Servery Microsoft.Sql/ databáze/auditingSettings 2021-11-01
- nejnovější
-
2024-05-01-preview -
2023-08-01-preview -
2023-05-01-preview -
2023-023-01-preview - 11. 11. 2022 ve verzi Preview
- 2022-08-01-preview
-
2022-05-01-preview -
2022-022-01-preview - 11. 11. 2021
-
11. 11. 2021 ve verzi Preview -
2021-08-01-Preview - z 5. 5. 2021 ve verzi Preview
-
2021-021-01-Preview -
11. 11. 2020 ve verzi Preview -
2020-08-01-preview -
2020-020-02-preview - 03. 3. 2017 ve verzi Preview
-
2015-05-01-preview
Definice prostředku Bicep
Typ prostředku servers,databases/auditingSettings je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Sql/servers/databases/auditingSettings, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Sql/servers/databases/auditingSettings@2021-11-01' = {
parent: resourceSymbolicName
name: 'default'
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Hodnoty vlastností
DatabaseBlobAuditingPolicyProperties
Jméno | Popis | Hodnota |
---|---|---|
auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Mezi podporované akce auditu patří: VYBRAT AKTUALIZACE VLOŽIT VYMAZAT PROVÉST OBDRŽET ODKAZY Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
string[] |
isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
isManagedIdentityInUse | Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. | Bool |
isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | Bool |
queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
Int |
retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | Int |
stát | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
storageAccountAccessKey | Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity: 1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity |
řetězec Omezení: Citlivá hodnota. Předejte ho jako zabezpečený parametr. |
storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
storageEndpoint | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled. | řetězec |
Microsoft.Sql/servers/databases/auditingSettings
Jméno | Popis | Hodnota |
---|---|---|
Jméno | Název prostředku | Výchozí (povinné) |
rodič | V bicep můžete zadat nadřazený prostředek pro podřízený prostředek. Tuto vlastnost je potřeba přidat pouze v případě, že je podřízený prostředek deklarován mimo nadřazený prostředek. Další informace najdete v tématu Podřízený prostředek mimo nadřazený prostředek. |
Symbolický název prostředku typu: servery nebo databáze |
vlastnosti | Vlastnosti prostředku. | DatabaseBlobAuditingPolicyProperties |
Definice prostředku šablony ARM
Typ prostředku servers,databases/auditingSettings je možné nasadit s operacemi, které cílí:
- skupiny prostředků – viz příkazy nasazení skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Sql/servers/databases/auditingSettings, přidejte do šablony následující KÓD JSON.
{
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"apiVersion": "2021-11-01",
"name": "string",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Hodnoty vlastností
DatabaseBlobAuditingPolicyProperties
Jméno | Popis | Hodnota |
---|---|---|
auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Mezi podporované akce auditu patří: VYBRAT AKTUALIZACE VLOŽIT VYMAZAT PROVÉST OBDRŽET ODKAZY Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
string[] |
isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
isManagedIdentityInUse | Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. | Bool |
isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | Bool |
queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
Int |
retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | Int |
stát | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
storageAccountAccessKey | Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity: 1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity |
řetězec Omezení: Citlivá hodnota. Předejte ho jako zabezpečený parametr. |
storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
storageEndpoint | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled. | řetězec |
Microsoft.Sql/servers/databases/auditingSettings
Jméno | Popis | Hodnota |
---|---|---|
apiVersion | Verze rozhraní API | '2021-11-01' |
Jméno | Název prostředku | Výchozí (povinné) |
vlastnosti | Vlastnosti prostředku. | DatabaseBlobAuditingPolicyProperties |
typ | Typ prostředku | Microsoft.Sql/servers/databases/auditingSettings |
Definice prostředku Terraformu (poskytovatel AzAPI)
Typ prostředku servers,databases/auditingSettings je možné nasadit s operacemi, které cílí:
- skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Sql/servers/databases/auditingSettings, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/databases/auditingSettings@2021-11-01"
name = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Hodnoty vlastností
DatabaseBlobAuditingPolicyProperties
Jméno | Popis | Hodnota |
---|---|---|
auditActionsAndGroups | Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Mezi podporované akce auditu patří: VYBRAT AKTUALIZACE VLOŽIT VYMAZAT PROVÉST OBDRŽET ODKAZY Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
string[] |
isAzureMonitorTargetEnabled | Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, jako true zadejte State a IsAzureMonitorTargetEnabled. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu rozhraní REST API nastavení diagnostiky nebo nastavení diagnostiky PowerShellu |
Bool |
isManagedIdentityInUse | Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. | Bool |
isStorageSecondaryKeyInUse | Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. | Bool |
queueDelayMs | Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
Int |
retentionDays | Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. | Int |
stát | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. | Zakázáno Povoleno (povinné) |
storageAccountAccessKey | Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity: 1. Přiřaďte SQL Serveru spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD). 2. Udělte identitě SQL Serveru přístup k účtu úložiště přidáním role RBAC přispěvatele dat objektů blob úložiště k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity |
řetězec Omezení: Citlivá hodnota. Předejte ho jako zabezpečený parametr. |
storageAccountSubscriptionId | Určuje ID předplatného úložiště objektů blob. | řetězec Omezení: Minimální délka = 36 Maximální délka = 36 Model = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
storageEndpoint | Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled. | řetězec |
Microsoft.Sql/servers/databases/auditingSettings
Jméno | Popis | Hodnota |
---|---|---|
Jméno | Název prostředku | Výchozí (povinné) |
parent_id | ID prostředku, který je nadřazený pro tento prostředek. | ID prostředku typu: servery nebo databáze |
vlastnosti | Vlastnosti prostředku. | DatabaseBlobAuditingPolicyProperties |
typ | Typ prostředku | "Microsoft.Sql/servers/databases/auditingSettings@2021-11-01" |