ServerBlobAuditingPolicy Klasa
Zasady inspekcji obiektów blob serwera.
Zmienne są wypełniane tylko przez serwer i będą ignorowane podczas wysyłania żądania.
- Dziedziczenie
-
azure.mgmt.sql.models._models_py3.ProxyResourceServerBlobAuditingPolicy
Konstruktor
ServerBlobAuditingPolicy(*, is_devops_audit_enabled: bool | None = None, retention_days: int | None = None, audit_actions_and_groups: List[str] | None = None, is_storage_secondary_key_in_use: bool | None = None, is_azure_monitor_target_enabled: bool | None = None, queue_delay_ms: int | None = None, state: str | BlobAuditingPolicyState | None = None, storage_endpoint: str | None = None, storage_account_access_key: str | None = None, storage_account_subscription_id: str | None = None, **kwargs)
Parametry
Nazwa | Opis |
---|---|
is_devops_audit_enabled
Wymagane
|
Określa stan inspekcji devops. Jeśli stan jest włączony, dzienniki devops zostaną wysłane do usługi Azure Monitor. Aby wysyłać zdarzenia do usługi Azure Monitor, określ wartość "State" jako "Enabled", "IsAzureMonitorTargetEnabled" jako true, a wartość "IsDevopsAuditEnabled" jako true W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych z kategorią dzienników diagnostycznych "DevOpsOperationsAudit" w bazie danych master. Format identyfikatora URI ustawień diagnostycznych: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Aby uzyskać więcej informacji, zobacz Interfejs API REST ustawień diagnostycznych lub Ustawienia diagnostyczne programu PowerShell. |
retention_days
Wymagane
|
Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu. |
audit_actions_and_groups
Wymagane
|
Określa Actions-Groups i akcje do inspekcji. Zalecany zestaw grup akcji do użycia to następująca kombinacja — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Ta powyżej kombinacja jest również zestawem skonfigurowanym domyślnie podczas włączania inspekcji z Azure Portal. Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji. Aby uzyskać więcej informacji, zobacz Grupy akcji inspekcji na poziomie bazy danych. W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane akcje inspekcji to: WYBIERZ POLECENIE AKTUALIZUJ, WSTAW USUŃ INSTRUKCJE ODBIORUJ ODWOŁANIA Ogólny formularz definiowania akcji do inspekcji: {action} ON {object} BY {principal} Należy pamiętać, że Na przykład: select on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Aby uzyskać więcej informacji, zobacz Akcje inspekcji na poziomie bazy danych. |
is_storage_secondary_key_in_use
Wymagane
|
Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu. |
is_azure_monitor_target_enabled
Wymagane
|
Określa, czy zdarzenia inspekcji są wysyłane do usługi Azure Monitor. Aby wysyłać zdarzenia do usługi Azure Monitor, określ wartość "State" jako "Enabled" i "IsAzureMonitorTargetEnabled" jako true. W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}. Format identyfikatora URI ustawień diagnostycznych: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Aby uzyskać więcej informacji, zobacz Interfejs API REST ustawień diagnostycznych lub Ustawienia diagnostyczne programu PowerShell. |
queue_delay_ms
Wymagane
|
Określa czas w milisekundach, który może upłynąć, zanim akcje inspekcji zostaną wymuszone do przetworzenia. Wartość minimalna domyślna to 1000 (1 sekunda). Wartość maksymalna to 2 147 483 647. |
state
Wymagane
|
Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled. Możliwe wartości to: "Włączone", "Wyłączone". |
storage_endpoint
Wymagane
|
Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled. |
storage_account_access_key
Wymagane
|
Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt końcowy magazynu jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:
#. Udziel SQL Server tożsamości dostępu do konta magazynu, dodając rolę RBAC "Współautor danych obiektu blob usługi Storage" do tożsamości serwera. Aby uzyskać więcej informacji, zobacz >>"<<Inspekcja magazynu przy użyciu uwierzytelniania tożsamości zarządzanej |
storage_account_subscription_id
Wymagane
|
Określa identyfikator subskrypcji magazynu obiektów blob. |
Parametry Tylko słowo kluczowe
Nazwa | Opis |
---|---|
is_devops_audit_enabled
Wymagane
|
|
retention_days
Wymagane
|
|
audit_actions_and_groups
Wymagane
|
|
is_storage_secondary_key_in_use
Wymagane
|
|
is_azure_monitor_target_enabled
Wymagane
|
|
queue_delay_ms
Wymagane
|
|
state
Wymagane
|
|
storage_endpoint
Wymagane
|
|
storage_account_access_key
Wymagane
|
|
storage_account_subscription_id
Wymagane
|
|
Zmienne
Nazwa | Opis |
---|---|
id
|
Identyfikator zasobu. |
name
|
Nazwa zasobu. |
type
|
Typ zasobu. |
Azure SDK for Python