Microsoft.Sql servers/auditingSettings 2021-11-01-preview
- Terbaru
- 2023-05-01-preview
- pratinjau
2023-02-01 - pratinjau
2022-11-01 - pratinjau
2022-08-01 - pratinjau
2022-05-01 - 2022-02-01-preview
-
2021-11-01 - pratinjau
2021-11-01 - pratinjau
2021-08-01 - 2021-05-01-preview
- pratinjau
2021-02-01 - pratinjau
2020-11-01 - pratinjau
2020-08-01 - pratinjau
2020-02-02 - 2017-03-01-preview
Definisi sumber daya Bicep
Jenis sumber daya server/auditingSettings dapat disebarkan dengan operasi yang menargetkan:
- Grup sumber daya
- Lihat perintah penyebaran grup sumber daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.Sql/servers/auditingSettings, tambahkan Bicep berikut ke templat Anda.
resource symbolicname 'Microsoft.Sql/servers/auditingSettings@2021-11-01-preview' = {
name: 'default'
parent: resourceSymbolicName
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isDevopsAuditEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Nilai properti
servers/auditingSettings
| Nama | Deskripsi | Nilai |
|---|---|---|
| Nama | Nama sumber daya Lihat cara mengatur nama dan jenis untuk sumber daya anak di Bicep. |
'default' |
| ortu | Di Bicep, Anda dapat menentukan sumber daya induk untuk sumber daya anak. Anda hanya perlu menambahkan properti ini ketika sumber daya anak dideklarasikan di luar sumber daya induk. Untuk informasi selengkapnya, lihat sumber daya Turunan di luar sumber daya induk. |
Nama simbolis untuk sumber daya jenis: server |
| Properti | Properti sumber daya. | ServerBlobAuditingPolicyProperties |
ServerBlobAuditingPolicyProperties
| Nama | Deskripsi | Nilai |
|---|---|---|
| auditActionsAndGroups | Menentukan Actions-Groups dan Tindakan yang akan diaudit. Kumpulan grup tindakan yang direkomendasikan untuk digunakan adalah kombinasi berikut - ini akan mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Kombinasi di atas ini juga merupakan set yang dikonfigurasi secara default saat mengaktifkan audit dari portal Microsoft Azure. Grup tindakan yang didukung untuk diaudit adalah (catatan: pilih hanya grup tertentu yang mencakup kebutuhan audit Anda. Menggunakan grup yang tidak perlu dapat menyebabkan jumlah catatan audit yang sangat besar): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Ini adalah grup yang mencakup semua pernyataan sql dan prosedur tersimpan yang dijalankan terhadap database, dan tidak boleh digunakan dalam kombinasi dengan grup lain karena ini akan menghasilkan log audit duplikat. Untuk informasi selengkapnya, lihat Database-Level Grup Tindakan Audit. Untuk kebijakan audit Database, Tindakan tertentu juga dapat ditentukan (perhatikan bahwa Tindakan tidak dapat ditentukan untuk Kebijakan audit server). Tindakan yang didukung untuk diaudit adalah: PILIH PEMUTAKHIRAN MEMASUKKAN MENGHAPUS MENJALANKAN TERIMA REFERENSI Bentuk umum untuk menentukan tindakan yang akan diaudit adalah: {action} ON {object} BY {principal} Perhatikan bahwa {object} dalam format di atas dapat merujuk ke objek seperti tabel, tampilan, atau prosedur tersimpan, atau seluruh database atau skema. Untuk kasus terakhir, formulir DATABASE::{db_name} dan SKEMA::{schema_name} masing-masing digunakan. Misalnya: SELECT di dbo.myTable menurut publik SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Untuk informasi selengkapnya, lihat Database-Level Tindakan Audit |
string[] |
| isAzureMonitorTargetEnabled | Menentukan apakah peristiwa audit dikirim ke Azure Monitor. Untuk mengirim peristiwa ke Azure Monitor, tentukan 'State' sebagai 'Enabled' dan 'IsAzureMonitorTargetEnabled' sebagai true. Saat menggunakan REST API untuk mengonfigurasi audit, Pengaturan Diagnostik dengan kategori log diagnostik 'SQLSecurityAuditEvents' pada database juga harus dibuat. Perhatikan bahwa untuk audit tingkat server, Anda harus menggunakan database 'master' sebagai {databaseName}. Format URI Pengaturan Diagnostik: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewUntuk informasi selengkapnya, lihat Pengaturan Diagnostik REST API atau Pengaturan Diagnostik PowerShell |
