Megosztás a következőn keresztül:


Workspace Managed Sql Server Blob Auditing Policies - Create Or Update

Hozza létre vagy frissítse a kiszolgáló blobnaplózási szabályzatát.
Munkaterület által felügyelt SQL Server blobnaplózási szabályzatának létrehozása vagy frissítése.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Synapse/workspaces/{workspaceName}/auditingSettings/default?api-version=2021-06-01

URI-paraméterek

Name In Kötelező Típus Description
blobAuditingPolicyName
path True

BlobAuditingPolicyName

A blobnaplózási szabályzat neve.

resourceGroupName
path True

string

Az erőforráscsoport neve. A név megkülönbözteti a kis- és nagybetűket.

subscriptionId
path True

string

A cél-előfizetés azonosítója.

workspaceName
path True

string

A munkaterület neve.

api-version
query True

string

A művelethez használandó API-verzió.

Kérelem törzse

Name Kötelező Típus Description
properties.state True

BlobAuditingPolicyState

A szabályzat állapotát határozza meg. Ha az állapot engedélyezve van, akkor a storageEndpoint vagy azAzureMonitorTargetEnabled szükséges.

properties.auditActionsAndGroups

string[]

A naplózandó Actions-Groups és műveletek megadása.

A javasolt műveletcsoportok a következő kombinációt használják : ez az adatbázison végrehajtott összes lekérdezést és tárolt eljárást, valamint a sikeres és sikertelen bejelentkezéseket fogja naplózni:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ez a fenti kombináció az a készlet is, amely alapértelmezés szerint konfigurálva van, amikor engedélyezi a naplózást a Azure Portal.

A naplózandó támogatott műveletcsoportok (megjegyzés: csak azokat a csoportokat válassza ki, amelyek lefedik a naplózási igényeket. A szükségtelen csoportok használata nagyon nagy mennyiségű naplózási rekordhoz vezethet:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Ezek olyan csoportok, amelyek lefedik az adatbázison végrehajtott összes SQL-utasítást és tárolt eljárást, és nem használhatók más csoportokkal együtt, mivel ez ismétlődő naplózási naplókat eredményez.

További információ: Adatbázisszintű naplózási műveletcsoportok.

Adatbázis-naplózási szabályzat esetén adott műveletek is megadhatók (vegye figyelembe, hogy a kiszolgálók naplózási házirendje nem adható meg műveletekhez). A naplózás támogatott műveletei a következők: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

A naplózandó művelet meghatározásának általános űrlapja: {action} ON {object} BY {principal}

Vegye figyelembe, hogy a fenti formátumban hivatkozhat egy objektumra, például egy táblára, nézetre vagy tárolt eljárásra, vagy egy teljes adatbázisra vagy sémára. Az utóbbi esetekben a DATABASE::{db_name} és a SCHEMA::{schema_name} űrlapot használja a rendszer.

Például: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

További információ: Adatbázisszintű naplózási műveletek

properties.isAzureMonitorTargetEnabled

boolean

Meghatározza, hogy a rendszer elküldi-e a naplózási eseményeket az Azure Monitornak. Az események Azure Monitorba való küldéséhez adja meg az "állapot" értéket "Enabled" (Engedélyezve), az "isAzureMonitorTargetEnabled" értéket pedig igazként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hoznia az adatbázis "SQLSecurityAuditEvents" diagnosztikai naplókategória diagnosztikai beállításait is. Vegye figyelembe, hogy a kiszolgálószintű naplózáshoz a "master" adatbázist {databaseName} néven kell használnia.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell

properties.isDevopsAuditEnabled

boolean

A devops-naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a rendszer devops-naplókat küld az Azure Monitornak. Az események Azure Monitorba való küldéséhez az "Állapot" értéket adja meg "Engedélyezve", az "IsAzureMonitorTargetEnabled" értéket igazként, az "IsDevopsAuditEnabled" értéket pedig igazként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hozni a diagnosztikai beállításokat a főadatbázis "DevOpsOperationsAudit" diagnosztikai naplókategória használatával.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell

properties.isStorageSecondaryKeyInUse

boolean

Meghatározza, hogy a storageAccountAccessKey érték-e a tároló másodlagos kulcsa.

properties.queueDelayMs

integer

Ezredmásodpercben adja meg, hogy mennyi idő telik el a naplózási műveletek feldolgozásának kényszerítése előtt. Az alapértelmezett minimális érték 1000 (1 másodperc). A maximális érték 2 147 483 647.

properties.retentionDays

integer

Megadja, hogy hány nap maradjon a tárfiók naplóiban.

