Microsoft.Sql servers/databases/auditingSettings 2022-05-01-preview
O tipo de recurso servers/databases/auditingSettings pode ser implantado com operações que visam:
- Grupos de recursos - Consulte comandos de implantação de grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Para criar um recurso Microsoft.Sql/servers/databases/auditingSettings, adicione o seguinte Bicep ao seu modelo.
resource symbolicname 'Microsoft.Sql/servers/databases/auditingSettings@2022-05-01-preview' = {
parent: resourceSymbolicName
name: 'default'
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
| Designação | Descrição | Valor |
|---|---|---|
| auditAçõesAndGrupos | Especifica os Actions-Groups e as Ações a serem auditadas. O conjunto recomendado de grupos de ações a serem usados é a seguinte combinação - isso auditará todas as consultas e procedimentos armazenados executados no banco de dados, bem como logins bem-sucedidos e com falha: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Essa combinação acima também é o conjunto configurado por padrão ao habilitar a auditoria do portal do Azure. Os grupos de ações suportados para auditoria são (observação: escolha apenas grupos específicos que cubram suas necessidades de auditoria. A utilização de grupos desnecessários pode conduzir a grandes quantidades de registos de auditoria): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Esses são grupos que abrangem todas as instruções sql e procedimentos armazenados executados no banco de dados e não devem ser usados em combinação com outros grupos, pois isso resultará em logs de auditoria duplicados. Para obter mais informações, consulte Database-Level Grupos de Ação de Auditoria. Para a política de auditoria de banco de dados, Ações específicas também podem ser especificadas (observe que Ações não podem ser especificadas para a política de auditoria do servidor). As ações de auditoria apoiadas são as seguintes: SELECIONAR ATUALIZAÇÃO INSERIR SUPRIMIR EXECUTAR RECEBER REFERÊNCIAS A forma geral para definir uma ação a auditar é: {ação} ON {object} BY {principal} Observe que <objeto> no formato acima pode se referir a um objeto como uma tabela, exibição ou procedimento armazenado ou a um banco de dados ou esquema inteiro. Para estes últimos casos, os formulários DATABASE::{db_name} e SCHEMA::{schema_name} são usados, respectivamente. Por exemplo: SELECT em dbo.myTable por público SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema por público Para obter mais informações, consulte Database-Level Ações de auditoria |
string[] |
| isAzureMonitorTargetEnabled | Especifica se os eventos de auditoria são enviados para o Azure Monitor. Para enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como true. Ao usar a API REST para configurar a auditoria, a categoria de logs de diagnóstico 'SQLSecurityAuditEvents' no banco de dados também deve ser criada. Observe que, para auditoria no nível do servidor, você deve usar o banco de dados 'master' como {databaseName}. Formato URI das configurações de diagnóstico: COLOCAR https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Para obter mais informações, consulte API REST de configurações de diagnóstico ou Configurações de Diagnóstico PowerShell |
Bool |
| isManagedIdentityInUse | Especifica se a Identidade Gerenciada é usada para acessar o armazenamento de blob | Bool |
| isStorageSecondaryKeyInUse | Especifica se o valor storageAccountAccessKey é a chave secundária do armazenamento. | Bool |
| queueDelayMs | Especifica a quantidade de tempo, em milissegundos, que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas. O valor mínimo padrão é 1000 (1 segundo). O máximo é de 2.147.483.647. |
Int |
| dias de retenção | Especifica o número de dias a serem mantidos nos logs de auditoria na conta de armazenamento. | Int |
| Estado | Especifica o estado da auditoria. Se o estado for Enabled, storageEndpoint ou isAzureMonitorTargetEnabled serão necessários. | 'Desativado' 'Ativado' (obrigatório) |
| storageAccountAccessKey | Especifica a chave identificador da conta de armazenamento de auditoria. Se state for Enabled e storageEndpoint for especificado, não especificar o storageAccountAccessKey usará a identidade gerenciada atribuída pelo sistema do SQL Server para acessar o armazenamento. Pré-requisitos para usar a autenticação de identidade gerenciada: 1. Atribua ao SQL Server uma identidade gerenciada atribuída pelo sistema no Azure Ative Directory (AAD). 2. Conceda acesso à identidade do SQL Server à conta de armazenamento adicionando a função RBAC 'Storage Blob Data Contributor' à identidade do servidor. Para obter mais informações, consulte Auditoria de armazenamento usando autenticação de identidade gerenciada |
string Restrições: Valor sensível. Passe como um parâmetro seguro. |
| storageAccountSubscriptionId | Especifica a ID da assinatura de armazenamento de blob. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Especifica o ponto de extremidade de armazenamento de blob (por exemplo, https://MyAccount.blob.core.windows.net). Se o estado for Enabled, storageEndpoint ou isAzureMonitorTargetEnabled será necessário. | string |
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do recurso | 'default' (obrigatório) |
| pai | No Bicep, você pode especificar o recurso pai para um recurso filho. Você só precisa adicionar essa propriedade quando o recurso filho é declarado fora do recurso pai. Para obter mais informações, consulte recurso filho fora do recurso pai. |
