你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Sql Pool Blob Auditing Policies - List By Sql Pool

Lists Sql 池的审核设置。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Synapse/workspaces/{workspaceName}/sqlPools/{sqlPoolName}/auditingSettings?api-version=2021-06-01

URI 参数

名称 必需 类型 说明
resourceGroupName
path True

string

资源组的名称。 此名称不区分大小写。

sqlPoolName
path True

string

SQL 池名称

subscriptionId
path True

string

目标订阅的 ID。

workspaceName
path True

string

工作区的名称。

api-version
query True

string

要用于此操作的 API 版本。

响应

名称 类型 说明
200 OK

SqlPoolBlobAuditingPolicyListResult

已成功检索 Sql 池审核设置。

Other Status Codes

错误响应: ***

  • 400 BlobAuditingIsNotSupportedOnResourceType - 此资源类型当前不支持 Blob 审核。

  • 404 SourceDatabaseNotFound - 源数据库不存在。

  • 404 DatabaseDoesNotExist - 用户指定了此服务器实例上不存在的数据库名称。

  • 500 DatabaseIsUnavailable - 加载失败。 请稍后再试。

示例

List audit settings of a database

示例请求

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Synapse/workspaces/blobauditingtest-2080/sqlPools/testdb/auditingSettings?api-version=2021-06-01

示例响应

{
  "value": [
    {
      "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Synapse/workspaces/blobauditingtest-2080/sqlPools/testdb",
      "name": "default",
      "type": "Microsoft.Synapse/workspaces/sqlPools/auditingSettings",
      "kind": "V12",
      "properties": {
        "state": "Disabled",
        "storageEndpoint": "",
        "retentionDays": 0,
        "auditActionsAndGroups": [],
        "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
        "isStorageSecondaryKeyInUse": false,
        "isAzureMonitorTargetEnabled": false
      }
    }
  ]
}

定义

名称 说明
BlobAuditingPolicyState

指定策略的状态。 如果状态为“已启用”,则需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

SqlPoolBlobAuditingPolicy

Sql 池 Blob 审核策略。

SqlPoolBlobAuditingPolicyListResult

Sql 池审核设置的列表。

BlobAuditingPolicyState

指定策略的状态。 如果状态为“已启用”,则需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

名称 类型 说明
Disabled

string

Enabled

string

SqlPoolBlobAuditingPolicy

Sql 池 Blob 审核策略。

名称 类型 默认值 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind

string

资源类型。

name

string

资源的名称

properties.auditActionsAndGroups

string[]

指定要审核的 Actions-Groups 和操作。

建议使用的操作组集如下组合 - 这将审核针对数据库执行的所有查询和存储过程,以及成功和失败的登录:

BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。

上述组合也是从Azure 门户启用审核时默认配置的集。

要审核的受支持操作组 (注意:仅选择满足审核需求的特定组。使用不必要的组可能会导致大量审核记录) :

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

这些组涵盖针对数据库执行的所有 sql 语句和存储过程,不应与其他组结合使用,因为这将导致重复的审核日志。

有关详细信息,请参阅 数据库级审核操作组

对于数据库审核策略,还可以指定特定操作 (请注意,不能为服务器审核策略指定操作) 。 支持审核的操作包括:SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

用于定义要审核的操作的一般形式是:{action} ON {object} BY {principal}

请注意,上述格式可以引用对象,例如表、视图或存储过程,或者整个数据库或架构。 对于后一种情况,将分别使用形式 DATABASE::{db_name} 和 SCHEMA::{schema_name}。

例如:DBo.myTable 上的 SELECT by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public SELECT by public

有关详细信息,请参阅 数据库级审核操作

properties.isAzureMonitorTargetEnabled

boolean

False

指定是否将审核事件发送到 Azure Monitor。 若要将事件发送到 Azure Monitor,请将“state”指定为“Enabled”,将“isAzureMonitorTargetEnabled”指定为 true。

使用 REST API 配置审核时,还应在数据库上创建具有“SQLSecurityAuditEvents”诊断日志类别的诊断设置。 请注意,对于服务器级别审核,应将“master”数据库用作 {databaseName}。

诊断设置 URI 格式:PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

有关详细信息,请参阅 诊断设置 REST API诊断设置 PowerShell

properties.isStorageSecondaryKeyInUse

boolean

指定 storageAccountAccessKey 值是否为存储的辅助密钥。

properties.retentionDays

integer

指定要在存储帐户的审核日志中保留的天数。

properties.state

BlobAuditingPolicyState

指定策略的状态。 如果状态为“已启用”,则需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

properties.storageAccountAccessKey

string

指定审核存储帐户的标识符密钥。 如果状态为 Enabled 且指定 storageEndpoint,则需要 storageAccountAccessKey。

properties.storageAccountSubscriptionId

string

指定 Blob 存储订阅 ID。

properties.storageEndpoint

string

指定 blob 存储终结点 (例如 https://MyAccount.blob.core.windows.net) 。 如果状态为“已启用”,则需要 storageEndpoint。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

SqlPoolBlobAuditingPolicyListResult

Sql 池审核设置的列表。

名称 类型 说明
nextLink

string

用于检索下一页结果的链接。

value

SqlPoolBlobAuditingPolicy[]

结果数组。