DatabaseBlobAuditingPolicyProperties interface

Proprietà di una politica di audit di blob di database.

Proprietà

auditActionsAndGroups

Specifica il Actions-Groups e le azioni da controllare.

Il set consigliato di gruppi di azioni da usare è la combinazione seguente: in questo modo verranno controllate tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Questa combinazione sopra è anche l'insieme configurato di default quando si abilita l'audit dal portale Azure.

I gruppi di azioni supportati da controllare sono (nota: scegliere solo gruppi specifici che coprono le esigenze di controllo. L'uso di gruppi non necessari potrebbe causare grandi quantità di record di controllo:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Si tratta di gruppi che coprono tutte le istruzioni SQL e le stored procedure eseguite sul database e non devono essere usati in combinazione con altri gruppi, in quanto ciò comporterà la duplicazione dei log di controllo.

Per altre informazioni, vedere Database-Level Controlla gruppi di azioni.

Per i criteri di controllo del database, è anche possibile specificare azioni specifiche. Si noti che non è possibile specificare azioni per i criteri di controllo del server. Le azioni supportate da revisionare sono: SELEZIONA AGGIORNA INSERISCI ELIMINA ESEGUI RICEVI RIFERIMENTI

La forma generale per definire un'azione da auditare è: {azione} SU {oggetto} BY {principale}

Si noti che <oggetto> nel formato precedente può fare riferimento a un oggetto come una tabella, una vista o una stored procedure oppure un intero database o uno schema. Per questi ultimi casi, vengono usati rispettivamente i moduli DATABASE::{db_name} e SCHEMA::{schema_name} .

Ad esempio: SELECT su dbo.myTable da public SELECT su DATABASE::myDatabase da public SELECT su SCHEMA::mySchema da public

Per altre informazioni, vedere Database-Level Azioni di controllo

isAzureMonitorTargetEnabled

Specifica se gli eventi di audit vengono inviati ad Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specifica 'State' come 'Enabled' e 'IsAzureMonitorTargetEnabled' come veri.

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "SQLSecurityAuditEvents" nel database. Si noti che per il controllo a livello di server è consigliabile usare il database 'master' come {databaseName}.

Impostazioni diagnostiche formato URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per maggiori informazioni, consulta Impostazioni diagnostiche API REST o Impostazioni diagnostiche PowerShell

isManagedIdentityInUse

Specifica se l'identità gestita viene usata per accedere all'archiviazione BLOB

isStorageSecondaryKeyInUse

Specifica se il valore storageAccountAccessKey è la chiave secondaria dell'archiviazione.

queueDelayMs

Indica la quantità di tempo in millisecondi che può trascorrere prima che venga forzata l'elaborazione delle azioni di controllo. Il valore minimo predefinito è 1000 (1 secondo). Il valore massimo è 2.147.483.647.

retentionDays

Specifica il numero di giorni da mantenere nei log di controllo nell'account di archiviazione.

state

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.

storageAccountAccessKey

Specifica la chiave di identificatore dell'account di archiviazione di controllo. Se lo stato è Abilitato e viene specificato storageEndpoint, non specificando storageAccountAccessKey verrà usata l'identità gestita assegnata dal sistema di SQL Server per accedere all'archiviazione. Prerequisiti per l'uso dell'autenticazione dell'identità gestita:

  1. Assegna a SQL Server un'identità gestita assegnata dal sistema in Azure Active Directory (AAD).
  2. Concedere l'identità di SQL Server accesso all'account di archiviazione aggiungendo il ruolo RBAC 'Storage Blob Data Contributor' all'identità del server. Per altre informazioni, vedere Auditing to storage using Managed Identity Authentication
storageAccountSubscriptionId

Specifica l'ID sottoscrizione dell'archiviazione BLOB.

storageEndpoint

Specifica l'endpoint di archiviazione BLOB , ad esempio https://MyAccount.blob.core.windows.net. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

Dettagli proprietà

auditActionsAndGroups

Specifica il Actions-Groups e le azioni da controllare.

Il set consigliato di gruppi di azioni da usare è la combinazione seguente: in questo modo verranno controllate tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Questa combinazione sopra è anche l'insieme configurato di default quando si abilita l'audit dal portale Azure.