bool |
| isDevopsAuditEnabled | Menentukan status audit devops. Jika status Diaktifkan, log devops akan dikirim ke Azure Monitor. Untuk mengirim peristiwa ke Azure Monitor, tentukan 'State' sebagai 'Enabled', 'IsAzureMonitorTargetEnabled' sebagai true dan 'IsDevopsAuditEnabled' sebagai true Saat menggunakan REST API untuk mengonfigurasi audit, Pengaturan Diagnostik dengan kategori log diagnostik 'DevOpsOperationsAudit' pada database master juga harus dibuat. Format URI Pengaturan Diagnostik: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewUntuk informasi selengkapnya, lihat Pengaturan Diagnostik REST API atau Pengaturan Diagnostik PowerShell |
bool |
| isManagedIdentityInUse | Menentukan apakah Identitas Terkelola digunakan untuk mengakses penyimpanan blob | bool |
| isStorageSecondaryKeyInUse | Menentukan apakah nilai storageAccountAccessKey adalah kunci sekunder penyimpanan. | bool |
| queueDelayMs | Menentukan jumlah waktu dalam milidetik yang dapat berlalu sebelum tindakan audit dipaksa untuk diproses. Nilai minimum default adalah 1000 (1 detik). Maksimum adalah 2.147.483.647. |
Int |
| retentionDays | Menentukan jumlah hari untuk disimpan dalam log audit di akun penyimpanan. | Int |
| negara | Menentukan status audit. Jika status Diaktifkan, storageEndpoint atau isAzureMonitorTargetEnabled diperlukan. | 'Dinonaktifkan' 'Diaktifkan' (diperlukan) |
| storageAccountAccessKey | Menentukan kunci pengidentifikasi akun penyimpanan audit. Jika status Diaktifkan dan storageEndpoint ditentukan, tidak menentukan storageAccountAccessKey akan menggunakan identitas terkelola yang ditetapkan sistem server SQL untuk mengakses penyimpanan. Prasyarat untuk menggunakan autentikasi identitas terkelola: 1. Tetapkan SQL Server identitas terkelola yang ditetapkan sistem di Azure Active Directory (AAD). 2. Berikan akses identitas SQL Server ke akun penyimpanan dengan menambahkan peran RBAC 'Kontributor Data Blob Penyimpanan' ke identitas server. Untuk informasi selengkapnya, lihat audit ke penyimpanan menggunakan autentikasi Identitas Terkelola |
tali Kendala: Nilai sensitif. Teruskan sebagai parameter aman. |
| storageAccountSubscriptionId | Menentukan Id langganan penyimpanan blob. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Menentukan titik akhir penyimpanan blob (misalnya https://MyAccount.blob.core.windows.net). Jika status Diaktifkan, storageEndpoint atau isAzureMonitorTargetEnabled diperlukan. |
tali |
Templat mulai cepat
Templat mulai cepat berikut menyebarkan jenis sumber daya ini.
| Templat | Deskripsi |
|---|---|
Azure SQL Server dengan Audit yang ditulis ke penyimpanan blob
|
Templat ini memungkinkan Anda untuk menyebarkan server Azure SQL dengan Audit diaktifkan untuk menulis log audit ke penyimpanan blob |
|
Azure SQL Server dengan Audit ditulis ke Azure Event Hub
|
Templat ini memungkinkan Anda untuk menyebarkan server Azure SQL dengan Audit diaktifkan untuk menulis log audit ke Event Hub |
|
Azure SQL Server dengan Audit yang ditulis ke Log Analytics
|
Templat ini memungkinkan Anda untuk menyebarkan server Azure SQL dengan Audit diaktifkan untuk menulis log audit ke Analitik Log (ruang kerja OMS) |
| kumpulan SQL Khusus dengan Enkripsi Transparan
|
Membuat SQL Server dan kumpulan SQL Khusus (sebelumnya SQL DW) dengan Enkripsi Data Transparan. |
Definisi sumber daya templat ARM
Jenis sumber daya server/auditingSettings dapat disebarkan dengan operasi yang menargetkan:
- Grup sumber daya
- Lihat perintah penyebaran grup sumber daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.Sql/servers/auditingSettings, tambahkan JSON berikut ke templat Anda.
