Microsoft.Sql servidores/bases de dados/extendedAuditingSettings 2021-11-01
Definição de recurso bicep
Os servidores/bases de dados/extensões Do tipo de recursos Desafectese pode ser implementado para:
- Grupos de recursos - Ver comandos de implantação de grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão API, consulte o registo de alteração.
Formato de recursos
Para criar um recurso Microsoft.Sql/servidors/bases de dados/extendedAuditingSettings, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Sql/servers/databases/extendedAuditingSettings@2021-11-01' = {
name: 'default'
parent: resourceSymbolicName
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
predicateExpression: 'string'
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Valores imobiliários
servidores/bases de dados/alargadosEsesese
| Nome | Descrição | Valor |
|---|---|---|
| name | O nome do recurso Veja como definir nomes e tipos de recursos para crianças em Bicep. |
'Padrão' |
| pai | Em Bicep, pode especificar o recurso principal para um recurso infantil. Só precisa de adicionar esta propriedade quando o recurso da criança for declarado fora do recurso principal. Para obter mais informações, consulte o recurso Child fora do recurso dos pais. |
Nome simbólico para recurso de tipo: bases de dados |
| propriedades | Propriedades de recursos. | DatabaseDeseBlobAuditingPolicyProperties |
DatabaseDeseBlobAuditingPolicyProperties
| Nome | Descrição | Valor |
|---|---|---|
| auditaçõesAsegrupos | Especifica o Actions-Groups e ações de auditoria. O conjunto recomendado de grupos de ação a utilizar é a seguinte combinação - isto irá auditar todas as consultas e procedimentos armazenados executados contra a base de dados, bem como logins bem sucedidos e falhados: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinação acima é também o conjunto que é configurado por padrão ao permitir a auditoria a partir do portal do Azure. Os grupos de ação apoiados para auditar são (nota: escolha apenas grupos específicos que cubram as suas necessidades de auditoria. A utilização de grupos desnecessários pode levar a grandes quantidades de registos de auditoria): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Trata-se de grupos que cobrem todas as declarações sql e procedimentos armazenados executados contra a base de dados, e não devem ser utilizados em combinação com outros grupos, uma vez que isso resultará em registos de auditoria duplicados. Para obter mais informações, consulte os Grupos de Ação de Auditoria de Nível de Base de Dados. Para a política de auditoria da base de dados, podem também ser especificadas ações específicas (note que as ações não podem ser especificadas para a política de auditoria do Servidor). As ações apoiadas para a auditoria são: SELECT UPDATE INSERT DELETE EXECUTAR RECEBER REFERÊNCIAS A forma geral de definir uma ação a auditar é: {ação} ON {object} BY {principal} Note que {object} no formato acima pode consultar um objeto como uma tabela, visualização ou procedimento armazenado, ou uma base de dados ou esquema inteiro. Para os últimos casos, são utilizados os formulários DATABASE::{db_name} e SCHEMA::{schema_name}, respectivamente. Por exemplo: SELECIONE em dbo.myTable por público SELECIONE em BASE DE DADOS::myDatabase por público SELECIONE em SCHEMA::mySchema by public Para mais informações, consulte ações de auditoria de nível de base de dados |
corda[] |
| isAzureMonitorTargetEnabled | Especifica se os eventos de auditoria são enviados para o Azure Monitor. A fim de enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como verdadeiro. Ao utilizar a API REST para configurar a auditoria, devem também ser criadas definições de diagnóstico com categoria de registos de diagnóstico 'SQLSecurityAuditEvents' na base de dados. Note que para a auditoria ao nível do servidor deve utilizar a base de dados 'master' como {databaseName}. Formato URI de Definições de Diagnóstico: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewPara mais informações, consulte Definições de Diagnóstico REST API ou Definições de Diagnóstico PowerShell |
