Extended Database Blob Auditing Policies - Get

Servizio:

SQL Database

Versione API:

2023-08-01

Ottiene i criteri di controllo BLOB di un database esteso.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/extendedAuditingSettings/default?api-version=2023-08-01

Parametri dell'URI

Nome	In	Necessario	Tipo	Descrizione
blobAuditingPolicyName	path	True	blobAuditingPolicyName	Nome dei criteri di controllo BLOB.
databaseName	path	True	string	Nome del database.
resourceGroupName	path	True	string	Nome del gruppo di risorse che contiene la risorsa. È possibile ottenere questo valore dall'API di Azure Resource Manager o dal portale.
serverName	path	True	string	Nome del server.
subscriptionId	path	True	string	ID sottoscrizione che identifica una sottoscrizione di Azure.
api-version	query	True	string	Versione dell'API da usare per la richiesta.

Risposte

Nome	Tipo	Descrizione
200 OK	ExtendedDatabaseBlobAuditingPolicy	È stato recuperato correttamente il criterio di controllo BLOB del database esteso.
Other Status Codes	ErrorResponse	Risposte di errore: 400 BlobAuditingIsNotSupportedOnResourceType - Il controllo BLOB non è attualmente supportato per questo tipo di risorsa. 404 DatabaseDoesNotExist: l'utente ha specificato un nome di database che non esiste in questa istanza del server. 404 SourceDatabaseNotFound - Il database di origine non esiste. 500 DatabaseIsUnavailable - Caricamento non riuscito. Riprovare più tardi.

Esempio

Get an extended database's blob auditing policy

Esempio di richiesta

HTTP

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb/extendedAuditingSettings/default?api-version=2023-08-01

dotnet

using Azure;
using Azure.ResourceManager;
using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager.Sql.Models;
using Azure.ResourceManager.Sql;

// Generated from example definition: specification/sql/resource-manager/Microsoft.Sql/stable/2023-08-01/examples/ExtendedDatabaseBlobAuditingGet.json
// this example is just showing the usage of "ExtendedDatabaseBlobAuditingPolicies_Get" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ExtendedDatabaseBlobAuditingPolicyResource created on azure
// for more information of creating ExtendedDatabaseBlobAuditingPolicyResource, please refer to the document of ExtendedDatabaseBlobAuditingPolicyResource
string subscriptionId = "00000000-1111-2222-3333-444444444444";
string resourceGroupName = "blobauditingtest-6852";
string serverName = "blobauditingtest-2080";
string databaseName = "testdb";
BlobAuditingPolicyName blobAuditingPolicyName = BlobAuditingPolicyName.Default;
ResourceIdentifier extendedDatabaseBlobAuditingPolicyResourceId = ExtendedDatabaseBlobAuditingPolicyResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, serverName, databaseName, blobAuditingPolicyName);
ExtendedDatabaseBlobAuditingPolicyResource extendedDatabaseBlobAuditingPolicy = client.GetExtendedDatabaseBlobAuditingPolicyResource(extendedDatabaseBlobAuditingPolicyResourceId);

// invoke the operation
ExtendedDatabaseBlobAuditingPolicyResource result = await extendedDatabaseBlobAuditingPolicy.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
ExtendedDatabaseBlobAuditingPolicyData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Risposta di esempio

Codice di stato:

200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb",
  "name": "default",
  "type": "Microsoft.Sql/servers/databases/extendedAuditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "predicateExpression": "statement = 'select 1'",
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false
  }
}

Definizioni

Nome	Descrizione
blobAuditingPolicyName	Nome dei criteri di controllo BLOB.
BlobAuditingPolicyState	Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.
ErrorAdditionalInfo	Informazioni aggiuntive sull'errore di gestione delle risorse.
ErrorDetail	Dettagli dell'errore.
ErrorResponse	Risposta di errore
ExtendedDatabaseBlobAuditingPolicy	Un criterio di controllo BLOB di database esteso.

blobAuditingPolicyName

Enumerazione

Nome dei criteri di controllo BLOB.

Valore	Descrizione
default

BlobAuditingPolicyState

Enumerazione

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.

Valore	Descrizione
Enabled
Disabled

ErrorAdditionalInfo

Object

Informazioni aggiuntive sull'errore di gestione delle risorse.

Nome	Tipo	Descrizione
info	object	Informazioni aggiuntive.
type	string	Tipo di informazioni aggiuntive.

ErrorDetail

Object

Dettagli dell'errore.

