次の方法で共有

ExtendedDatabaseBlobAuditingPolicy クラス

  • リファレンス

拡張データベース BLOB 監査ポリシー。

変数はサーバーによってのみ設定され、要求の送信時には無視されます。

継承
azure.mgmt.sql.models._models_py3.ProxyResource
ExtendedDatabaseBlobAuditingPolicy

コンストラクター

ExtendedDatabaseBlobAuditingPolicy(*, predicate_expression: str | None = None, retention_days: int | None = None, audit_actions_and_groups: List[str] | None = None, is_storage_secondary_key_in_use: bool | None = None, is_azure_monitor_target_enabled: bool | None = None, queue_delay_ms: int | None = None, state: str | BlobAuditingPolicyState | None = None, storage_endpoint: str | None = None, storage_account_access_key: str | None = None, storage_account_subscription_id: str | None = None, **kwargs)

パラメーター

名前 説明
predicate_expression
必須
str

監査の作成時に where 句の条件を指定します。
retention_days
必須
int

ストレージ アカウントの監査ログに保持する日数を指定します。
audit_actions_and_groups
必須
list[str]

監査するActions-Groupsとアクションを指定します。

使用する推奨されるアクション グループのセットは次の組み合わせです。これにより、データベースに対して実行されたすべてのクエリとストアド プロシージャ、および成功したログインと失敗したログインが監査されます。

BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。

上記の組み合わせは、Azure portalからの監査を有効にするときに既定で構成されるセットでもあります。

監査でサポートされているアクション グループは です (注: 監査ニーズをカバーする特定のグループのみを選択してください。不要なグループを使用すると、非常に大量の監査レコードが発生する可能性があります。

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

これらは、データベースに対して実行されるすべての SQL ステートメントとストアド プロシージャをカバーするグループであり、監査ログが重複するため、他のグループと組み合わせて使用しないでください。

詳細については、「 データベース レベルの監査アクション グループ」を参照してください。

データベース監査ポリシーでは、特定のアクションを指定することもできます (サーバー監査ポリシーにはアクションを指定できないことに注意してください)。 監査でサポートされているアクションは次のとおりです。SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

監査対象のアクションを定義するための一般的な形式は、{action} ON {object} BY {principal} です。

<object>上記の形式では、テーブル、ビュー、ストアド プロシージャなどのオブジェクト、またはデータベースまたはスキーマ全体を参照できることに注意してください。 後者の場合は、それぞれ DATABASE::{db_name} と SCHEMA::{schema_name} という形式が使用されます。

例: パブリック SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

詳細については、「 データベース レベルの監査アクション」を参照してください。
is_storage_secondary_key_in_use
必須
bool

storageAccountAccessKey 値がストレージのセカンダリ キーであるかどうかを指定します。
is_azure_monitor_target_enabled
必須
bool

監査イベントを Azure Monitor に送信するかどうかを指定します。 イベントを Azure Monitor に送信するには、'State' を 'Enabled' に、'IsAzureMonitorTargetEnabled' を true に指定します。

REST API を使用して監査を構成する場合は、データベースに 'SQLSecurityAuditEvents' 診断ログ カテゴリを含む診断設定も作成する必要があります。 サーバー レベルの監査では、'master' データベースを {databaseName} として使用する必要があることに注意してください。

診断設定 URI 形式: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

詳細については、「 診断設定 REST API 」または 「診断設定 PowerShell」を参照してください。
queue_delay_ms
必須
int

監査アクションの処理が強制されるまでの時間 (ミリ秒単位) を指定します。 既定の最小値は 1000 (1 秒) です。 最大値は 2,147,483,647 です。
state
必須
str または BlobAuditingPolicyState

監査の状態を指定します。 state が Enabled の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 使用可能な値は、"Enabled"、"Disabled" です。
storage_endpoint
必須
str

BLOB ストレージ エンドポイント (例: ) を指定します。 https://MyAccount.blob.core.windows.net state が Enabled の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。
storage_account_access_key
必須
str

監査ストレージ アカウントの識別子キーを指定します。 state が Enabled で storageEndpoint が指定されている場合、storageAccountAccessKey を指定しないと、SQL Server システム割り当てマネージド ID を使用してストレージにアクセスします。 マネージド ID 認証を使用するための前提条件:

  1. Azure Active Directory (AAD) でシステム割り当てマネージド ID SQL Server割り当てます。

#. "ストレージ BLOB データ共同作成者" RBAC ロールをサーバー ID に追加して、SQL Server ID にストレージ アカウントへのアクセス権を付与します。

詳細については、「マネージド ID 認証を使用したストレージへの監査」<<を参照してください>>。

<https://go.microsoft.com/fwlink/?linkid=2114355>`_.
storage_account_subscription_id
必須
str

BLOB ストレージ サブスクリプション ID を指定します。

Keyword-Only パラメータ

名前 説明
predicate_expression
必須
retention_days
必須
audit_actions_and_groups
必須
is_storage_secondary_key_in_use
必須
is_azure_monitor_target_enabled
必須
queue_delay_ms
必須
state
必須
storage_endpoint
必須
storage_account_access_key
必須
storage_account_subscription_id
必須

変数

名前 説明
id
str

リソースの ID
name
str

リソース名。
type
str

リソースの種類。