Sdílet prostřednictvím

ExtendedDatabaseBlobAuditingPolicy interface

  • Reference
Balíček:
@azure/arm-sql

Rozšířené zásady auditování objektů blob databáze.

Extends
ProxyResource

Vlastnosti

auditActionsAndGroups

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tím se auditují všechny dotazy a uložené procedury spuštěné v databázi a také úspěšná a neúspěšná přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Zvolte jenom konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Skupiny akcí auditování na úrovni databáze.

Pro zásady auditování databáze je také možné zadat konkrétní akce (všimněte si, že akce nelze zadat pro zásady auditování serveru). Podporované akce pro audit jsou: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCE.

Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal}

Všimněte si, že ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo celá databáze nebo schéma. V těchto případech se používají formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí.

Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Akce auditu na úrovni databáze.
isAzureMonitorTargetEnabled

Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Služby Azure Monitor, zadejte State jako Enabled a IsAzureMonitorTargetEnabled jako true.

Při použití rozhraní REST API ke konfiguraci auditování by se měla v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu Nastavení diagnostiky rozhraní REST API nebo Nastavení diagnostiky v PowerShellu.
isManagedIdentityInUse

Určuje, jestli se pro přístup k úložišti objektů blob používá spravovaná identita.
isStorageSecondaryKeyInUse

Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.
predicateExpression

Určuje podmínku klauzule where při vytváření auditu.
queueDelayMs

Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.
retentionDays

Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.
state

Určuje stav auditu. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled.
storageAccountAccessKey

Určuje klíč identifikátoru účtu úložiště auditování. Pokud je stav Povoleno a je zadaný parametr storageEndpoint, nezadáte-li klíč storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru. Předpoklady pro použití ověřování spravované identity:

  1. Přiřazení SQL Server spravované identity přiřazené systémem v Azure Active Directory (AAD).
  2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat objektů blob služby Storage k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity.
storageAccountSubscriptionId

Určuje ID předplatného úložiště objektů blob.
storageEndpoint

Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled.

Zděděné vlastnosti

id

ID prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Může ho naplnit pouze server.
name

Název prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Může ho naplnit pouze server.
type

Typ prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Může ho naplnit pouze server.

Podrobnosti vlastnosti

auditActionsAndGroups

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tím se auditují všechny dotazy a uložené procedury spuštěné v databázi a také úspěšná a neúspěšná přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Zvolte jenom konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Skupiny akcí auditování na úrovni databáze.

Pro zásady auditování databáze je také možné zadat konkrétní akce (všimněte si, že akce nelze zadat pro zásady auditování serveru). Podporované akce pro audit jsou: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCE.

Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal}

Všimněte si, že ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo celá databáze nebo schéma. V těchto případech se používají formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí.

Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Akce auditu na úrovni databáze.

auditActionsAndGroups?: string[]

Hodnota vlastnosti

string[]

isAzureMonitorTargetEnabled

Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Služby Azure Monitor, zadejte State jako Enabled a IsAzureMonitorTargetEnabled jako true.

Při použití rozhraní REST API ke konfiguraci auditování by se měla v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu Nastavení diagnostiky rozhraní REST API nebo Nastavení diagnostiky v PowerShellu.

isAzureMonitorTargetEnabled?: boolean

Hodnota vlastnosti

boolean

isManagedIdentityInUse

Určuje, jestli se pro přístup k úložišti objektů blob používá spravovaná identita.

isManagedIdentityInUse?: boolean

Hodnota vlastnosti

boolean

isStorageSecondaryKeyInUse

Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.

isStorageSecondaryKeyInUse?: boolean

Hodnota vlastnosti

boolean

predicateExpression

Určuje podmínku klauzule where při vytváření auditu.

predicateExpression?: string

Hodnota vlastnosti

string

queueDelayMs

Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.

queueDelayMs?: number

Hodnota vlastnosti

number

retentionDays

Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.

retentionDays?: number

Hodnota vlastnosti

number

state

Určuje stav auditu. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled.

state?: BlobAuditingPolicyState

Hodnota vlastnosti

BlobAuditingPolicyState

storageAccountAccessKey

Určuje klíč identifikátoru účtu úložiště auditování. Pokud je stav Povoleno a je zadaný parametr storageEndpoint, nezadáte-li klíč storageAccountAccessKey, použije se pro přístup k úložišti spravovaná identita přiřazená systémem SQL Serveru. Předpoklady pro použití ověřování spravované identity:

  1. Přiřazení SQL Server spravované identity přiřazené systémem v Azure Active Directory (AAD).
  2. Udělte SQL Server identitě přístup k účtu úložiště přidáním role RBAC Přispěvatel dat objektů blob služby Storage k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity.
storageAccountAccessKey?: string

Hodnota vlastnosti

string

storageAccountSubscriptionId

Určuje ID předplatného úložiště objektů blob.

storageAccountSubscriptionId?: string

Hodnota vlastnosti

string

storageEndpoint

Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled.

storageEndpoint?: string

Hodnota vlastnosti

string

Podrobnosti zděděných vlastností

id

ID prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Může ho naplnit pouze server.

id?: string

Hodnota vlastnosti

string

Zděděno zProxyResource.id

name

Název prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Může ho naplnit pouze server.

name?: string

Hodnota vlastnosti

string

Zděděno zProxyResource.name

type

Typ prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Může ho naplnit pouze server.

type?: string

Hodnota vlastnosti

string

Zděděno zProxyResource.type