ExtendedServerBlobAuditingPolicy interface
Genişletilmiş sunucu blobu denetim ilkesi.
- Extends
Özellikler
| audit |
Denetlenecek Actions-Groups ve Eylemleri belirtir. Kullanılması önerilen eylem grubu kümesi aşağıdaki bileşimdir: Bu, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetler: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Bu yukarıdaki birleşim, Azure portalından denetimi etkinleştirirken varsayılan olarak yapılandırılan kümedir. Denetlenecek desteklenen eylem grupları şunlardır (not: Yalnızca denetim gereksinimlerinizi karşılayan belirli grupları seçin. Gereksiz grupların kullanılması çok büyük miktarda denetim kaydına yol açabilir: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Bunlar, veritabanında yürütülen tüm SQL deyimlerini ve saklı yordamları kapsayan gruplardır ve yinelenen denetim günlüklerine neden olacağı için diğer gruplarla birlikte kullanılmamalıdır. Daha fazla bilgi için bkz. denetim eylem gruplarını Database-Level. Veritabanı denetim ilkesi için belirli Eylemler de belirtilebilir (Sunucu denetim ilkesi için Eylemler belirtilemez). Denetlenecek desteklenen eylemler şunlardır: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Denetlenecek eylemi tanımlamaya yönelik genel form: {action} ON {object} BY {principal} <Yukarıdaki biçimdeki nesnenin> tablo, görünüm veya saklı yordam ya da tüm veritabanı ya da şema gibi bir nesneye başvurabileceğini unutmayın. İkinci durumlarda sırasıyla DATABASE::{db_name} ve SCHEMA::{schema_name} formları kullanılır. Örneğin: DATABASE::myDatabase by public SELECT by public SELECT on SCHEMA::mySchema by public |
| is |
Denetim olaylarının Azure İzleyici'ye gönderilip gönderilmediğini belirtir. Olayları Azure İzleyici'ye göndermek için 'State' değerini 'Enabled' ve 'IsAzureMonitorTargetEnabled' değerini true olarak belirtin. Denetimi yapılandırmak için REST API kullanılırken, veritabanında 'SQLSecurityAuditEvents' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Sunucu düzeyinde denetim için 'ana' veritabanını {databaseName} olarak kullanmanız gerektiğini unutmayın. Tanılama Ayarları URI biçimi: PUT Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell |
| is |
Devops denetiminin durumunu belirtir. Durum Etkinse devops günlükleri Azure İzleyici'ye gönderilir. Olayları Azure İzleyici'ye göndermek için 'State' değerini 'Enabled', 'IsAzureMonitorTargetEnabled' değerini true ve 'IsDevopsAuditEnabled' değerini true olarak belirtin Denetimi yapılandırmak için REST API kullanılırken, ana veritabanında 'DevOpsOperationsAudit' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Tanılama Ayarları URI biçimi: PUT Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell |
| is |
Yönetilen Kimliğin blob depolamaya erişmek için kullanılıp kullanılmayacağını belirtir |
| is |
storageAccountAccessKey değerinin depolamanın ikincil anahtarı olup olmadığını belirtir. |
| predicate |
Denetim oluştururken where yan tümcesinin koşulunu belirtir. |
| queue |
Denetim eylemlerinin işlenmesine zorlanmadan önce geçen süreyi milisaniye cinsinden belirtir. Varsayılan en düşük değer 1000 'dir (1 saniye). Maksimum değer 2.147.483.647'dir. |
| retention |
Depolama hesabındaki denetim günlüklerinde tutulacak gün sayısını belirtir. |
| state | Denetimin durumunu belirtir. Durum Etkinse storageEndpoint veya IsAzureMonitorTargetEnabled gereklidir. |
| storage |
Denetim depolama hesabının tanımlayıcı anahtarını belirtir. Durum Etkinse ve storageEndpoint belirtilirse, storageAccountAccessKey belirtilmemesi depolamaya erişmek için SQL server sistem tarafından atanan yönetilen kimliği kullanır. Yönetilen kimlik kimlik doğrulamasını kullanma önkoşulları:
|
| storage |
Blob depolama aboneliği kimliğini belirtir. |
| storage |
Blob depolama uç noktasını belirtir (örneğin, |
Devralınan Özellikler
| id | Kaynak Kimliği. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
| name | Kaynak adı. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
| type | Kaynak türü. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
Özellik Ayrıntıları
auditActionsAndGroups
Denetlenecek Actions-Groups ve Eylemleri belirtir.
Kullanılması önerilen eylem grubu kümesi aşağıdaki bileşimdir: Bu, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetler:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Bu yukarıdaki birleşim, Azure portalından denetimi etkinleştirirken varsayılan olarak yapılandırılan kümedir.
Denetlenecek desteklenen eylem grupları şunlardır (not: Yalnızca denetim gereksinimlerinizi karşılayan belirli grupları seçin. Gereksiz grupların kullanılması çok büyük miktarda denetim kaydına yol açabilir:
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
Bunlar, veritabanında yürütülen tüm SQL deyimlerini ve saklı yordamları kapsayan gruplardır ve yinelenen denetim günlüklerine neden olacağı için diğer gruplarla birlikte kullanılmamalıdır.
