Udostępnij za pośrednictwem

SqlPoolBlobAuditingPolicy interface

Pakiet:
@azure/arm-synapse

Zasady inspekcji obiektów blob puli Sql.

Rozszerzenie
ProxyResource

Właściwości

auditActionsAndGroups

Określa Actions-Groups i akcje do inspekcji.

Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyżej kombinacja jest również zestawem skonfigurowanym domyślnie podczas włączania inspekcji w witrynie Azure Portal.

Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.

W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane akcje do inspekcji to: WYBIERZ POZYCJĘ AKTUALIZUJ OPERACJĘ WSTAWIANIA USUŃ WYKONAJ ODWOŁANIA DO ODBIERANIA

Ogólny formularz definiowania akcji do inspekcji to: {action} ON {object} BY {principal}

Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.

Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji
isAzureMonitorTargetEnabled

Określa, czy zdarzenia inspekcji są wysyłane do usługi Azure Monitor. Aby wysyłać zdarzenia do usługi Azure Monitor, określ wartość "state" jako "Enabled" i "isAzureMonitorTargetEnabled" jako true.

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.

Format identyfikatora URI ustawień diagnostycznych: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne interfejsu API REST lub ustawienia diagnostyczne Programu PowerShell
isStorageSecondaryKeyInUse

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.
kind

Rodzaj zasobu. UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.
retentionDays

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.
state

Określa stan zasad. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.
storageAccountAccessKey

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a parametr storageEndpoint jest określony, wymagany jest klucz storageAccountAccessKey.
storageAccountSubscriptionId

Określa identyfikator subskrypcji magazynu obiektów blob.
storageEndpoint

Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest punkt końcowy magazynu.

Właściwości dziedziczone

id

W pełni kwalifikowany identyfikator zasobu dla zasobu. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.
name

Nazwa zasobu UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.
type

Typ zasobu. Np. "Microsoft.Compute/virtualMachines" lub "Microsoft.Storage/storageAccounts" UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.

Szczegóły właściwości

auditActionsAndGroups

Określa Actions-Groups i akcje do inspekcji.

Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyżej kombinacja jest również zestawem skonfigurowanym domyślnie podczas włączania inspekcji w witrynie Azure Portal.

Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji.

W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane akcje do inspekcji to: WYBIERZ POZYCJĘ AKTUALIZUJ OPERACJĘ WSTAWIANIA USUŃ WYKONAJ ODWOŁANIA DO ODBIERANIA

Ogólny formularz definiowania akcji do inspekcji to: {action} ON {object} BY {principal}

Należy pamiętać, że <obiekt> w powyższym formacie może odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}.

Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji

auditActionsAndGroups?: string[]

Wartość właściwości

string[]

isAzureMonitorTargetEnabled

Określa, czy zdarzenia inspekcji są wysyłane do usługi Azure Monitor. Aby wysyłać zdarzenia do usługi Azure Monitor, określ wartość "state" jako "Enabled" i "isAzureMonitorTargetEnabled" jako true.

W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}.

Format identyfikatora URI ustawień diagnostycznych: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne interfejsu API REST lub ustawienia diagnostyczne Programu PowerShell

isAzureMonitorTargetEnabled?: boolean

Wartość właściwości

boolean

isStorageSecondaryKeyInUse

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.

isStorageSecondaryKeyInUse?: boolean

Wartość właściwości

boolean

kind

Rodzaj zasobu. UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.

kind?: string

Wartość właściwości

string

retentionDays

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.

retentionDays?: number

Wartość właściwości

number

state

Określa stan zasad. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

state?: BlobAuditingPolicyState

Wartość właściwości

BlobAuditingPolicyState

storageAccountAccessKey

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a parametr storageEndpoint jest określony, wymagany jest klucz storageAccountAccessKey.

storageAccountAccessKey?: string

Wartość właściwości

string

storageAccountSubscriptionId

Określa identyfikator subskrypcji magazynu obiektów blob.

storageAccountSubscriptionId?: string

Wartość właściwości

string

storageEndpoint

Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest punkt końcowy magazynu.

storageEndpoint?: string

Wartość właściwości

string

Szczegóły właściwości dziedziczonej

id

W pełni kwalifikowany identyfikator zasobu dla zasobu. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.

id?: string

Wartość właściwości

string

dziedziczone zProxyResource.id

name

Nazwa zasobu UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.

name?: string

Wartość właściwości

string

dziedziczone zProxyResource.name

type

Typ zasobu. Np. "Microsoft.Compute/virtualMachines" lub "Microsoft.Storage/storageAccounts" UWAGA: Ta właściwość nie zostanie serializowana. Można go wypełnić tylko przez serwer.

type?: string

Wartość właściwości

string

dziedziczone zProxyResource.type