{
"type": "Microsoft.Sql/servers/auditingSettings",
"apiVersion": "2021-11-01-preview",
"name": "default",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isDevopsAuditEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Nilai properti
servers/auditingSettings
| Nama | Deskripsi | Nilai |
|---|---|---|
| jenis | Jenis sumber daya | 'Microsoft.Sql/servers/auditingSettings' |
| apiVersion | Versi api sumber daya | '2021-11-01-preview' |
| Nama | Nama sumber daya Lihat cara mengatur nama dan jenis untuk sumber daya anak di templat JSON ARM. |
'default' |
| Properti | Properti sumber daya. | ServerBlobAuditingPolicyProperties |
ServerBlobAuditingPolicyProperties
| Nama | Deskripsi | Nilai |
|---|---|---|
| auditActionsAndGroups | Menentukan Actions-Groups dan Tindakan yang akan diaudit. Kumpulan grup tindakan yang direkomendasikan untuk digunakan adalah kombinasi berikut - ini akan mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Kombinasi di atas ini juga merupakan set yang dikonfigurasi secara default saat mengaktifkan audit dari portal Microsoft Azure. Grup tindakan yang didukung untuk diaudit adalah (catatan: pilih hanya grup tertentu yang mencakup kebutuhan audit Anda. Menggunakan grup yang tidak perlu dapat menyebabkan jumlah catatan audit yang sangat besar): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Ini adalah grup yang mencakup semua pernyataan sql dan prosedur tersimpan yang dijalankan terhadap database, dan tidak boleh digunakan dalam kombinasi dengan grup lain karena ini akan menghasilkan log audit duplikat. Untuk informasi selengkapnya, lihat Database-Level Grup Tindakan Audit. Untuk kebijakan audit Database, Tindakan tertentu juga dapat ditentukan (perhatikan bahwa Tindakan tidak dapat ditentukan untuk Kebijakan audit server). Tindakan yang didukung untuk diaudit adalah: PILIH PEMUTAKHIRAN MEMASUKKAN MENGHAPUS MENJALANKAN TERIMA REFERENSI Bentuk umum untuk menentukan tindakan yang akan diaudit adalah: {action} ON {object} BY {principal} Perhatikan bahwa {object} dalam format di atas dapat merujuk ke objek seperti tabel, tampilan, atau prosedur tersimpan, atau seluruh database atau skema. Untuk kasus terakhir, formulir DATABASE::{db_name} dan SKEMA::{schema_name} masing-masing digunakan. Misalnya: SELECT di dbo.myTable menurut publik SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Untuk informasi selengkapnya, lihat Database-Level Tindakan Audit |
string[] |
| isAzureMonitorTargetEnabled | Menentukan apakah peristiwa audit dikirim ke Azure Monitor. Untuk mengirim peristiwa ke Azure Monitor, tentukan 'State' sebagai 'Enabled' dan 'IsAzureMonitorTargetEnabled' sebagai true. Saat menggunakan REST API untuk mengonfigurasi audit, Pengaturan Diagnostik dengan kategori log diagnostik 'SQLSecurityAuditEvents' pada database juga harus dibuat. Perhatikan bahwa untuk audit tingkat server, Anda harus menggunakan database 'master' sebagai {databaseName}. Format URI Pengaturan Diagnostik: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewUntuk informasi selengkapnya, lihat Pengaturan Diagnostik REST API atau Pengaturan Diagnostik PowerShell |
bool |
| isDevopsAuditEnabled | Menentukan status audit devops. Jika status Diaktifkan, log devops akan dikirim ke Azure Monitor. Untuk mengirim peristiwa ke Azure Monitor, tentukan 'State' sebagai 'Enabled', 'IsAzureMonitorTargetEnabled' sebagai true dan 'IsDevopsAuditEnabled' sebagai true Saat menggunakan REST API untuk mengonfigurasi audit, Pengaturan Diagnostik dengan kategori log diagnostik 'DevOpsOperationsAudit' pada database master juga harus dibuat. Format URI Pengaturan Diagnostik: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewUntuk informasi selengkapnya, lihat Pengaturan Diagnostik REST API atau Pengaturan Diagnostik PowerShell |
bool |
| isManagedIdentityInUse | Menentukan apakah Identitas Terkelola digunakan untuk mengakses penyimpanan blob | bool |
| isStorageSecondaryKeyInUse | Menentukan apakah nilai storageAccountAccessKey adalah kunci sekunder penyimpanan. | bool |
| queueDelayMs | Menentukan jumlah waktu dalam milidetik yang dapat berlalu sebelum tindakan audit dipaksa untuk diproses. Nilai minimum default adalah 1000 (1 detik). Maksimum adalah 2.147.483.647. |
Int |
| retentionDays | Menentukan jumlah hari untuk disimpan dalam log audit di akun penyimpanan. | Int |
| negara | Menentukan status audit. Jika status Diaktifkan, storageEndpoint atau isAzureMonitorTargetEnabled diperlukan. | 'Dinonaktifkan' 'Diaktifkan' (diperlukan) |
| storageAccountAccessKey | Menentukan kunci pengidentifikasi akun penyimpanan audit. Jika status Diaktifkan dan storageEndpoint ditentukan, tidak menentukan storageAccountAccessKey akan menggunakan identitas terkelola yang ditetapkan sistem server SQL untuk mengakses penyimpanan. Prasyarat untuk menggunakan autentikasi identitas terkelola: 1. Tetapkan SQL Server identitas terkelola yang ditetapkan sistem di Azure Active Directory (AAD). 2. Berikan akses identitas SQL Server ke akun penyimpanan dengan menambahkan peran RBAC 'Kontributor Data Blob Penyimpanan' ke identitas server. Untuk informasi selengkapnya, lihat audit ke penyimpanan menggunakan autentikasi Identitas Terkelola |
tali Kendala: Nilai sensitif. Teruskan sebagai parameter aman. |
| storageAccountSubscriptionId | Menentukan Id langganan penyimpanan blob. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Menentukan titik akhir penyimpanan blob (misalnya https://MyAccount.blob.core.windows.net). Jika status Diaktifkan, storageEndpoint atau isAzureMonitorTargetEnabled diperlukan. |
tali |
Templat mulai cepat
Templat mulai cepat berikut menyebarkan jenis sumber daya ini.