bool |
| isManagedIdentityInUse | Especifica se a Identidade Gerida é usada para aceder ao armazenamento de bolhas | bool |
| isStorageSecondaryKeyInUse | Especifica se armazenamento O valor do Informação De armazenamentoAccessKey é a chave secundária do armazenamento. | bool |
| pré-pressão | Especifica a condição de onde a cláusula ao criar uma auditoria. | string |
| queueDelayMs | Especifica o tempo em milissegundos que podem decorrer antes de as ações de auditoria serem forçadas a ser processadas. O valor mínimo por defeito é de 1000 (1 segundo). O máximo é de 2.147.483.647. |
int |
| dias de retenção | Especifica o número de dias a manter nos registos de auditoria na conta de armazenamento. | int |
| state | Especifica o estado da auditoria. Se o estado estiver Ativado, é necessário o ponto de armazenamentoEndpoint ou é oAzureMonitorTargetEnabled. | 'Deficiente' 'Habilitado' (obrigatório) |
| armazenamentoAccessKey | Especifica a chave de identificação da conta de armazenamento de auditoria. Se o estado for Ativado e o armazenamentoEndpoint for especificado, não especificando o armazenamentoAccessKey utilizará a identidade gerida do sistema de servidor SQL para aceder ao armazenamento. Pré-requisitos para a utilização da autenticação de identidade gerida: 1. Atribuir SQL Server uma identidade gerida atribuída ao sistema no Azure Ative Directory (AAD). 2. Conceder SQL Server acesso à identidade à conta de armazenamento adicionando a função DE RBAC de 'Storage Blob Data Contributor' à identidade do servidor. Para mais informações, consulte Auditing para armazenamento utilizando a autenticação de Identidade Gerida |
string |
| armazenamentoSubscriçãoS | Especifica o Id de subscrição de armazenamento de bolhas. | string |
| ponto de armazenamentoEndpoint | Especifica o ponto final de armazenamento do blob (por exemplo). https://MyAccount.blob.core.windows.net Se o estado estiver Ativado, é necessário o ponto de armazenamentoEndpoint ou é oAzureMonitorTargetEnabled. |
string |
Definição de recurso de modelo DE ARM
Os servidores/bases de dados/extensões Do tipo de recursos Desafectese pode ser implementado para:
- Grupos de recursos - Ver comandos de implantação de grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão API, consulte o registo de alteração.
Formato de recursos
Para criar um recurso Microsoft.Sql/servidors/bases de dados/extendedAuditingSettings, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.Sql/servers/databases/extendedAuditingSettings",
"apiVersion": "2021-11-01",
"name": "default",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"predicateExpression": "string",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Valores imobiliários
servidores/bases de dados/alargadosEsesese
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | 'Microsoft.Sql/servers/databases/extendedAuditingSettings' |
| apiVersion | A versão api de recurso | '2021-11-01' |
| name | O nome do recurso Veja como definir nomes e tipos de recursos para crianças em modelos JSON ARM. |
'Padrão' |
| propriedades | Propriedades de recursos. | DatabaseDeseBlobAuditingPolicyProperties |
DatabaseDeseBlobAuditingPolicyProperties
| Nome | Descrição | Valor |
|---|---|---|
| auditaçõesAsegrupos | Especifica o Actions-Groups e ações de auditoria. O conjunto recomendado de grupos de ação a utilizar é a seguinte combinação - isto irá auditar todas as consultas e procedimentos armazenados executados contra a base de dados, bem como logins bem sucedidos e falhados: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinação acima é também o conjunto que é configurado por padrão ao permitir a auditoria a partir do portal do Azure. Os grupos de ação apoiados para auditar são (nota: escolha apenas grupos específicos que cubram as suas necessidades de auditoria. A utilização de grupos desnecessários pode levar a grandes quantidades de registos de auditoria): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Trata-se de grupos que cobrem todas as declarações sql e procedimentos armazenados