ServerBlobAuditingPolicyProperties interface

Właściwości polityki audytu serwera blob.

Właściwości

auditActionsAndGroups

Określa Actions-Groups i akcje do inspekcji.

Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyższa kombinacja jest również zestawem domyślnie skonfigurowanym podczas włączania audytu z portalu Azure.

Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.

W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane działania audytu to: WYBIERZ AKTUALIZACJĘ WSTAW USUŃ WYKONAJ ODBIERANIE REFERENCJI

Ogólna forma definiowania akcji do audytu to: {action} ON {object} BY {principal}

Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.

Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji

isAzureMonitorTargetEnabled

Określa, czy zdarzenia audytowe są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', a 'IsAzureMonitorTargetEnabled' jako prawdę.

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.

Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell

isDevopsAuditEnabled

Określa stan inspekcji devops. Jeśli stan jest włączony, logi devops zostaną wysłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', 'IsAzureMonitorTargetEnabled' jako prawdziwy oraz 'IsDevopsAuditEnabled' jako prawdziwy

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "DevOpsOperationsAudit" w bazie danych master.

Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell

isManagedIdentityInUse

Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob

isStorageSecondaryKeyInUse

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.

queueDelayMs

Określa czas w milisekundach, po upływie którego przetworzenie działań inspekcji zostanie wymuszone. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647.

retentionDays

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.

state

Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

storageAccountAccessKey

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:

  1. Przypisz SQL Server systemowo przypisaną zarządzaną tożsamość w Azure Active Directory (AAD).
  2. Przyznaj dostęp tożsamości SQL Server do konta pamięci, dodając rolę RBAC 'Storage Blob Data Contributor' do tożsamości serwera. Aby uzyskać więcej informacji, zobacz Inspekcja w magazynie przy użyciu uwierzytelniania tożsamości zarządzanej
storageAccountSubscriptionId

Określa identyfikator subskrypcji magazynu obiektów blob.

storageEndpoint

Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

Szczegóły właściwości

auditActionsAndGroups

Określa Actions-Groups i akcje do inspekcji.

Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyższa kombinacja jest również zestawem domyślnie skonfigurowanym podczas włączania audytu z portalu Azure.

Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.

W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane działania audytu to: WYBIERZ AKTUALIZACJĘ WSTAW USUŃ WYKONAJ ODBIERANIE REFERENCJI

Ogólna forma definiowania akcji do audytu to: {action} ON {object} BY {principal}

Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.

Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji

auditActionsAndGroups?: string[]

Wartość właściwości

string[]

isAzureMonitorTargetEnabled

Określa, czy zdarzenia audytowe są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', a 'IsAzureMonitorTargetEnabled' jako prawdę.

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.

Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell

isAzureMonitorTargetEnabled?: boolean

Wartość właściwości

boolean

isDevopsAuditEnabled

Określa stan inspekcji devops. Jeśli stan jest włączony, logi devops zostaną wysłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ 'Stan' jako 'Włączony', 'IsAzureMonitorTargetEnabled' jako prawdziwy oraz 'IsDevopsAuditEnabled' jako prawdziwy

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "DevOpsOperationsAudit" w bazie danych master.

Ustawienia diagnostyczne Format URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Więcej informacji można znaleźć w Ustawieniach diagnostycznych REST API lub Ustawieniach diagnostycznych w PowerShell

isDevopsAuditEnabled?: boolean

Wartość właściwości

boolean

isManagedIdentityInUse

Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob

isManagedIdentityInUse?: boolean

Wartość właściwości

boolean

isStorageSecondaryKeyInUse

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.

isStorageSecondaryKeyInUse?: boolean

Wartość właściwości

boolean

queueDelayMs

Określa czas w milisekundach, po upływie którego przetworzenie działań inspekcji zostanie wymuszone. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647.

queueDelayMs?: number

Wartość właściwości

number

retentionDays

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.

retentionDays?: number

Wartość właściwości

number

state

Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

state: BlobAuditingPolicyState

Wartość właściwości

storageAccountAccessKey

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:

  1. Przypisz SQL Server systemowo przypisaną zarządzaną tożsamość w Azure Active Directory (AAD).
  2. Przyznaj dostęp tożsamości SQL Server do konta pamięci, dodając rolę RBAC 'Storage Blob Data Contributor' do tożsamości serwera. Aby uzyskać więcej informacji, zobacz Inspekcja w magazynie przy użyciu uwierzytelniania tożsamości zarządzanej
storageAccountAccessKey?: string

Wartość właściwości

string

storageAccountSubscriptionId

Określa identyfikator subskrypcji magazynu obiektów blob.

storageAccountSubscriptionId?: string

Wartość właściwości

string

storageEndpoint

Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

storageEndpoint?: string

Wartość właściwości

string