I gruppi di azioni supportati da controllare sono (nota: scegliere solo gruppi specifici che coprono le esigenze di controllo. L'uso di gruppi non necessari potrebbe causare grandi quantità di record di controllo:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Si tratta di gruppi che coprono tutte le istruzioni SQL e le stored procedure eseguite sul database e non devono essere usati in combinazione con altri gruppi, in quanto ciò comporterà la duplicazione dei log di controllo.

Per altre informazioni, vedere Database-Level Controlla gruppi di azioni.

Per i criteri di controllo del database, è anche possibile specificare azioni specifiche. Si noti che non è possibile specificare azioni per i criteri di controllo del server. Le azioni supportate da revisionare sono: SELEZIONA AGGIORNA INSERISCI ELIMINA ESEGUI RICEVI RIFERIMENTI

La forma generale per definire un'azione da auditare è: {azione} SU {oggetto} BY {principale}

Si noti che <oggetto> nel formato precedente può fare riferimento a un oggetto come una tabella, una vista o una stored procedure oppure un intero database o uno schema. Per questi ultimi casi, vengono usati rispettivamente i moduli DATABASE::{db_name} e SCHEMA::{schema_name} .

Ad esempio: SELECT su dbo.myTable da public SELECT su DATABASE::myDatabase da public SELECT su SCHEMA::mySchema da public

Per altre informazioni, vedere Database-Level Azioni di controllo

auditActionsAndGroups?: string[]

Valore della proprietà

string[]

isAzureMonitorTargetEnabled

Specifica se gli eventi di audit vengono inviati ad Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specifica 'State' come 'Enabled' e 'IsAzureMonitorTargetEnabled' come veri.

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "SQLSecurityAuditEvents" nel database. Si noti che per il controllo a livello di server è consigliabile usare il database 'master' come {databaseName}.

Impostazioni diagnostiche formato URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per maggiori informazioni, consulta Impostazioni diagnostiche API REST o Impostazioni diagnostiche PowerShell

isAzureMonitorTargetEnabled?: boolean

Valore della proprietà

boolean

isManagedIdentityInUse

Specifica se l'identità gestita viene usata per accedere all'archiviazione BLOB

isManagedIdentityInUse?: boolean

Valore della proprietà

boolean

isStorageSecondaryKeyInUse

Specifica se il valore storageAccountAccessKey è la chiave secondaria dell'archiviazione.

isStorageSecondaryKeyInUse?: boolean

Valore della proprietà

boolean

queueDelayMs

Indica la quantità di tempo in millisecondi che può trascorrere prima che venga forzata l'elaborazione delle azioni di controllo. Il valore minimo predefinito è 1000 (1 secondo). Il valore massimo è 2.147.483.647.

queueDelayMs?: number

Valore della proprietà

number

retentionDays

Specifica il numero di giorni da mantenere nei log di controllo nell'account di archiviazione.

retentionDays?: number

Valore della proprietà

number

state

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.

state: BlobAuditingPolicyState

Valore della proprietà

storageAccountAccessKey

Specifica la chiave di identificatore dell'account di archiviazione di controllo. Se lo stato è Abilitato e viene specificato storageEndpoint, non specificando storageAccountAccessKey verrà usata l'identità gestita assegnata dal sistema di SQL Server per accedere all'archiviazione. Prerequisiti per l'uso dell'autenticazione dell'identità gestita:

  1. Assegna a SQL Server un'identità gestita assegnata dal sistema in Azure Active Directory (AAD).
  2. Concedere l'identità di SQL Server accesso all'account di archiviazione aggiungendo il ruolo RBAC 'Storage Blob Data Contributor' all'identità del server. Per altre informazioni, vedere Auditing to storage using Managed Identity Authentication
storageAccountAccessKey?: string

Valore della proprietà

string

storageAccountSubscriptionId

Specifica l'ID sottoscrizione dell'archiviazione BLOB.

storageAccountSubscriptionId?: string

Valore della proprietà

string

storageEndpoint

Specifica l'endpoint di archiviazione BLOB , ad esempio https://MyAccount.blob.core.windows.net. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

storageEndpoint?: string

Valore della proprietà

string