Nome simbólico para recurso do tipo: servidores/bancos de dados |
| propriedades | Propriedades do recurso. | DatabaseBlobAuditingPolicyProperties |
O tipo de recurso servers/databases/auditingSettings pode ser implantado com operações que visam:
- Grupos de recursos - Consulte comandos de implantação de grupo de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Para criar um recurso Microsoft.Sql/servers/databases/auditingSettings, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"apiVersion": "2022-05-01-preview",
"name": "string",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
| Designação | Descrição | Valor |
|---|---|---|
| auditAçõesAndGrupos | Especifica os Actions-Groups e as Ações a serem auditadas. O conjunto recomendado de grupos de ações a serem usados é a seguinte combinação - isso auditará todas as consultas e procedimentos armazenados executados no banco de dados, bem como logins bem-sucedidos e com falha: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Essa combinação acima também é o conjunto configurado por padrão ao habilitar a auditoria do portal do Azure. Os grupos de ações suportados para auditoria são (observação: escolha apenas grupos específicos que cubram suas necessidades de auditoria. A utilização de grupos desnecessários pode conduzir a grandes quantidades de registos de auditoria): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Esses são grupos que abrangem todas as instruções sql e procedimentos armazenados executados no banco de dados e não devem ser usados em combinação com outros grupos, pois isso resultará em logs de auditoria duplicados. Para obter mais informações, consulte Database-Level Grupos de Ação de Auditoria. Para a política de auditoria de banco de dados, Ações específicas também podem ser especificadas (observe que Ações não podem ser especificadas para a política de auditoria do servidor). As ações de auditoria apoiadas são as seguintes: SELECIONAR ATUALIZAÇÃO INSERIR SUPRIMIR EXECUTAR RECEBER REFERÊNCIAS A forma geral para definir uma ação a auditar é: {ação} ON {object} BY {principal} Observe que <objeto> no formato acima pode se referir a um objeto como uma tabela, exibição ou procedimento armazenado ou a um banco de dados ou esquema inteiro. Para estes últimos casos, os formulários DATABASE::{db_name} e SCHEMA::{schema_name} são usados, respectivamente. Por exemplo: SELECT em dbo.myTable por público SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema por público Para obter mais informações, consulte Database-Level Ações de auditoria |
string[] |
| isAzureMonitorTargetEnabled | Especifica se os eventos de auditoria são enviados para o Azure Monitor. Para enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como true. Ao usar a API REST para configurar a auditoria, a categoria de logs de diagnóstico 'SQLSecurityAuditEvents' no banco de dados também deve ser criada. Observe que, para auditoria no nível do servidor, você deve usar o banco de dados 'master' como {databaseName}. Formato URI das configurações de diagnóstico: COLOCAR https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Para obter mais informações, consulte API REST de configurações de diagnóstico ou Configurações de Diagnóstico PowerShell |
Bool |
| isManagedIdentityInUse | Especifica se a Identidade Gerenciada é usada para acessar o armazenamento de blob | Bool |
| isStorageSecondaryKeyInUse | Especifica se o valor storageAccountAccessKey é a chave secundária do armazenamento. | Bool |
| queueDelayMs | Especifica a quantidade de tempo, em milissegundos, que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas. O valor mínimo padrão é 1000 (1 segundo). O máximo é de 2.147.483.647. |
Int |
| dias de retenção | Especifica o número de dias a serem mantidos nos logs de auditoria na conta de armazenamento. | Int |
| Estado | Especifica o estado da auditoria. Se o estado for Enabled, storageEndpoint ou isAzureMonitorTargetEnabled serão necessários. | 'Desativado' 'Ativado' (obrigatório) |
| storageAccountAccessKey | Especifica a chave identificador da conta de armazenamento de auditoria. Se state for Enabled e storageEndpoint for especificado, não especificar o storageAccountAccessKey usará a identidade gerenciada atribuída pelo sistema do SQL Server para acessar o armazenamento. Pré-requisitos para usar a autenticação de identidade gerenciada: 1. Atribua ao SQL Server uma identidade gerenciada atribuída pelo sistema no Azure Ative Directory (AAD). 2. Conceda acesso à identidade do SQL Server à conta de armazenamento adicionando a função RBAC 'Storage Blob Data Contributor' à identidade do servidor. Para obter mais informações, consulte Auditoria de armazenamento usando autenticação de identidade gerenciada |
string Restrições: Valor sensível. Passe como um parâmetro seguro. |
| storageAccountSubscriptionId | Especifica a ID da assinatura de armazenamento de blob. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Especifica o ponto de extremidade de armazenamento de blob (por exemplo, https://MyAccount.blob.core.windows.net). Se o estado for Enabled, storageEndpoint ou isAzureMonitorTargetEnabled será necessário. | string |
| Designação | Descrição | Valor |
|---|---|---|
| apiVersion | A versão api | '2022-05-01-pré-visualização' |
| Designação | O nome do recurso | 'default' (obrigatório) |
| propriedades | Propriedades do recurso. | DatabaseBlobAuditingPolicyProperties |
