Delen via

DatabaseBlobAuditingPolicy interface

  • Referentie
Pakket:
@azure/arm-sql

Een database-blobcontrolebeleid.

Uitbreiding
ProxyResource

Eigenschappen

auditActionsAndGroups

Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd.

De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal.

De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken.

Zie Database-Level Actiegroepen controlerenvoor meer informatie.

Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd zijn: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Het algemene formulier voor het definiƫren van een te controleren actie is: {action} ON {object} BY {principal}

Houd er rekening mee dat in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt.

Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Zie Database-Level Controleacties voor meer informatie
isAzureMonitorTargetEnabled

Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar.

Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}.

URI-indeling voor diagnostische instellingen: PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Zie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen PowerShell
isManagedIdentityInUse

Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag
isStorageSecondaryKeyInUse

Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.
kind

Resourcetype. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.
queueDelayMs

Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.
retentionDays

Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.
state

Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.
storageAccountAccessKey

Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten:

  1. Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD).
  2. Verdeel SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol 'Inzender voor opslagblobgegevens' toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
storageAccountSubscriptionId

Hiermee geeft u de id van het blob-opslagabonnement op.
storageEndpoint

Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.

Overgenomen eigenschappen

id

Resource-id. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.
name

Resourcenaam. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.
type

Resourcetype. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.

Eigenschapdetails

auditActionsAndGroups

Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd.

De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal.

De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken.

Zie Database-Level Actiegroepen controlerenvoor meer informatie.

Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd zijn: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Het algemene formulier voor het definiƫren van een te controleren actie is: {action} ON {object} BY {principal}

Houd er rekening mee dat in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt.

Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Zie Database-Level Controleacties voor meer informatie

auditActionsAndGroups?: string[]

Waarde van eigenschap

string[]

isAzureMonitorTargetEnabled

Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar.

Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}.

URI-indeling voor diagnostische instellingen: PUT-https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Zie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen PowerShell

isAzureMonitorTargetEnabled?: boolean

Waarde van eigenschap

boolean

isManagedIdentityInUse

Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag

isManagedIdentityInUse?: boolean

Waarde van eigenschap

boolean

isStorageSecondaryKeyInUse

Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.

isStorageSecondaryKeyInUse?: boolean

Waarde van eigenschap

boolean

kind

Resourcetype. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.

kind?: string

Waarde van eigenschap

string

queueDelayMs

Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.

queueDelayMs?: number

Waarde van eigenschap

number

retentionDays

Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.

retentionDays?: number

Waarde van eigenschap

number

state

Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.

state?: BlobAuditingPolicyState

Waarde van eigenschap

BlobAuditingPolicyState

storageAccountAccessKey

Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten:

  1. Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD).
  2. Verdeel SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol 'Inzender voor opslagblobgegevens' toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
storageAccountAccessKey?: string

Waarde van eigenschap

string

storageAccountSubscriptionId

Hiermee geeft u de id van het blob-opslagabonnement op.

storageAccountSubscriptionId?: string

Waarde van eigenschap

string

storageEndpoint

Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.

storageEndpoint?: string

Waarde van eigenschap

string

Details van overgenomen eigenschap

id

Resource-id. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.

id?: string

Waarde van eigenschap

string

overgenomen vanProxyResource.id

name

Resourcenaam. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.

name?: string

Waarde van eigenschap

string

overgenomen vanProxyResource.name

type

Resourcetype. OPMERKING: Deze eigenschap wordt niet geserialiseerd. Deze kan alleen worden ingevuld door de server.

type?: string

Waarde van eigenschap

string

overgenomen vanProxyResource.type