Microsoft.Sql-servers/auditingSettings 2022-02-01-preview
- meest recente
- 2023-05-01-preview-
- 2023-02-01-preview
- 2022-11-01-preview-
- 2022-08-01-preview
- 2022-05-01-preview-
- 2022-02-01-preview-
- 2021-11-01
- 2021-11-01-preview-
- 2021-08-01-preview-
- 2021-05-01-preview-
- 2021-02-01-preview-
- 2020-11-01-preview-
- 2020-08-01-preview-
- 2020-02-02-preview
- 2017-03-01-preview-
Bicep-resourcedefinitie
Het resourcetype servers/auditingSettings kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor de implementatie van resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Sql/servers/auditingSettings-resource wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.Sql/servers/auditingSettings@2022-02-01-preview' = {
name: 'default'
parent: resourceSymbolicName
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isDevopsAuditEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Eigenschapswaarden
servers/auditingSettings
| Naam | Beschrijving | Waarde |
|---|---|---|
| naam | De resourcenaam Zie hoe u namen en typen instelt voor onderliggende resources in Bicep-. |
'standaard' |
| ouder | In Bicep kunt u de bovenliggende resource voor een onderliggende resource opgeven. U hoeft deze eigenschap alleen toe te voegen wanneer de onderliggende resource buiten de bovenliggende resource wordt gedeclareerd. Zie onderliggende resource buiten de bovenliggende resourcevoor meer informatie. |
Symbolische naam voor resource van het type: servers |
| Eigenschappen | Resource-eigenschappen. | ServerBlobAuditingPolicyProperties- |
ServerBlobAuditingPolicyProperties
| Naam | Beschrijving | Waarde |
|---|---|---|
| auditActionsAndGroups | Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd. De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal. De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken. Zie Database-Level Actiegroepen controlerenvoor meer informatie. Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd, zijn: SELECTEREN UPDATE INVOEGEN VERWIJDEREN EXECUTEREN ONTVANGEN VERWIJZINGEN Het algemene formulier voor het definiëren van een te controleren actie is: {action} ON {object} BY {principal} Houd er rekening mee dat {object} in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt. Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Zie Database-Level Controleacties voor meer informatie |
tekenreeks[] |
| isAzureMonitorTargetEnabled | Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar. Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}. URI-indeling voor diagnostische instellingen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewZie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen voor PowerShell- |
Bool |
| isDevopsAuditEnabled | Hiermee geeft u de status van devops-audit. Als de status is ingeschakeld, worden devops-logboeken verzonden naar Azure Monitor. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'Status' op als Ingeschakeld, 'IsAzureMonitorTargetEnabled' als true en 'IsDevopsAuditEnabled' als true Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie Diagnostische logboeken devOpsOperationsAudit in de hoofddatabase ook worden gemaakt. URI-indeling voor diagnostische instellingen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewZie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen voor PowerShell- |
Bool |
| isManagedIdentityInUse | Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag | Bool |
| isStorageSecondaryKeyInUse | Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is. | Bool |
| queueDelayMs | Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647. |
Int |
| retentionDays | Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount. | Int |
| staat | Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist. | 'Uitgeschakeld' Ingeschakeld (vereist) |
| storageAccountAccessKey | Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten: 1. Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD). 2. Ververleent SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol Opslagblobgegevensbijdrager toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie |
snaar Beperkingen: Gevoelige waarde. Doorgeven als een beveiligde parameter. |
| storageAccountSubscriptionId | Hiermee geeft u de id van het blob-opslagabonnement op. | snaar Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist. |
snaar |
Quickstart-sjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
| Sjabloon | Beschrijving |
|---|---|
Azure SQL Server met controle geschreven naar een blobopslag
|
Met deze sjabloon kunt u een Azure SQL-server implementeren met Controle ingeschakeld voor het schrijven van auditlogboeken naar een blobopslag |
|
Azure SQL Server met controle geschreven naar Event Hub
|
Met deze sjabloon kunt u een Azure SQL-server implementeren waarvoor controle is ingeschakeld voor het schrijven van auditlogboeken naar Event Hub |
|
Azure SQL Server met controle geschreven naar Log Analytics-
|
Met deze sjabloon kunt u een Azure SQL-server implementeren waarvoor controlelogboeken zijn ingeschakeld voor het schrijven van auditlogboeken naar Log Analytics (OMS-werkruimte) |
|
Toegewezen SQL-pool met Transparent Encryption
|
Hiermee maakt u een SQL Server en een toegewezen SQL-pool (voorheen SQL DW) met Transparent Data Encryption. |
Resourcedefinitie van ARM-sjabloon
Het resourcetype servers/auditingSettings kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- Resourcegroepen - Zie opdrachten voor de implementatie van resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Sql/servers/auditingSettings-resource wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.Sql/servers/auditingSettings",
"apiVersion": "2022-02-01-preview",
"name": "default",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isDevopsAuditEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Eigenschapswaarden
servers/auditingSettings
| Naam | Beschrijving | Waarde |
|---|---|---|
| type | Het resourcetype | 'Microsoft.Sql/servers/auditingSettings' |
| apiVersion | De versie van de resource-API | '2022-02-01-preview' |
| naam | De resourcenaam Zie hoe u namen en typen instelt voor onderliggende resources in JSON ARM-sjablonen. |
'standaard' |
| Eigenschappen | Resource-eigenschappen. | ServerBlobAuditingPolicyProperties- |
ServerBlobAuditingPolicyProperties
| Naam | Beschrijving | Waarde |
|---|---|---|
| auditActionsAndGroups | Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd. De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal. De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken. Zie Database-Level Actiegroepen controlerenvoor meer informatie. Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd, zijn: SELECTEREN UPDATE INVOEGEN VERWIJDEREN EXECUTEREN ONTVANGEN VERWIJZINGEN Het algemene formulier voor het definiëren van een te controleren actie is: {action} ON {object} BY {principal} Houd er rekening mee dat {object} in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt. Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Zie Database-Level Controleacties voor meer informatie |