| Templat | Deskripsi |
|---|---|
|
Azure SQL Server dengan Audit yang ditulis ke penyimpanan blob
|
Templat ini memungkinkan Anda untuk menyebarkan server Azure SQL dengan Audit diaktifkan untuk menulis log audit ke penyimpanan blob |
|
Azure SQL Server dengan Audit ditulis ke Azure Event Hub
|
Templat ini memungkinkan Anda untuk menyebarkan server Azure SQL dengan Audit diaktifkan untuk menulis log audit ke Event Hub |
|
Azure SQL Server dengan Audit yang ditulis ke Log Analytics
|
Templat ini memungkinkan Anda untuk menyebarkan server Azure SQL dengan Audit diaktifkan untuk menulis log audit ke Analitik Log (ruang kerja OMS) |
| kumpulan SQL Khusus dengan Enkripsi Transparan
|
Membuat SQL Server dan kumpulan SQL Khusus (sebelumnya SQL DW) dengan Enkripsi Data Transparan. |
Definisi sumber daya Terraform (penyedia AzAPI)
Jenis sumber daya server/auditingSettings dapat disebarkan dengan operasi yang menargetkan:
- grup Sumber Daya
Untuk daftar properti yang diubah di setiap versi API, lihat mengubah log.
Format sumber daya
Untuk membuat sumber daya Microsoft.Sql/servers/auditingSettings, tambahkan Terraform berikut ke templat Anda.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/auditingSettings@2021-11-01-preview"
name = "default"
parent_id = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isDevopsAuditEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Nilai properti
servers/auditingSettings
| Nama | Deskripsi | Nilai |
|---|---|---|
| jenis | Jenis sumber daya | "Microsoft.Sql/servers/auditingSettings@2021-11-01-preview" |
| Nama | Nama sumber daya | "default" |
| parent_id | ID sumber daya yang merupakan induk untuk sumber daya ini. | ID untuk sumber daya jenis: server |
| Properti | Properti sumber daya. | ServerBlobAuditingPolicyProperties |
ServerBlobAuditingPolicyProperties
| Nama | Deskripsi | Nilai |
|---|---|---|
| auditActionsAndGroups | Menentukan Actions-Groups dan Tindakan yang akan diaudit. Kumpulan grup tindakan yang direkomendasikan untuk digunakan adalah kombinasi berikut - ini akan mengaudit semua kueri dan prosedur tersimpan yang dijalankan terhadap database, serta masuk yang berhasil dan gagal: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Kombinasi di atas ini juga merupakan set yang dikonfigurasi secara default saat mengaktifkan audit dari portal Microsoft Azure. Grup tindakan yang didukung untuk diaudit adalah (catatan: pilih hanya grup tertentu yang mencakup kebutuhan audit Anda. Menggunakan grup yang tidak perlu dapat menyebabkan jumlah catatan audit yang sangat besar): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Ini adalah grup yang mencakup semua pernyataan sql dan prosedur tersimpan yang dijalankan terhadap database, dan tidak boleh digunakan dalam kombinasi dengan grup lain karena ini akan menghasilkan log audit duplikat. Untuk informasi selengkapnya, lihat Database-Level Grup Tindakan Audit. Untuk kebijakan audit Database, Tindakan tertentu juga dapat ditentukan (perhatikan bahwa Tindakan tidak dapat ditentukan untuk Kebijakan audit server). Tindakan yang didukung untuk diaudit adalah: PILIH PEMUTAKHIRAN MEMASUKKAN MENGHAPUS MENJALANKAN TERIMA REFERENSI Bentuk umum untuk menentukan tindakan yang akan diaudit adalah: {action} ON {object} BY {principal} Perhatikan bahwa {object} dalam format di atas dapat merujuk ke objek seperti tabel, tampilan, atau prosedur tersimpan, atau seluruh database atau skema. Untuk kasus terakhir, formulir DATABASE::{db_name} dan SKEMA::{schema_name} masing-masing digunakan. Misalnya: SELECT di dbo.myTable menurut publik SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Untuk informasi selengkapnya, lihat Database-Level Tindakan Audit |
