Database Blob Auditing Policies - Get

Usługa:

SQL Database

Wersja interfejsu API:

2023-08-01

Pobiera zasady inspekcji obiektów blob bazy danych.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/auditingSettings/default?api-version=2023-08-01

Parametry identyfikatora URI

Nazwa	W	Wymagane	Typ	Opis
blobAuditingPolicyName	path	True	blobAuditingPolicyName	Nazwa zasad inspekcji obiektów blob.
databaseName	path	True	string	Nazwa bazy danych.
resourceGroupName	path	True	string	Nazwa grupy zasobów zawierającej zasób. Tę wartość można uzyskać z interfejsu API usługi Azure Resource Manager lub portalu.
serverName	path	True	string	Nazwa serwera.
subscriptionId	path	True	string	Identyfikator subskrypcji identyfikujący subskrypcję platformy Azure.
api-version	query	True	string	Wersja interfejsu API do użycia dla żądania.

Odpowiedzi

Nazwa	Typ	Opis
200 OK	DatabaseBlobAuditingPolicy	Pomyślnie pobrano zasady inspekcji obiektów blob bazy danych.
Other Status Codes	ErrorResponse	Odpowiedzi na błędy: *** 400 BlobAuditingIsNotSupportedOnResourceType — inspekcja obiektów blob nie jest obecnie obsługiwana dla tego typu zasobu. 404 DatabaseDoesNotExist — użytkownik określił nazwę bazy danych, która nie istnieje w tym wystąpieniu serwera. 404 SourceDatabaseNotFound — źródłowa baza danych nie istnieje. 500 DatabaseIsUnavailable — ładowanie nie powiodło się. Spróbuj ponownie później.

Przykłady

Get a database's blob auditing policy

Przykładowe żądanie

HTTP

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb/auditingSettings/default?api-version=2023-08-01

Przykładowa odpowiedź

Kod stanu:

200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb",
  "name": "default",
  "type": "Microsoft.Sql/servers/databases/auditingSettings",
  "kind": "V12",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false
  }
}

Definicje

Nazwa	Opis
blobAuditingPolicyName	Nazwa zasad inspekcji obiektów blob.
BlobAuditingPolicyState	Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.
DatabaseBlobAuditingPolicy	Zasady inspekcji obiektów blob bazy danych.
ErrorAdditionalInfo	Dodatkowe informacje o błędzie zarządzania zasobami.
ErrorDetail	Szczegóły błędu.
ErrorResponse	Odpowiedź na błąd

blobAuditingPolicyName

Wyliczanie

Nazwa zasad inspekcji obiektów blob.

Wartość	Opis
default

BlobAuditingPolicyState

Wyliczanie

Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.

Wartość	Opis
Disabled
Enabled

DatabaseBlobAuditingPolicy

Objekt

Zasady inspekcji obiektów blob bazy danych.

Nazwa	Typ	Opis
id	string	Identyfikator zasobu.
kind	string	Rodzaj zasobu.
name	string	Nazwa zasobu.
properties.auditActionsAndGroups	string[]	Określa Actions-Groups i akcje do inspekcji. Zalecany zestaw grup akcji do użycia jest następującą kombinacją — spowoduje to inspekcję wszystkich zapytań i procedur składowanych wykonywanych względem bazy danych, a także pomyślnych i zakończonych niepowodzeniem logowań: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Ta powyżej kombinacja jest również zestawem skonfigurowanym domyślnie podczas włączania inspekcji w witrynie Azure Portal. Obsługiwane grupy akcji do inspekcji to (uwaga: wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Użycie niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to zduplikowanie dzienników inspekcji. Aby uzyskać więcej informacji, zobacz Database-Level Inspekcja grup akcji. W przypadku zasad inspekcji bazy danych można również określić określone akcje (należy pamiętać, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane akcje do inspekcji to: WYBIERZ POZYCJĘ AKTUALIZUJ OPERACJĘ WSTAWIANIA USUŃ WYKONAJ ODWOŁANIA DO ODBIERANIA Ogólny formularz definiowania akcji do inspekcji to: {action} ON {object} BY {principal} Należy pamiętać, że w powyższym formacie można odwoływać się do obiektu, takiego jak tabela, widok lub procedura składowana albo cała baza danych lub schemat. W tych ostatnich przypadkach używane są odpowiednio formularze DATABASE::{db_name} i SCHEMA::{schema_name}. Na przykład: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Aby uzyskać więcej informacji, zobacz Database-Level Akcje inspekcji
properties.isAzureMonitorTargetEnabled	boolean	Określa, czy zdarzenia inspekcji są wysyłane do usługi Azure Monitor. Aby wysyłać zdarzenia do usługi Azure Monitor, określ wartość "State" jako "Enabled" i "IsAzureMonitorTargetEnabled" jako true. W przypadku konfigurowania inspekcji przy użyciu interfejsu API REST należy również utworzyć kategorię dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych "master" jako {databaseName}. Format identyfikatora URI ustawień diagnostycznych: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne interfejsu API REST lub ustawienia diagnostyczne Programu PowerShell
properties.isManagedIdentityInUse	boolean	Określa, czy tożsamość zarządzana jest używana do uzyskiwania dostępu do magazynu obiektów blob
properties.isStorageSecondaryKeyInUse	boolean	Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.
properties.queueDelayMs	integer (int32)	Określa czas w milisekundach, który może upłynąć przed wymuszeniem przetworzenia akcji inspekcji. Domyślna wartość minimalna to 1000 (1 sekunda). Maksymalna wartość to 2147 483 647.
properties.retentionDays	integer (int32)	Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.
properties.state	BlobAuditingPolicyState	Określa stan inspekcji. Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.
properties.storageAccountAccessKey	string	Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony, a punkt storageEndpoint jest określony, nie określa wartości storageAccountAccessKey będzie używać przypisanej przez system tożsamości zarządzanej programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej: Przypisz program SQL Server tożsamość zarządzaną przypisaną przez system w usłudze Azure Active Directory (AAD). Udziel tożsamości programu SQL Server dostępu do konta magazynu, dodając rolę RBAC współautora danych obiektu blob usługi Storage do tożsamości serwera. Aby uzyskać więcej informacji, zobacz Inspekcja w magazynie przy użyciu uwierzytelniania tożsamości zarządzanej
properties.storageAccountSubscriptionId	string (uuid)	Określa identyfikator subskrypcji magazynu obiektów blob.
properties.storageEndpoint	string	Określa punkt końcowy magazynu obiektów blob (np. https://MyAccount.blob.core.windows.net). Jeśli stan jest włączony, wymagany jest parametr storageEndpoint lub isAzureMonitorTargetEnabled.
type	string	Typ zasobu.

ErrorAdditionalInfo

Objekt

Dodatkowe informacje o błędzie zarządzania zasobami.

Nazwa	Typ	Opis
info	object	Dodatkowe informacje.
type	string	Dodatkowy typ informacji.

ErrorDetail

Objekt

Szczegóły błędu.

Nazwa	Typ	Opis
additionalInfo	ErrorAdditionalInfo[]	Dodatkowe informacje o błędzie.
code	string	Kod błędu.
details	ErrorDetail[]	Szczegóły błędu.
message	string	Komunikat o błędzie.
target	string	Element docelowy błędu.

ErrorResponse

Objekt

Odpowiedź na błąd

Nazwa	Typ	Opis
error	ErrorDetail	Obiekt błędu.