Server Blob Auditing Policies - Get

Hämtar en servers blobgranskningsprincip.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2022-02-01-preview

URI-parametrar

Name In Required Type Description
blobAuditingPolicyName
path True

Namnet på blobgranskningsprincipen.

resourceGroupName
path True
  • string

Namnet på resursgruppen som innehåller resursen. Du kan hämta det här värdet från Azure Resource Manager-API:et eller portalen.

serverName
path True
  • string

Namnet på servern.

subscriptionId
path True
  • string

Det prenumerations-ID som identifierar en Azure-prenumeration.

api-version
query True
  • string

DEN API-version som ska användas för begäran.

Svar

Name Type Description
200 OK

Granskningsprincipen för serverblob har hämtats.

Other Status Codes

Felsvar: ***

  • 404 SubscriptionDoesNotHaveServer – Den begärda servern hittades inte

  • 404 ServerNotInSubscriptionResourceGroup – Den angivna servern finns inte i den angivna resursgruppen och prenumerationen.

Exempel

Get a server's blob auditing policy

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default?api-version=2022-02-01-preview

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/auditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false
  }
}

Definitioner

blobAuditingPolicyName

Namnet på blobgranskningsprincipen.

BlobAuditingPolicyState

Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled.

ServerBlobAuditingPolicy

En granskningsprincip för serverblob.

blobAuditingPolicyName

Namnet på blobgranskningsprincipen.

Name Type Description
default
  • string

BlobAuditingPolicyState

Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled.

Name Type Description
Disabled
  • string
Enabled
  • string

ServerBlobAuditingPolicy

En granskningsprincip för serverblob.

Name Type Description
id
  • string

Resurs-ID.

name
  • string

Resursnamn.

properties.auditActionsAndGroups
  • string[]

Anger vilka Actions-Groups och åtgärder som ska granskas.

Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning aktiveras från Azure Portal.

De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Det här är grupper som omfattar alla SQL-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar.

Mer information finns i Granskningsåtgärdsgrupper på databasnivå.

För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: VÄLJ UPPDATERA INFOGA TA BORT KÖR TA EMOT REFERENSER

Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} ON {object} BY {principal}

Observera att i ovanstående format kan referera till ett objekt som en tabell, vy eller lagrad procedur, eller en hel databas eller ett helt schema. I de senare fallen används formulären DATABASE::{db_name} respektive SCHEMA::{schema_name}.

Exempel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Mer information finns i Granskningsåtgärder på databasnivå

properties.isAzureMonitorTargetEnabled
  • boolean

Anger om granskningshändelser skickas till Azure Monitor. För att skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true.

När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin SQLSecurityAuditEvents på databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}.

URI-format för diagnostikinställningar: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Mer information finns i Diagnostikinställningar REST API eller Diagnostikinställningar PowerShell

properties.isDevopsAuditEnabled
  • boolean

Anger tillståndet för devops-granskning. Om tillståndet är Aktiverat skickas devops-loggar till Azure Monitor. För att skicka händelserna till Azure Monitor anger du "State" som "Enabled", "IsAzureMonitorTargetEnabled" som true och "IsDevopsAuditEnabled" som true

När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin DevOpsOperationsAudit på huvuddatabasen också skapas.

URI-format för diagnostikinställningar: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Mer information finns i Diagnostikinställningar REST API eller Diagnostikinställningar PowerShell

properties.isManagedIdentityInUse
  • boolean

Anger om hanterad identitet används för åtkomst till bloblagring

properties.isStorageSecondaryKeyInUse
  • boolean

Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel.

properties.queueDelayMs
  • integer

Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647.

properties.retentionDays
  • integer

Anger hur många dagar som ska sparas i granskningsloggarna i lagringskontot.

properties.state

Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled.

properties.storageAccountAccessKey
  • string

Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server-systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange storageAccountAccessKey. Krav för att använda autentisering med hanterad identitet:

  1. Tilldela SQL Server en systemtilldelad hanterad identitet i Azure Active Directory (AAD).
  2. Ge SQL Server identitet åtkomst till lagringskontot genom att lägga till RBAC-rollen Storage Blob Data Contributor i serveridentiteten. Mer information finns i Granskning till lagring med hanterad identitetsautentisering
properties.storageAccountSubscriptionId
  • string

Anger prenumerations-ID:t för Blob Storage.

properties.storageEndpoint
  • string

Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled.

type
  • string

Resurstyp.