Daha fazla bilgi için bkz. denetim eylem gruplarını Database-Level.
Veritabanı denetim ilkesi için belirli Eylemler de belirtilebilir (Sunucu denetim ilkesi için Eylemler belirtilemez). Denetlenecek desteklenen eylemler şunlardır: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES
Denetlenecek eylemi tanımlamaya yönelik genel form: {action} ON {object} BY {principal}
<Yukarıdaki biçimdeki nesnenin> tablo, görünüm veya saklı yordam ya da tüm veritabanı ya da şema gibi bir nesneye başvurabileceğini unutmayın. İkinci durumlarda sırasıyla DATABASE::{db_name} ve SCHEMA::{schema_name} formları kullanılır.
Örneğin: DATABASE::myDatabase by public SELECT by public SELECT on SCHEMA::mySchema by public
Daha fazla bilgi için bkz. denetim eylemleri Database-Level
auditActionsAndGroups?: string[]Özellik Değeri
string[]
isAzureMonitorTargetEnabled
Denetim olaylarının Azure İzleyici'ye gönderilip gönderilmediğini belirtir. Olayları Azure İzleyici'ye göndermek için 'State' değerini 'Enabled' ve 'IsAzureMonitorTargetEnabled' değerini true olarak belirtin.
Denetimi yapılandırmak için REST API kullanılırken, veritabanında 'SQLSecurityAuditEvents' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Sunucu düzeyinde denetim için 'ana' veritabanını {databaseName} olarak kullanmanız gerektiğini unutmayın.
Tanılama Ayarları URI biçimi: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell
isAzureMonitorTargetEnabled?: booleanÖzellik Değeri
boolean
isDevopsAuditEnabled
Devops denetiminin durumunu belirtir. Durum Etkinse devops günlükleri Azure İzleyici'ye gönderilir. Olayları Azure İzleyici'ye göndermek için 'State' değerini 'Enabled', 'IsAzureMonitorTargetEnabled' değerini true ve 'IsDevopsAuditEnabled' değerini true olarak belirtin
Denetimi yapılandırmak için REST API kullanılırken, ana veritabanında 'DevOpsOperationsAudit' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır.
Tanılama Ayarları URI biçimi: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell
isDevopsAuditEnabled?: booleanÖzellik Değeri
boolean
isManagedIdentityInUse
Yönetilen Kimliğin blob depolamaya erişmek için kullanılıp kullanılmayacağını belirtir
isManagedIdentityInUse?: booleanÖzellik Değeri
boolean
isStorageSecondaryKeyInUse
storageAccountAccessKey değerinin depolamanın ikincil anahtarı olup olmadığını belirtir.
isStorageSecondaryKeyInUse?: booleanÖzellik Değeri
boolean
predicateExpression
Denetim oluştururken where yan tümcesinin koşulunu belirtir.
predicateExpression?: stringÖzellik Değeri
string
queueDelayMs
Denetim eylemlerinin işlenmesine zorlanmadan önce geçen süreyi milisaniye cinsinden belirtir. Varsayılan en düşük değer 1000 'dir (1 saniye). Maksimum değer 2.147.483.647'dir.
queueDelayMs?: numberÖzellik Değeri
number
retentionDays
Depolama hesabındaki denetim günlüklerinde tutulacak gün sayısını belirtir.
retentionDays?: numberÖzellik Değeri
number
state
Denetimin durumunu belirtir. Durum Etkinse storageEndpoint veya IsAzureMonitorTargetEnabled gereklidir.
state?: BlobAuditingPolicyStateÖzellik Değeri
storageAccountAccessKey
Denetim depolama hesabının tanımlayıcı anahtarını belirtir. Durum Etkinse ve storageEndpoint belirtilirse, storageAccountAccessKey belirtilmemesi depolamaya erişmek için SQL server sistem tarafından atanan yönetilen kimliği kullanır. Yönetilen kimlik kimlik doğrulamasını kullanma önkoşulları:
- SQL Server'a Azure Active Directory'de (AAD) sistem tarafından atanan bir yönetilen kimlik atayın.
- Sunucu kimliğine 'Depolama Blob Verileri Katkıda Bulunanı' RBAC rolü ekleyerek SQL Server kimliğine depolama hesabına erişim izni verin. Daha fazla bilgi için bkz. Yönetilen Kimlik kimlik doğrulaması kullanarak depolama için denetim
storageAccountAccessKey?: stringÖzellik Değeri
string
storageAccountSubscriptionId
Blob depolama aboneliği kimliğini belirtir.
storageAccountSubscriptionId?: stringÖzellik Değeri
string
storageEndpoint
Blob depolama uç noktasını belirtir (örneğin, https://MyAccount.blob.core.windows.net). Durum Etkinse storageEndpoint veyaAzureMonitorTargetEnabled gereklidir.
storageEndpoint?: stringÖzellik Değeri
string
Devralınan Özellik Detayları
id
Kaynak Kimliği. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
id?: stringÖzellik Değeri
string
ProxyResource.id Devralındı
name
Kaynak adı. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
name?: stringÖzellik Değeri
string
type
Kaynak türü. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
type?: stringÖzellik Değeri
string
ProxyResource.typeDevralındı