executados contra a base de dados, e não devem ser utilizados em combinação com outros grupos, uma vez que isso resultará em registos de auditoria duplicados. Para obter mais informações, consulte os Grupos de Ação de Auditoria de Nível de Base de Dados. Para a política de auditoria da base de dados, podem também ser especificadas ações específicas (note que as ações não podem ser especificadas para a política de auditoria do Servidor). As ações apoiadas para a auditoria são: SELECT UPDATE INSERT DELETE EXECUTAR RECEBER REFERÊNCIAS A forma geral de definir uma ação a auditar é: {ação} ON {object} BY {principal} Note que {object} no formato acima pode consultar um objeto como uma tabela, visualização ou procedimento armazenado, ou uma base de dados ou esquema inteiro. Para os últimos casos, são utilizados os formulários DATABASE::{db_name} e SCHEMA::{schema_name}, respectivamente. Por exemplo: SELECIONE em dbo.myTable por público SELECIONE em BASE DE DADOS::myDatabase por público SELECIONE em SCHEMA::mySchema by public Para mais informações, consulte ações de auditoria de nível de base de dados |
corda[] |
| isAzureMonitorTargetEnabled | Especifica se os eventos de auditoria são enviados para o Azure Monitor. A fim de enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como verdadeiro. Ao utilizar a API REST para configurar a auditoria, devem também ser criadas definições de diagnóstico com categoria de registos de diagnóstico 'SQLSecurityAuditEvents' na base de dados. Note que para a auditoria ao nível do servidor deve utilizar a base de dados 'master' como {databaseName}. Formato URI de Definições de Diagnóstico: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewPara mais informações, consulte Definições de Diagnóstico REST API ou Definições de Diagnóstico PowerShell |
bool |
| isManagedIdentityInUse | Especifica se a Identidade Gerida é usada para aceder ao armazenamento de bolhas | bool |
| isStorageSecondaryKeyInUse | Especifica se armazenamento O valor do Informação De armazenamentoAccessKey é a chave secundária do armazenamento. | bool |
| pré-pressão | Especifica a condição de onde a cláusula ao criar uma auditoria. | string |
| queueDelayMs | Especifica o tempo em milissegundos que podem decorrer antes de as ações de auditoria serem forçadas a ser processadas. O valor mínimo por defeito é de 1000 (1 segundo). O máximo é de 2.147.483.647. |
int |
| dias de retenção | Especifica o número de dias a manter nos registos de auditoria na conta de armazenamento. | int |
| state | Especifica o estado da auditoria. Se o estado estiver Ativado, é necessário o ponto de armazenamentoEndpoint ou é oAzureMonitorTargetEnabled. | 'Deficiente' 'Habilitado' (obrigatório) |
| armazenamentoAccessKey | Especifica a chave de identificação da conta de armazenamento de auditoria. Se o estado for Ativado e o armazenamentoEndpoint for especificado, não especificando o armazenamentoAccessKey utilizará a identidade gerida do sistema de servidor SQL para aceder ao armazenamento. Pré-requisitos para a utilização da autenticação de identidade gerida: 1. Atribuir SQL Server uma identidade gerida atribuída ao sistema no Azure Ative Directory (AAD). 2. Conceder SQL Server acesso à identidade à conta de armazenamento adicionando a função DE RBAC de 'Storage Blob Data Contributor' à identidade do servidor. Para mais informações, consulte Auditing para armazenamento utilizando a autenticação de Identidade Gerida |
string |
| armazenamentoSubscriçãoS | Especifica o Id de subscrição de armazenamento de bolhas. | string |
| ponto de armazenamentoEndpoint | Especifica o ponto final de armazenamento do blob (por exemplo). https://MyAccount.blob.core.windows.net Se o estado estiver Ativado, é necessário o ponto de armazenamentoEndpoint ou é oAzureMonitorTargetEnabled. |
string |
Definição de recursos Terraform (fornecedor AzAPI)
Os servidores/bases de dados/extensões Do tipo de recursos Desafectese pode ser implementado para:
- Grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão API, consulte o registo de alteração.