string[] |
| isAzureMonitorTargetEnabled | Menentukan apakah peristiwa audit dikirim ke Azure Monitor. Untuk mengirim peristiwa ke Azure Monitor, tentukan 'State' sebagai 'Enabled' dan 'IsAzureMonitorTargetEnabled' sebagai true. Saat menggunakan REST API untuk mengonfigurasi audit, Pengaturan Diagnostik dengan kategori log diagnostik 'SQLSecurityAuditEvents' pada database juga harus dibuat. Perhatikan bahwa untuk audit tingkat server, Anda harus menggunakan database 'master' sebagai {databaseName}. Format URI Pengaturan Diagnostik: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewUntuk informasi selengkapnya, lihat Pengaturan Diagnostik REST API atau Pengaturan Diagnostik PowerShell |
bool |
| isDevopsAuditEnabled | Menentukan status audit devops. Jika status Diaktifkan, log devops akan dikirim ke Azure Monitor. Untuk mengirim peristiwa ke Azure Monitor, tentukan 'State' sebagai 'Enabled', 'IsAzureMonitorTargetEnabled' sebagai true dan 'IsDevopsAuditEnabled' sebagai true Saat menggunakan REST API untuk mengonfigurasi audit, Pengaturan Diagnostik dengan kategori log diagnostik 'DevOpsOperationsAudit' pada database master juga harus dibuat. Format URI Pengaturan Diagnostik: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewUntuk informasi selengkapnya, lihat Pengaturan Diagnostik REST API atau Pengaturan Diagnostik PowerShell |
bool |
| isManagedIdentityInUse | Menentukan apakah Identitas Terkelola digunakan untuk mengakses penyimpanan blob | bool |
| isStorageSecondaryKeyInUse | Menentukan apakah nilai storageAccountAccessKey adalah kunci sekunder penyimpanan. | bool |
| queueDelayMs | Menentukan jumlah waktu dalam milidetik yang dapat berlalu sebelum tindakan audit dipaksa untuk diproses. Nilai minimum default adalah 1000 (1 detik). Maksimum adalah 2.147.483.647. |
Int |
| retentionDays | Menentukan jumlah hari untuk disimpan dalam log audit di akun penyimpanan. | Int |
| negara | Menentukan status audit. Jika status Diaktifkan, storageEndpoint atau isAzureMonitorTargetEnabled diperlukan. | "Dinonaktifkan" "Diaktifkan" (diperlukan) |
| storageAccountAccessKey | Menentukan kunci pengidentifikasi akun penyimpanan audit. Jika status Diaktifkan dan storageEndpoint ditentukan, tidak menentukan storageAccountAccessKey akan menggunakan identitas terkelola yang ditetapkan sistem server SQL untuk mengakses penyimpanan. Prasyarat untuk menggunakan autentikasi identitas terkelola: 1. Tetapkan SQL Server identitas terkelola yang ditetapkan sistem di Azure Active Directory (AAD). 2. Berikan akses identitas SQL Server ke akun penyimpanan dengan menambahkan peran RBAC 'Kontributor Data Blob Penyimpanan' ke identitas server. Untuk informasi selengkapnya, lihat audit ke penyimpanan menggunakan autentikasi Identitas Terkelola |
tali Kendala: Nilai sensitif. Teruskan sebagai parameter aman. |
| storageAccountSubscriptionId | Menentukan Id langganan penyimpanan blob. | tali Kendala: Panjang min = 36 Panjang maksimum = 36 Pola = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Menentukan titik akhir penyimpanan blob (misalnya https://MyAccount.blob.core.windows.net). Jika status Diaktifkan, storageEndpoint atau isAzureMonitorTargetEnabled diperlukan. |
tali |