Nome	Tipo	Descrizione
additionalInfo	ErrorAdditionalInfo[]	Informazioni aggiuntive sull'errore.
code	string	Codice di errore.
details	ErrorDetail[]	Dettagli dell'errore.
message	string	Messaggio di errore.
target	string	Destinazione dell'errore.

ErrorResponse

Object

Risposta di errore

Nome	Tipo	Descrizione
error	ErrorDetail	Oggetto error.

ExtendedDatabaseBlobAuditingPolicy

Object

Un criterio di controllo BLOB di database esteso.

Nome	Tipo	Descrizione
id	string	ID risorsa.
name	string	Nome risorsa.
properties.auditActionsAndGroups	string[]	Specifica il Actions-Groups e le azioni da controllare. Il set consigliato di gruppi di azioni da usare è la combinazione seguente: in questo modo verranno controllate tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Questa combinazione precedente è anche il set configurato per impostazione predefinita quando si abilita il controllo dal portale di Azure. I gruppi di azioni supportati da controllare sono (nota: scegliere solo gruppi specifici che coprono le esigenze di controllo. L'uso di gruppi non necessari potrebbe causare grandi quantità di record di controllo: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Si tratta di gruppi che coprono tutte le istruzioni SQL e le stored procedure eseguite sul database e non devono essere usati in combinazione con altri gruppi, in quanto ciò comporterà la duplicazione dei log di controllo. Per altre informazioni, vedere Database-Level Controlla gruppi di azioni. Per i criteri di controllo del database, è anche possibile specificare azioni specifiche. Si noti che non è possibile specificare azioni per i criteri di controllo del server. Le azioni supportate da controllare sono: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Il modulo generale per la definizione di un'azione da controllare è: {action} ON {object} BY {principal} Si noti che <oggetto> nel formato precedente può fare riferimento a un oggetto come una tabella, una vista o una stored procedure oppure un intero database o uno schema. Per questi ultimi casi, vengono usati rispettivamente i moduli DATABASE::{db_name} e SCHEMA::{schema_name} . Ad esempio: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Per altre informazioni, vedere Database-Level Azioni di controllo
properties.isAzureMonitorTargetEnabled	boolean	Specifica se gli eventi di controllo vengono inviati a Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specificare 'State' come 'Enabled' e 'IsAzureMonitorTargetEnabled' come true. Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "SQLSecurityAuditEvents" nel database. Si noti che per il controllo a livello di server è consigliabile usare il database 'master' come {databaseName}. Formato URI impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Per altre informazioni, vedere 'API REST delle impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell
properties.isManagedIdentityInUse	boolean	Specifica se l'identità gestita viene usata per accedere all'archiviazione BLOB
properties.isStorageSecondaryKeyInUse	boolean	Specifica se il valore storageAccountAccessKey è la chiave secondaria dell'archiviazione.
properties.predicateExpression	string	Specifica la condizione della clausola where durante la creazione di un controllo.
properties.queueDelayMs	integer (int32)	Specifica la quantità di tempo in millisecondi che può trascorrere prima dell'elaborazione delle azioni di controllo. Il valore minimo predefinito è 1000 (1 secondo). Il valore massimo è 2.147.483.647.
properties.retentionDays	integer (int32)	Specifica il numero di giorni da mantenere nei log di controllo nell'account di archiviazione.
properties.state	BlobAuditingPolicyState	Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.
properties.storageAccountAccessKey	string	Specifica la chiave di identificatore dell'account di archiviazione di controllo. Se lo stato è Abilitato e viene specificato storageEndpoint, non specificando storageAccountAccessKey verrà usata l'identità gestita assegnata dal sistema di SQL Server per accedere all'archiviazione. Prerequisiti per l'uso dell'autenticazione dell'identità gestita: Assegnare a SQL Server un'identità gestita assegnata dal sistema in Azure Active Directory (AAD). Concedere all'identità di SQL Server l'accesso all'account di archiviazione aggiungendo il ruolo controllo degli accessi in base al ruolo "Collaboratore ai dati dei BLOB di archiviazione" all'identità del server. Per altre informazioni, vedere Auditing to storage using Managed Identity Authentication
properties.storageAccountSubscriptionId	string (uuid)	Specifica l'ID sottoscrizione dell'archiviazione BLOB.
properties.storageEndpoint	string	Specifica l'endpoint di archiviazione BLOB , ad esempio https://MyAccount.blob.core.windows.net. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.
type	string	Tipo di risorsa.