properties.storageAccountAccessKey

string

Megadja a naplózási tárfiók azonosítókulcsát. Ha az állapot engedélyezve van, és a storageEndpoint meg van adva, a storageAccountAccessKey megadása után az SQL Server rendszer által hozzárendelt felügyelt identitása fogja használni a tároló elérését. A felügyelt identitáshitelesítés használatának előfeltételei:

  1. Hozzárendelhet SQL Server egy rendszer által hozzárendelt felügyelt identitást az Azure Active Directoryban (AAD).
  2. Adjon SQL Server identitáshoz való hozzáférést a tárfiókhoz, ha hozzáadja a "Storage Blob Data Contributor" RBAC-szerepkört a kiszolgálói identitáshoz. További információ: Naplózás a tárolóba felügyelt identitás hitelesítésével
properties.storageAccountSubscriptionId

string

Megadja a Blob Storage-előfizetés azonosítóját.

properties.storageEndpoint

string

Megadja a blobtároló végpontját (pl. https://MyAccount.blob.core.windows.net). Ha az állapot Engedélyezve, akkor a storageEndpoint vagy azAzureMonitorTargetEnabled szükséges.

Válaszok

Name Típus Description
200 OK

ServerBlobAuditingPolicy

A naplózási beállítások frissítése sikerült.

202 Accepted

Elfogadva

Other Status Codes

Hibaválaszok: ***

  • 400 InvalidServerBlobAuditingPolicyCreateRequest – A kiszolgáló blobnaplózási házirendjének létrehozása nem létezik, vagy nincs tulajdonságobjektuma.

  • 400 InvalidBlobAuditActionsAndGroups – Érvénytelen naplózási műveletek vagy műveletcsoportok.

  • 400 DataSecurityInvalidUserSuppliedParameter – Az ügyfél érvénytelen paraméterértéket adott meg.

  • 400 BlobAuditingInvalidStorageAccountCredentials – A megadott tárfiók vagy hozzáférési kulcs érvénytelen.

  • 400 InvalidBlobAuditActionsAndGroups – Érvénytelen naplózási műveletek vagy műveletcsoportok.

  • 400 InsufficientDiskSpaceForAuditing – Nincs elegendő lemezterület a naplózási metaadatok mentéséhez az adatbázisban

400 InvalidBlobAuditActions – Érvénytelen naplózási művelet.

  • 404 SubscriptionDoesNotHaveServer – A kért kiszolgáló nem található

  • 404 ServerNotInSubscriptionResourceGroup – A megadott kiszolgáló nem létezik a megadott erőforráscsoportban és előfizetésben.

  • 409 UnsupportedWorkspaceType – A munkaterülettípus nem támogatott művelete.

  • 500 InternalServerError – Hiba történt.

Példák

Create or update blob auditing policy of workspace managed Sql Server with minimal parameters
Create or update blob auditing policy of workspace SQL Server with all parameters

Create or update blob auditing policy of workspace managed Sql Server with minimal parameters

Mintakérelem

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/wsg-7398/providers/Microsoft.Synapse/workspaces/testWorkspace/auditingSettings/default?api-version=2021-06-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Mintaválasz

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/wsg-7398/providers/Microsoft.Synapse/workspaces/testWorkspace/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Synapse/workspaces/auditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ]
  }
}

Create or update blob auditing policy of workspace SQL Server with all parameters

Mintakérelem

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/wsg-7398/providers/Microsoft.Synapse/workspaces/testWorkspace/auditingSettings/default?api-version=2021-06-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": true
  }
}

Mintaválasz

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/wsg-7398/providers/Microsoft.Synapse/workspaces/testWorkspace/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Synapse/workspaces/auditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": true
  }
}

Definíciók

Name Description
BlobAuditingPolicyName

A blobnaplózási szabályzat neve.

BlobAuditingPolicyState

A szabályzat állapotát határozza meg. Ha az állapot engedélyezve van, akkor a storageEndpoint vagy azAzureMonitorTargetEnabled szükséges.

ServerBlobAuditingPolicy

Kiszolgálói blobnaplózási szabályzat.

BlobAuditingPolicyName

A blobnaplózási szabályzat neve.

Name Típus Description
default

string

BlobAuditingPolicyState

A szabályzat állapotát határozza meg. Ha az állapot engedélyezve van, akkor a storageEndpoint vagy azAzureMonitorTargetEnabled szükséges.

Name Típus Description
Disabled

string

Enabled

string

ServerBlobAuditingPolicy

Kiszolgálói blobnaplózási szabályzat.

Name Típus Description
id

string

Az erőforrás teljes erőforrás-azonosítója. Ex – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name

string

Az erőforrás neve

properties.auditActionsAndGroups

string[]

A naplózandó Actions-Groups és műveletek megadása.