Formato de recursos
Para criar um recurso Microsoft.Sql/servidors/bases de dados/extendedAuditingSettings, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/databases/extendedAuditingSettings@2021-11-01"
name = "default"
parent_id = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
predicateExpression = "string"
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Valores imobiliários
servidores/bases de dados/alargadosEsesese
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.Sql/servidores/bases de dados/extendedAuditingSettings@2021-11-01" |
| name | O nome do recurso | "Padrão" |
| parent_id | A identificação do recurso que é o pai deste recurso. | ID para recurso de tipo: bases de dados |
| propriedades | Propriedades de recursos. | DatabaseDeseBlobAuditingPolicyProperties |
DatabaseDeseBlobAuditingPolicyProperties
| Nome | Descrição | Valor |
|---|---|---|
| auditaçõesAsegrupos | Especifica o Actions-Groups e ações de auditoria. O conjunto recomendado de grupos de ação a utilizar é a seguinte combinação - isto irá auditar todas as consultas e procedimentos armazenados executados contra a base de dados, bem como logins bem sucedidos e falhados: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinação acima é também o conjunto que é configurado por padrão ao permitir a auditoria a partir do portal do Azure. Os grupos de ação apoiados para auditar são (nota: escolha apenas grupos específicos que cubram as suas necessidades de auditoria. A utilização de grupos desnecessários pode levar a grandes quantidades de registos de auditoria): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Trata-se de grupos que cobrem todas as declarações sql e procedimentos armazenados executados contra a base de dados, e não devem ser utilizados em combinação com outros grupos, uma vez que isso resultará em registos de auditoria duplicados. Para obter mais informações, consulte os Grupos de Ação de Auditoria de Nível de Base de Dados. Para a política de auditoria da base de dados, podem também ser especificadas ações específicas (note que as ações não podem ser especificadas para a política de auditoria do Servidor). As ações apoiadas para a auditoria são: SELECT UPDATE INSERT DELETE EXECUTAR RECEBER REFERÊNCIAS A forma geral de definir uma ação a auditar é: {ação} ON {object} BY {principal} Note que {object} no formato acima pode consultar um objeto como uma tabela, visualização ou procedimento armazenado, ou uma base de dados ou esquema inteiro. Para os últimos casos, são utilizados os formulários DATABASE::{db_name} e SCHEMA::{schema_name}, respectivamente. Por exemplo: SELECIONE em dbo.myTable por público SELECIONE em BASE DE DADOS::myDatabase por público SELECIONE em SCHEMA::mySchema by public Para mais informações, consulte ações de auditoria de nível de base de dados |
corda[] |
| isAzureMonitorTargetEnabled | Especifica se os eventos de auditoria são enviados para o Azure Monitor. A fim de enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como verdadeiro. Ao utilizar a API REST para configurar a auditoria, devem também ser criadas definições de diagnóstico com categoria de registos de diagnóstico 'SQLSecurityAuditEvents' na base de dados. Note que para a auditoria ao nível do servidor deve utilizar a base de dados 'master' como {databaseName}. Formato URI de Definições de Diagnóstico: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewPara mais informações, consulte Definições de Diagnóstico REST API ou Definições de Diagnóstico PowerShell |
bool |
| isManagedIdentityInUse | Especifica se a Identidade Gerida é usada para aceder ao armazenamento de bolhas | bool |
| isStorageSecondaryKeyInUse | Especifica se armazenamento O valor do Informação De armazenamentoAccessKey é a chave secundária do armazenamento. | bool |
| pré-pressão | Especifica a condição de onde a cláusula ao criar uma auditoria. | string |
| queueDelayMs | Especifica o tempo em milissegundos que podem decorrer antes de as ações de auditoria serem forçadas a ser processadas. O valor mínimo por defeito é de 1000 (1 segundo). O máximo é de 2.147.483.647. |
int |
| dias de retenção | Especifica o número de dias a manter nos registos de auditoria na conta de armazenamento. | int |
| state | Especifica o estado da auditoria. Se o estado estiver Ativado, é necessário o ponto de armazenamentoEndpoint ou é oAzureMonitorTargetEnabled. | "Deficiente" "Habilidoso" (obrigatório) |
| armazenamentoAccessKey | Especifica a chave de identificação da conta de armazenamento de auditoria. Se o estado for Ativado e o armazenamentoEndpoint for especificado, não especificando o armazenamentoAccessKey utilizará a identidade gerida do sistema de servidor SQL para aceder ao armazenamento. Pré-requisitos para a utilização da autenticação de identidade gerida: 1. Atribuir SQL Server uma identidade gerida atribuída ao sistema no Azure Ative Directory (AAD). 2. Conceder SQL Server acesso à identidade à conta de armazenamento adicionando a função DE RBAC de 'Storage Blob Data Contributor' à identidade do servidor. Para mais informações, consulte Auditing para armazenamento utilizando a autenticação de Identidade Gerida |
string |
| armazenamentoSubscriçãoS | Especifica o Id de subscrição de armazenamento de bolhas. | string |
| ponto de armazenamentoEndpoint | Especifica o ponto final de armazenamento do blob (por exemplo). https://MyAccount.blob.core.windows.net Se o estado estiver Ativado, é necessário o ponto de armazenamentoEndpoint ou é oAzureMonitorTargetEnabled. |
string |