
  • string

Erőforrás-azonosító.

name
  • string

Erőforrás neve.

properties.auditActionsAndGroups
  • string[]

Megadja a naplózandó Actions-Groups és műveleteket.

A javasolt műveletcsoportok a következő kombinációt használják – ez naplózni fogja az adatbázison végrehajtott összes lekérdezést és tárolt eljárást, valamint a sikeres és sikertelen bejelentkezéseket:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ez a fenti kombináció az a készlet is, amely alapértelmezés szerint konfigurálva van a Azure Portal naplózásának engedélyezésekor.

A naplózandó támogatott műveletcsoportok (megjegyzés: csak azokat a csoportokat válassza ki, amelyek megfelelnek a naplózási igényeknek. A szükségtelen csoportok használata nagyon nagy mennyiségű naplózási rekordhoz vezethet:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Ezek olyan csoportok, amelyek lefedik az adatbázison végrehajtott összes SQL-utasítást és tárolt eljárást, és nem használhatók más csoportokkal együtt, mivel ez ismétlődő auditnaplókat eredményez.

További információ: Adatbázisszintű naplózási műveletcsoportok.

Adatbázis-naplózási házirend esetén adott műveletek is megadhatóak (vegye figyelembe, hogy a kiszolgálónaplózási házirendhez nem adhatók meg műveletek). A naplózáshoz támogatott műveletek a következők: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

A naplózandó művelet meghatározásának általános űrlapja: {action} ON {object} BY {principal}

Vegye figyelembe, hogy a fenti formátumban hivatkozhat egy objektumra, például egy táblára, nézetre vagy tárolt eljárásra, vagy egy teljes adatbázisra vagy sémára. Az utóbbi esetekben a DATABASE::{db_name} és a SCHEMA::{schema_name} űrlapot használja a rendszer.

Például: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

További információ: Adatbázisszintű naplózási műveletek

properties.isAzureMonitorTargetEnabled
  • boolean

Meghatározza, hogy a rendszer elküldi-e a naplózási eseményeket az Azure Monitornak. Az események Azure Monitorba való küldéséhez az "Állapot" mezőben adja meg az "Enabled" értéket, az "IsAzureMonitorTargetEnabled" értéket pedig igaz értékként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hoznia az adatbázis "SQLSecurityAuditEvents" diagnosztikai naplókategória diagnosztikai Gépház is. Vegye figyelembe, hogy a kiszolgálószintű naplózáshoz a "master" adatbázist {databaseName} néven kell használnia.

Diagnosztikai Gépház URI formátuma: PUThttps://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai Gépház REST API vagy Diagnosztikai Gépház PowerShell

properties.isDevopsAuditEnabled
  • boolean

A devops-naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a devops-naplókat a rendszer elküldi az Azure Monitornak. Az események Azure Monitorba való küldéséhez az "Állapot" értéket adja meg "Engedélyezve", az "IsAzureMonitorTargetEnabled" értéket igazként, az "IsDevopsAuditEnabled" értéket pedig igazként.

Ha REST API-val konfigurálja a naplózást, létre kell hoznia a diagnosztikai Gépház a "DevOpsOperationsAudit" diagnosztikai naplókategória használatával a master adatbázisban.

Diagnosztikai Gépház URI formátuma: PUThttps://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai Gépház REST API vagy Diagnosztikai Gépház PowerShell

properties.isStorageSecondaryKeyInUse
  • boolean

Megadja, hogy a storageAccountAccessKey érték a tároló másodlagos kulcsa-e.

properties.predicateExpression
  • string

A naplózás létrehozásakor a where záradék feltételét határozza meg.

properties.queueDelayMs
  • integer

Azt az időt adja meg ezredmásodpercben, amely a naplózási műveletek feldolgozásának kényszerítése előtt eltelt időt adja meg. Az alapértelmezett minimális érték 1000 (1 másodperc). A maximális érték 2 147 483 647.

properties.retentionDays
  • integer

A tárfiókban lévő auditnaplókban megőrzési napok számát adja meg.

properties.state

A naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

properties.storageAccountAccessKey
  • string

Megadja a naplózási tárfiók azonosítókulcsát. Ha az állapot engedélyezve van, és a storageEndpoint meg van adva, a storageAccountAccessKey megadása nem fogja használni az SQL Server rendszer által hozzárendelt felügyelt identitását a tároló eléréséhez. A felügyelt identitás hitelesítésének használatának előfeltételei:

  1. Hozzárendelhet SQL Server egy rendszer által hozzárendelt felügyelt identitást a Azure Active Directory (AAD) szolgáltatásban.
  2. Adjon SQL Server identitáshoz való hozzáférést a tárfiókhoz úgy, hogy hozzáadja a "Storage Blobadatok közreműködője" RBAC-szerepkört a kiszolgálóidentitáshoz. További információ: Naplózás a tárolóba felügyelt identitás hitelesítésével
properties.storageAccountSubscriptionId
  • string

Megadja a Blob Storage-előfizetés azonosítóját.

properties.storageEndpoint
  • string

Megadja a Blob Storage-végpontot (pl. https://MyAccount.blob.core.windows.net). Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

type
  • string

Erőforrástípus.