tekenreeks[] |
| isAzureMonitorTargetEnabled | Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar. Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}. URI-indeling voor diagnostische instellingen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewZie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen voor PowerShell- |
Bool |
| isDevopsAuditEnabled | Hiermee geeft u de status van devops-audit. Als de status is ingeschakeld, worden devops-logboeken verzonden naar Azure Monitor. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'Status' op als Ingeschakeld, 'IsAzureMonitorTargetEnabled' als true en 'IsDevopsAuditEnabled' als true Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie Diagnostische logboeken devOpsOperationsAudit in de hoofddatabase ook worden gemaakt. URI-indeling voor diagnostische instellingen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewZie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen voor PowerShell- |
Bool |
| isManagedIdentityInUse | Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag | Bool |
| isStorageSecondaryKeyInUse | Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is. | Bool |
| queueDelayMs | Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647. |
Int |
| retentionDays | Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount. | Int |
| staat | Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist. | 'Uitgeschakeld' Ingeschakeld (vereist) |
| storageAccountAccessKey | Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten: 1. Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD). 2. Ververleent SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol Opslagblobgegevensbijdrager toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie |
snaar Beperkingen: Gevoelige waarde. Doorgeven als een beveiligde parameter. |
| storageAccountSubscriptionId | Hiermee geeft u de id van het blob-opslagabonnement op. | snaar Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist. |
snaar |
Quickstart-sjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
| Sjabloon | Beschrijving |
|---|---|
|
Azure SQL Server met controle geschreven naar een blobopslag
|
Met deze sjabloon kunt u een Azure SQL-server implementeren met Controle ingeschakeld voor het schrijven van auditlogboeken naar een blobopslag |
|
Azure SQL Server met controle geschreven naar Event Hub
|
Met deze sjabloon kunt u een Azure SQL-server implementeren waarvoor controle is ingeschakeld voor het schrijven van auditlogboeken naar Event Hub |
|
Azure SQL Server met controle geschreven naar Log Analytics-
|
Met deze sjabloon kunt u een Azure SQL-server implementeren waarvoor controlelogboeken zijn ingeschakeld voor het schrijven van auditlogboeken naar Log Analytics (OMS-werkruimte) |
|
Toegewezen SQL-pool met Transparent Encryption
|
Hiermee maakt u een SQL Server en een toegewezen SQL-pool (voorheen SQL DW) met Transparent Data Encryption. |
Resourcedefinitie van Terraform (AzAPI-provider)
Het resourcetype servers/auditingSettings kan worden geïmplementeerd met bewerkingen die zijn gericht op:
- resourcegroepen
Zie logboek wijzigenvoor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Microsoft.Sql/servers/auditingSettings-resource wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/auditingSettings@2022-02-01-preview"
name = "default"
parent_id = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isDevopsAuditEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Eigenschapswaarden
servers/auditingSettings
| Naam | Beschrijving | Waarde |
|---|---|---|
| type | Het resourcetype | "Microsoft.Sql/servers/auditingSettings@2022-02-01-preview" |
| naam | De resourcenaam | "standaard" |
| parent_id | De id van de resource die het bovenliggende item voor deze resource is. | Id voor resource van het type: servers |
| Eigenschappen | Resource-eigenschappen. | ServerBlobAuditingPolicyProperties- |
ServerBlobAuditingPolicyProperties
| Naam | Beschrijving | Waarde |
|---|---|---|
| auditActionsAndGroups | Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd. De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal. De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken. Zie Database-Level Actiegroepen controlerenvoor meer informatie. Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd, zijn: SELECTEREN UPDATE INVOEGEN VERWIJDEREN EXECUTEREN ONTVANGEN VERWIJZINGEN Het algemene formulier voor het definiëren van een te controleren actie is: {action} ON {object} BY {principal} Houd er rekening mee dat {object} in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt. Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Zie Database-Level Controleacties voor meer informatie |
tekenreeks[] |
| isAzureMonitorTargetEnabled | Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar. Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}. URI-indeling voor diagnostische instellingen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewZie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen voor PowerShell- |
Bool |
| isDevopsAuditEnabled | Hiermee geeft u de status van devops-audit. Als de status is ingeschakeld, worden devops-logboeken verzonden naar Azure Monitor. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'Status' op als Ingeschakeld, 'IsAzureMonitorTargetEnabled' als true en 'IsDevopsAuditEnabled' als true Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie Diagnostische logboeken devOpsOperationsAudit in de hoofddatabase ook worden gemaakt. URI-indeling voor diagnostische instellingen: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewZie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen voor PowerShell- |
Bool |
| isManagedIdentityInUse | Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag | Bool |
| isStorageSecondaryKeyInUse | Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is. | Bool |
| queueDelayMs | Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647. |
Int |
| retentionDays | Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount. | Int |
| staat | Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist. | "Uitgeschakeld" 'Ingeschakeld' (vereist) |
| storageAccountAccessKey | Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten: 1. Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD). 2. Ververleent SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol Opslagblobgegevensbijdrager toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie |
snaar Beperkingen: Gevoelige waarde. Doorgeven als een beveiligde parameter. |
| storageAccountSubscriptionId | Hiermee geeft u de id van het blob-opslagabonnement op. | snaar Beperkingen: Minimale lengte = 36 Maximale lengte = 36 Patroon = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist. |
snaar |