Server Blob Auditing Policies - Get

Возвращает политику аудита BLOB-объектов сервера.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2022-02-01-preview

Параметры URI

Name In Required Type Description
blobAuditingPolicyName
path True

Имя политики аудита BLOB-объектов.

resourceGroupName
path True
  • string

Имя группы ресурсов, к которой относится ресурс. Это значение можно получить от API-интерфейса диспетчера ресурсов Azure или портала.

serverName
path True
  • string

Имя сервера.

subscriptionId
path True
  • string

Идентификатор подписки Azure.

api-version
query True
  • string

Версия API для использования в запросе.

Ответы

Name Type Description
200 OK

Политика аудита BLOB-объектов сервера успешно получена.

Other Status Codes

Ответы на ошибки: ***

  • 404 SubscriptionDoesNotHaveServer — запрошенный сервер не найден

  • 404 ServerNotInSubscriptionResourceGroup — указанный сервер не существует в указанной группе ресурсов и подписке.

Примеры

Get a server's blob auditing policy

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default?api-version=2022-02-01-preview

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/auditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false
  }
}

Определения

blobAuditingPolicyName

Имя политики аудита BLOB-объектов.

BlobAuditingPolicyState

Указывает состояние аудита. Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.

ServerBlobAuditingPolicy

Политика аудита BLOB-объектов сервера.

blobAuditingPolicyName

Имя политики аудита BLOB-объектов.

Name Type Description
default
  • string

BlobAuditingPolicyState

Указывает состояние аудита. Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.

Name Type Description
Disabled
  • string
Enabled
  • string

ServerBlobAuditingPolicy

Политика аудита BLOB-объектов сервера.

Name Type Description
id
  • string

Идентификатор ресурса.

name
  • string

Имя ресурса.

properties.auditActionsAndGroups
  • string[]

Указывает Actions-Groups и действия для аудита.

Рекомендуемый набор групп действий для использования — это следующее сочетание. Это позволит выполнять аудит всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных входов:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Это сочетание выше также является набором, настроенным по умолчанию при включении аудита из портал Azure.

Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, которые охватывают потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.

Дополнительные сведения см. в разделе "Группы действий аудита на уровне базы данных".

Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Общая форма определения действия для аудита: {action} ON {object} BY {principal}

Обратите внимание, что в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.

Например: SELECT в dbo.myTable по общедоступной инструкции SELECT в DATABASE::myDatabase по общедоступной инструкции SELECT в SCHEMA::mySchema by public

Дополнительные сведения см. в разделе "Действия аудита на уровне базы данных"

properties.isAzureMonitorTargetEnabled
  • boolean

Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true.

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных master в качестве {databaseName}.

Формат URI ПАРАМЕТРОВ диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в разделе REST API параметров диагностики или параметры диагностики PowerShell

properties.isDevopsAuditEnabled
  • boolean

Указывает состояние аудита devops. Если состояние включено, журналы devops будут отправляться в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите состояние "Включено", "IsAzureMonitorTargetEnabled" как true и IsDevopsAuditEnabled как true

При использовании REST API для настройки аудита также следует создать параметры диагностики с категорией журналов диагностики DevOpsOperationsAudit в базе данных master.

Формат URI ПАРАМЕТРОВ диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в разделе REST API параметров диагностики или параметры диагностики PowerShell

properties.isManagedIdentityInUse
  • boolean

Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов.

properties.isStorageSecondaryKeyInUse
  • boolean

Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища.

properties.queueDelayMs
  • integer

Определяет задержку в миллисекундах, после которой продолжается выполнение действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.

properties.retentionDays
  • integer

Указывает количество дней для хранения в журналах аудита в учетной записи хранения.

properties.state

Указывает состояние аудита. Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.

properties.storageAccountAccessKey
  • string

Указывает ключ идентификатора учетной записи хранения аудита. Если задано состояние Enabled и storageEndpoint, не указывая storageAccountAccessKey, будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу. Необходимые условия для использования проверки подлинности управляемого удостоверения:

  1. Назначьте SQL Server управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD).
  2. Предоставьте SQL Server удостоверению доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" к удостоверению сервера. Дополнительные сведения см. в статье "Аудит хранилища с помощью проверки подлинности с помощью управляемого удостоверения"
properties.storageAccountSubscriptionId
  • string

Указывает идентификатор подписки хранилища BLOB-объектов.

properties.storageEndpoint
  • string

Указывает конечную точку хранилища BLOB-объектов (например https://MyAccount.blob.core.windows.net, ). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.

type
  • string

Тип ресурса.