A javasolt műveletcsoportok a következő kombinációt használják : ez az adatbázison végrehajtott összes lekérdezést és tárolt eljárást, valamint a sikeres és sikertelen bejelentkezéseket fogja naplózni:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ez a fenti kombináció az a készlet is, amely alapértelmezés szerint konfigurálva van, amikor engedélyezi a naplózást a Azure Portal.

A naplózandó támogatott műveletcsoportok (megjegyzés: csak azokat a csoportokat válassza ki, amelyek lefedik a naplózási igényeket. A szükségtelen csoportok használata nagyon nagy mennyiségű naplózási rekordhoz vezethet:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Ezek olyan csoportok, amelyek lefedik az adatbázison végrehajtott összes SQL-utasítást és tárolt eljárást, és nem használhatók más csoportokkal együtt, mivel ez ismétlődő naplózási naplókat eredményez.

További információ: Adatbázisszintű naplózási műveletcsoportok.

Adatbázis-naplózási szabályzat esetén adott műveletek is megadhatók (vegye figyelembe, hogy a kiszolgálók naplózási házirendje nem adható meg műveletekhez). A naplózás támogatott műveletei a következők: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

A naplózandó művelet meghatározásának általános űrlapja: {action} ON {object} BY {principal}

Vegye figyelembe, hogy a fenti formátumban hivatkozhat egy objektumra, például egy táblára, nézetre vagy tárolt eljárásra, vagy egy teljes adatbázisra vagy sémára. Az utóbbi esetekben a DATABASE::{db_name} és a SCHEMA::{schema_name} űrlapot használja a rendszer.

Például: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

További információ: Adatbázisszintű naplózási műveletek

properties.isAzureMonitorTargetEnabled

boolean

Meghatározza, hogy a rendszer elküldi-e a naplózási eseményeket az Azure Monitornak. Az események Azure Monitorba való küldéséhez adja meg az "állapot" értéket "Enabled" (Engedélyezve), az "isAzureMonitorTargetEnabled" értéket pedig igazként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hoznia az adatbázis "SQLSecurityAuditEvents" diagnosztikai naplókategória diagnosztikai beállításait is. Vegye figyelembe, hogy a kiszolgálószintű naplózáshoz a "master" adatbázist {databaseName} néven kell használnia.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell

properties.isDevopsAuditEnabled

boolean

A devops-naplózás állapotát határozza meg. Ha az állapot engedélyezve van, a rendszer devops-naplókat küld az Azure Monitornak. Az események Azure Monitorba való küldéséhez az "Állapot" értéket adja meg "Engedélyezve", az "IsAzureMonitorTargetEnabled" értéket igazként, az "IsDevopsAuditEnabled" értéket pedig igazként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hozni a diagnosztikai beállításokat a főadatbázis "DevOpsOperationsAudit" diagnosztikai naplókategória használatával.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell

properties.isStorageSecondaryKeyInUse

boolean

Meghatározza, hogy a storageAccountAccessKey érték-e a tároló másodlagos kulcsa.

properties.queueDelayMs

integer

Ezredmásodpercben adja meg, hogy mennyi idő telik el a naplózási műveletek feldolgozásának kényszerítése előtt. Az alapértelmezett minimális érték 1000 (1 másodperc). A maximális érték 2 147 483 647.

properties.retentionDays

integer

Megadja, hogy hány nap maradjon a tárfiók naplóiban.

properties.state

BlobAuditingPolicyState

A szabályzat állapotát határozza meg. Ha az állapot engedélyezve van, akkor a storageEndpoint vagy azAzureMonitorTargetEnabled szükséges.

properties.storageAccountAccessKey

string

Megadja a naplózási tárfiók azonosítókulcsát. Ha az állapot engedélyezve van, és a storageEndpoint meg van adva, a storageAccountAccessKey megadása után az SQL Server rendszer által hozzárendelt felügyelt identitása fogja használni a tároló elérését. A felügyelt identitáshitelesítés használatának előfeltételei:

  1. Hozzárendelhet SQL Server egy rendszer által hozzárendelt felügyelt identitást az Azure Active Directoryban (AAD).
  2. Adjon SQL Server identitáshoz való hozzáférést a tárfiókhoz, ha hozzáadja a "Storage Blob Data Contributor" RBAC-szerepkört a kiszolgálói identitáshoz. További információ: Naplózás a tárolóba felügyelt identitás hitelesítésével
properties.storageAccountSubscriptionId

string

Megadja a Blob Storage-előfizetés azonosítóját.

properties.storageEndpoint

string

Megadja a blobtároló végpontját (pl. https://MyAccount.blob.core.windows.net). Ha az állapot Engedélyezve, akkor a storageEndpoint vagy azAzureMonitorTargetEnabled szükséges.

type

string

Az erőforrás típusa. Például "Microsoft.Compute/virtualMachines" vagy "Microsoft.Storage/storageAccounts"