Extended Sql Pool Blob Auditing Policies - List By Sql Pool

Sql プールの拡張監査設定を一覧表示します。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Synapse/workspaces/{workspaceName}/sqlPools/{sqlPoolName}/extendedAuditingSettings?api-version=2021-06-01

URI パラメーター

Name In Required Type Description
resourceGroupName
path True
  • string

リソース グループの名前。 名前の大文字と小文字は区別されます。

sqlPoolName
path True
  • string

SQL プール名

subscriptionId
path True
  • string

ターゲット サブスクリプションの ID。

workspaceName
path True
  • string

ワークスペースの名前。

api-version
query True
  • string

この操作に使用する API バージョン。

応答

Name Type Description
200 OK

データベース拡張監査設定を正常に取得しました。

Other Status Codes

エラー応答: ***

  • 400 BlobAuditingIsNotSupportedOnResourceType - このリソースの種類では、BLOB 監査は現在サポートされていません。

  • 404 SourceDatabaseNotFound - ソース データベースが存在しません。

  • 404 DatabaseDoesNotExist - ユーザーがこのサーバー インスタンスに存在しないデータベース名を指定しました。

  • 500 DatabaseIsUnavailable - 読み込みに失敗しました。 後で再度お試しください。

List extended auditing settings of a database

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Synapse/workspaces/blobauditingtest-2080/sqlPools/testdb/extendedAuditingSettings?api-version=2021-06-01

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Synapse/workspaces/blobauditingtest-2080/sqlPools/testdb/extendedAuditingSettings/default",
      "name": "default",
      "type": "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings",
      "properties": {
        "state": "Disabled",
        "storageEndpoint": "",
        "retentionDays": 0,
        "auditActionsAndGroups": [],
        "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
        "isStorageSecondaryKeyInUse": false,
        "predicateExpression": "statement = 'select 1'",
        "isAzureMonitorTargetEnabled": false
      }
    }
  ]
}

定義

BlobAuditingPolicyState

ポリシーの状態を指定します。 状態が有効の場合は、storageEndpoint または isAzureMonitorTargetEnabled が必要です。

ExtendedSqlPoolBlobAuditingPolicy

拡張 Sql プール BLOB 監査ポリシー。

ExtendedSqlPoolBlobAuditingPolicyListResult

SQL プールの拡張監査設定の一覧。

BlobAuditingPolicyState

ポリシーの状態を指定します。 状態が有効の場合は、storageEndpoint または isAzureMonitorTargetEnabled が必要です。

Name Type Description
Disabled
  • string
Enabled
  • string

ExtendedSqlPoolBlobAuditingPolicy

拡張 Sql プール BLOB 監査ポリシー。

Name Type Description
id
  • string

リソースの完全修飾リソース ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name
  • string

リソースの名前

properties.auditActionsAndGroups
  • string[]

監査するActions-Groupsとアクションを指定します。

使用する推奨されるアクション グループのセットは、次の組み合わせです。これにより、データベースに対して実行されたすべてのクエリとストアド プロシージャ、および成功したログインと失敗したログインが監査されます。

BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。

上記の組み合わせは、Azure portalからの監査を有効にするときに既定で構成されるセットでもあります。

監査でサポートされるアクション グループは次のとおりです (注: 監査のニーズに対応する特定のグループのみを選択してください)。不要なグループを使用すると、非常に大量の監査レコードが発生する可能性があります。

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

これらは、データベースに対して実行されるすべての SQL ステートメントとストアド プロシージャを対象とするグループであり、監査ログが重複するため、他のグループと組み合わせて使用しないでください。

詳細については、「 データベース レベルの監査アクション グループ」を参照してください。

データベース監査ポリシーの場合は、特定のアクションを指定することもできます (サーバー監査ポリシーにはアクションを指定できないことに注意してください)。 監査でサポートされているアクションは、SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

監査対象のアクションを定義するための一般的な形式は、{action} ON {object} BY {principal} です。

上記の形式では、テーブル、ビュー、ストアド プロシージャなどのオブジェクト、またはデータベースまたはスキーマ全体を参照できることに注意してください。 後者の場合は、それぞれ DATABASE::{db_name} と SCHEMA::{schema_name} という形式が使用されます。

例: DBo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

詳細については、「データベース レベルの監査アクション」を参照してください。

properties.isAzureMonitorTargetEnabled
  • boolean

監査イベントを Azure Monitor に送信するかどうかを指定します。 Azure Monitor にイベントを送信するには、'state' を 'Enabled' に、'isAzureMonitorTargetEnabled' を true に指定します。

REST API を使用して監査を構成する場合は、データベースに "SQLSecurityAuditEvents" 診断ログ カテゴリを含む診断設定も作成する必要があります。 サーバー レベルの監査では、'master' データベースを {databaseName} として使用する必要があることに注意してください。

診断設定 URI 形式: PUThttps://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

詳細については、「診断設定 REST API または診断設定 PowerShell」を参照してください。

properties.isStorageSecondaryKeyInUse
  • boolean

storageAccountAccessKey 値がストレージのセカンダリ キーであるかどうかを指定します。

properties.predicateExpression
  • string

監査の作成時に where 句の条件を指定します。

properties.queueDelayMs
  • integer

監査アクションの処理が強制されるまでの時間 (ミリ秒単位) を指定します。 既定の最小値は 1000 (1 秒) です。 最大値は 2,147,483,647 です。

properties.retentionDays
  • integer

ストレージ アカウントの監査ログに保持する日数を指定します。

properties.state

ポリシーの状態を指定します。 状態が有効の場合は、storageEndpoint または isAzureMonitorTargetEnabled が必要です。

properties.storageAccountAccessKey
  • string

監査ストレージ アカウントの識別子キーを指定します。 状態が有効で storageEndpoint が指定されている場合、storageAccountAccessKey を指定しないと、SQLサーバーシステム割り当てマネージド ID を使用してストレージにアクセスします。 マネージド ID 認証を使用するための前提条件:

  1. Azure Active Directory (AAD) でシステム割り当てマネージド ID SQL Server割り当てます。
  2. Storage SQL Server BLOB データ共同作成者の RBAC ロールをサーバー ID に追加して、ストレージ アカウントへの ID アクセス権を付与します。 詳細については、「マネージド ID 認証を使用したストレージへの監査」を参照してください。
properties.storageAccountSubscriptionId
  • string

BLOB ストレージ サブスクリプション ID を指定します。

properties.storageEndpoint
  • string

BLOB ストレージ エンドポイント (例: ) を指定します。 https://MyAccount.blob.core.windows.net 状態が有効な場合は、storageEndpoint または isAzureMonitorTargetEnabled が必要です。

type
  • string

リソースの型。 たとえば、"Microsoft.Compute/virtualMachines" や "Microsoft" などです。Storage/storageAccounts"

ExtendedSqlPoolBlobAuditingPolicyListResult

SQL プールの拡張監査設定の一覧。

Name Type Description
nextLink
  • string

結果の次のページを取得するためのリンク。

value

結果の配列。