| tipo | O tipo de recurso | 'Microsoft.Sql/servers/databases/auditingSettings' |
O tipo de recurso servers/databases/auditingSettings pode ser implantado com operações que visam:
- Grupos de recursos
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Para criar um recurso Microsoft.Sql/servers/databases/auditingSettings, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/databases/auditingSettings@2022-05-01-preview"
name = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
| Designação | Descrição | Valor |
|---|---|---|
| auditAçõesAndGrupos | Especifica os Actions-Groups e as Ações a serem auditadas. O conjunto recomendado de grupos de ações a serem usados é a seguinte combinação - isso auditará todas as consultas e procedimentos armazenados executados no banco de dados, bem como logins bem-sucedidos e com falha: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Essa combinação acima também é o conjunto configurado por padrão ao habilitar a auditoria do portal do Azure. Os grupos de ações suportados para auditoria são (observação: escolha apenas grupos específicos que cubram suas necessidades de auditoria. A utilização de grupos desnecessários pode conduzir a grandes quantidades de registos de auditoria): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Esses são grupos que abrangem todas as instruções sql e procedimentos armazenados executados no banco de dados e não devem ser usados em combinação com outros grupos, pois isso resultará em logs de auditoria duplicados. Para obter mais informações, consulte Database-Level Grupos de Ação de Auditoria. Para a política de auditoria de banco de dados, Ações específicas também podem ser especificadas (observe que Ações não podem ser especificadas para a política de auditoria do servidor). As ações de auditoria apoiadas são as seguintes: SELECIONAR ATUALIZAÇÃO INSERIR SUPRIMIR EXECUTAR RECEBER REFERÊNCIAS A forma geral para definir uma ação a auditar é: {ação} ON {object} BY {principal} Observe que <objeto> no formato acima pode se referir a um objeto como uma tabela, exibição ou procedimento armazenado ou a um banco de dados ou esquema inteiro. Para estes últimos casos, os formulários DATABASE::{db_name} e SCHEMA::{schema_name} são usados, respectivamente. Por exemplo: SELECT em dbo.myTable por público SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema por público Para obter mais informações, consulte Database-Level Ações de auditoria |
string[] |
| isAzureMonitorTargetEnabled | Especifica se os eventos de auditoria são enviados para o Azure Monitor. Para enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como true. Ao usar a API REST para configurar a auditoria, a categoria de logs de diagnóstico 'SQLSecurityAuditEvents' no banco de dados também deve ser criada. Observe que, para auditoria no nível do servidor, você deve usar o banco de dados 'master' como {databaseName}. Formato URI das configurações de diagnóstico: COLOCAR https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Para obter mais informações, consulte API REST de configurações de diagnóstico ou Configurações de Diagnóstico PowerShell |
Bool |
| isManagedIdentityInUse | Especifica se a Identidade Gerenciada é usada para acessar o armazenamento de blob | Bool |
| isStorageSecondaryKeyInUse | Especifica se o valor storageAccountAccessKey é a chave secundária do armazenamento. | Bool |
| queueDelayMs | Especifica a quantidade de tempo, em milissegundos, que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas. O valor mínimo padrão é 1000 (1 segundo). O máximo é de 2.147.483.647. |
Int |
| dias de retenção | Especifica o número de dias a serem mantidos nos logs de auditoria na conta de armazenamento. | Int |
| Estado | Especifica o estado da auditoria. Se o estado for Enabled, storageEndpoint ou isAzureMonitorTargetEnabled serão necessários. | 'Desativado' 'Ativado' (obrigatório) |
| storageAccountAccessKey | Especifica a chave identificador da conta de armazenamento de auditoria. Se state for Enabled e storageEndpoint for especificado, não especificar o storageAccountAccessKey usará a identidade gerenciada atribuída pelo sistema do SQL Server para acessar o armazenamento. Pré-requisitos para usar a autenticação de identidade gerenciada: 1. Atribua ao SQL Server uma identidade gerenciada atribuída pelo sistema no Azure Ative Directory (AAD). 2. Conceda acesso à identidade do SQL Server à conta de armazenamento adicionando a função RBAC 'Storage Blob Data Contributor' à identidade do servidor. Para obter mais informações, consulte Auditoria de armazenamento usando autenticação de identidade gerenciada |
string Restrições: Valor sensível. Passe como um parâmetro seguro. |
| storageAccountSubscriptionId | Especifica a ID da assinatura de armazenamento de blob. | string Restrições: Comprimento mínimo = 36 Comprimento máximo = 36 Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Especifica o ponto de extremidade de armazenamento de blob (por exemplo, https://MyAccount.blob.core.windows.net). Se o estado for Enabled, storageEndpoint ou isAzureMonitorTargetEnabled será necessário. | string |
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do recurso | 'default' (obrigatório) |
| parent_id | A ID do recurso que é o pai para este recurso. | ID para recurso do tipo: servidores/bancos de dados |
| propriedades | Propriedades do recurso. | DatabaseBlobAuditingPolicyProperties |
| tipo | O tipo de recurso | "Microsoft.Sql/servers/databases/auditingSettings@2022-05-01-preview" |