Microsoft.Sql Servers/auditingSettings 2021-11-01
- nejnovější
-
2024-05-01-preview -
2023-08-01-preview -
2023-05-01-preview -
2023-023-01-preview - 11. 11. 2022 ve verzi Preview
- 2022-08-01-preview
-
2022-05-01-preview -
2022-022-01-preview - 11. 11. 2021
-
11. 11. 2021 ve verzi Preview -
2021-08-01-Preview - z 5. 5. 2021 ve verzi Preview
-
2021-021-01-Preview -
11. 11. 2020 ve verzi Preview -
2020-08-01-preview -
2020-020-02-preview - 03. 3. 2017 ve verzi Preview
Definice prostředku Bicep
Typ prostředku servers/auditingSettings je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Sql/servers/auditingSettings, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Sql/servers/auditingSettings@2021-11-01' = {
parent: resourceSymbolicName
name: 'default'
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isDevopsAuditEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Hodnoty vlastností
Microsoft.Sql/servers/auditingSettings
| Jméno | Popis | Hodnota |
|---|---|---|
| Jméno | Název prostředku | Výchozí (povinné) |
| rodič | V bicep můžete zadat nadřazený prostředek pro podřízený prostředek. Tuto vlastnost je potřeba přidat pouze v případě, že je podřízený prostředek deklarován mimo nadřazený prostředek. Další informace najdete v tématu Podřízený prostředek mimo nadřazený prostředek. |
Symbolický název prostředku typu: servery |
| vlastnosti | Vlastnosti prostředku. | ServerBlobAuditingPolicyProperties |
ServerBlobAuditingPolicyProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Mezi podporované akce auditu patří: VYBRAT AKTUALIZACE VLOŽIT VYMAZAT PROVÉST OBDRŽET ODKAZY Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
string[] |
| isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
| isDevopsAuditEnabled | Určuje stav auditu DevOps. Pokud je stav povolený, odešlou se do služby Azure Monitor protokoly DevOps. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State, IsAzureMonitorTargetEnabled jako true a IsDevopsAuditEnabled jako true. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů DevOpsOperationsAudit v hlavní databázi. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
| isManagedIdentityInUse | Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. | Bool |
| isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | Bool |
| queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
Int |
| retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | Int |
| stát | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
| storageAccountAccessKey | Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity: 1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity |
řetězec Omezení: Citlivá hodnota. Předejte ho jako zabezpečený parametr. |
| storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled. | řetězec |
Ukázky rychlého startu
Následující ukázky rychlého startu nasadí tento typ prostředku.
| Soubor Bicep | Popis |
|---|---|
| Azure SQL Serveru s auditem napsaným do služby Log Analytics | Tato šablona umožňuje nasadit server Azure SQL s povoleným auditováním pro zápis protokolů auditu do Služby Log Analytics (pracovní prostor OMS). |
| vyhrazený fond SQL s transparentním šifrováním | Vytvoří SQL Server a vyhrazený fond SQL (dříve SQL DW) s transparentním šifrováním dat. |
Definice prostředku šablony ARM
Typ prostředku servers/auditingSettings je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Sql/servers/auditingSettings, přidejte do šablony následující JSON.
{
"type": "Microsoft.Sql/servers/auditingSettings",
"apiVersion": "2021-11-01",
"name": "string",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isDevopsAuditEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Hodnoty vlastností
Microsoft.Sql/servers/auditingSettings
| Jméno | Popis | Hodnota |
|---|---|---|
| apiVersion | Verze rozhraní API | '2021-11-01' |
| Jméno | Název prostředku | Výchozí (povinné) |
| vlastnosti | Vlastnosti prostředku. | ServerBlobAuditingPolicyProperties |
| typ | Typ prostředku | Microsoft.Sql/servers/auditingSettings |
ServerBlobAuditingPolicyProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Mezi podporované akce auditu patří: VYBRAT AKTUALIZACE VLOŽIT VYMAZAT PROVÉST OBDRŽET ODKAZY Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
string[] |
| isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
| isDevopsAuditEnabled | Určuje stav auditu DevOps. Pokud je stav povolený, odešlou se do služby Azure Monitor protokoly DevOps. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State, IsAzureMonitorTargetEnabled jako true a IsDevopsAuditEnabled jako true. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů DevOpsOperationsAudit v hlavní databázi. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
| isManagedIdentityInUse | Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. | Bool |
| isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | Bool |
| queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
Int |
| retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | Int |
| stát | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
| storageAccountAccessKey | Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity: 1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity |
řetězec Omezení: Citlivá hodnota. Předejte ho jako zabezpečený parametr. |
| storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled. | řetězec |
Šablony pro rychlý start
Následující šablony pro rychlý start nasazují tento typ prostředku.
| Šablona | Popis |
|---|---|
|
Azure SQL Serveru s auditem napsaným do služby Log Analytics nasazení  |
Tato šablona umožňuje nasadit server Azure SQL s povoleným auditováním pro zápis protokolů auditu do Služby Log Analytics (pracovní prostor OMS). |
|
vyhrazený fond SQL s transparentním šifrováním nasazení |
Vytvoří SQL Server a vyhrazený fond SQL (dříve SQL DW) s transparentním šifrováním dat. |
Definice prostředku Terraformu (poskytovatel AzAPI)
Typ prostředku servers/auditingSettings je možné nasadit s operacemi, které cílí:
- skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Sql/servers/auditingSettings, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/auditingSettings@2021-11-01"
name = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isDevopsAuditEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Hodnoty vlastností
Microsoft.Sql/servers/auditingSettings
| Jméno | Popis | Hodnota |
|---|---|---|
| Jméno | Název prostředku | Výchozí (povinné) |
| parent_id | ID prostředku, který je nadřazený pro tento prostředek. | ID prostředku typu: servery |
| vlastnosti | Vlastnosti prostředku. | ServerBlobAuditingPolicyProperties |
| typ | Typ prostředku | "Microsoft.Sql/servers/auditingSettings@2021-11-01" |
ServerBlobAuditingPolicyProperties
| Jméno | Popis | Hodnota |
|---|---|---|
| auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Mezi podporované akce auditu patří: VYBRAT AKTUALIZACE VLOŽIT VYMAZAT PROVÉST OBDRŽET ODKAZY Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
string[] |
| isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
| isDevopsAuditEnabled | Určuje stav auditu DevOps. Pokud je stav povolený, odešlou se do služby Azure Monitor protokoly DevOps. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State, IsAzureMonitorTargetEnabled jako true a IsDevopsAuditEnabled jako true. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů DevOpsOperationsAudit v hlavní databázi. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
| isManagedIdentityInUse | Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. | Bool |
| isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | Bool |
| queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
Int |
| retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | Int |
| stát | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
| storageAccountAccessKey | Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity: 1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity |
řetězec Omezení: Citlivá hodnota. Předejte ho jako zabezpečený parametr. |
| storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled. | řetězec |