Compartilhar via


Microsoft.Sql servers/databases/extendedAuditingSettings 2022-02-01-preview

Definição de recurso do Bicep

O tipo de recurso servers/databases/extendedAuditingSettings pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.Sql/servers/databases/extendedAuditingSettings, adicione o Bicep a seguir ao seu modelo.

resource symbolicname 'Microsoft.Sql/servers/databases/extendedAuditingSettings@2022-02-01-preview' = {
  parent: resourceSymbolicName
  name: 'default'
  properties: {
    auditActionsAndGroups: [
      'string'
    ]
    isAzureMonitorTargetEnabled: bool
    isManagedIdentityInUse: bool
    isStorageSecondaryKeyInUse: bool
    predicateExpression: 'string'
    queueDelayMs: int
    retentionDays: int
    state: 'string'
    storageAccountAccessKey: 'string'
    storageAccountSubscriptionId: 'string'
    storageEndpoint: 'string'
  }
}

Valores de propriedade

ExtendedDatabaseBlobAuditingPolicyProperties

Nome Descrição Valor
auditActionsAndGroups Especifica o Actions-Groups e as Ações a serem auditádas.

O conjunto recomendado de grupos de ações a ser usado é a seguinte combinação: isso auditará todas as consultas e procedimentos armazenados executados no banco de dados, bem como logons bem-sucedidos e com falha:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Essa combinação acima também é o conjunto configurado por padrão ao habilitar a auditoria do portal do Azure.

Os grupos de ações com suporte para auditoria são (observação: escolha apenas grupos específicos que abrangem suas necessidades de auditoria. O uso de grupos desnecessários pode levar a grandes quantidades de registros de auditoria):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

Esses são grupos que abrangem todas as instruções sql e procedimentos armazenados executados no banco de dados e não devem ser usados em combinação com outros grupos, pois isso resultará em logs de auditoria duplicados.

Para obter mais informações, consulte Database-Level Grupos de Ações de Auditoria.

Para a política de auditoria de banco de dados, ações específicas também podem ser especificadas (observe que ações não podem ser especificadas para a política de auditoria do servidor). As ações com suporte para auditoria são:
SELECIONAR
ATUALIZAÇÃO
INSERIR
EXCLUIR
EXECUTAR
RECEBER
REFERÊNCIAS

O formulário geral para definir uma ação a ser auditada é:
{action} ON {object} BY {principal}

Observe que <objeto> no formato acima pode se referir a um objeto como uma tabela, exibição ou procedimento armazenado ou um banco de dados ou esquema inteiro. Para os últimos casos, os formulários DATABASE::{db_name} e SCHEMA::{schema_name} são usados, respectivamente.

Por exemplo:
SELECT em dbo.myTable por público
SELECT em DATABASE::myDatabase por público
SELECT on SCHEMA::mySchema by public

Para obter mais informações, consulte Database-Level Ações de Auditoria
string[]
isAzureMonitorTargetEnabled Especifica se os eventos de auditoria são enviados ao Azure Monitor.
Para enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como true.

Ao usar a API REST para configurar a auditoria, as Configurações de Diagnóstico com a categoria de logs de diagnóstico 'SQLSecurityAuditEvents' no banco de dados também devem ser criadas.
Observe que, para auditoria no nível do servidor, você deve usar o banco de dados 'mestre' como {databaseName}.

Formato de URI de Configurações de Diagnóstico:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Para obter mais informações, consulte API REST de Configurações de Diagnóstico
ou do PowerShell de configurações de diagnóstico de
Bool
isManagedIdentityInUse Especifica se a Identidade Gerenciada é usada para acessar o armazenamento de blobs Bool
isStorageSecondaryKeyInUse Especifica se o valor storageAccountAccessKey é a chave secundária do armazenamento. Bool
predicateExpression Especifica a condição de onde a cláusula ao criar uma auditoria. corda
queueDelayMs Especifica a quantidade de tempo em milissegundos que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas.
O valor mínimo padrão é 1000 (1 segundo). O máximo é 2.147.483.647.
int
retentionDays Especifica o número de dias a serem mantidos nos logs de auditoria na conta de armazenamento. int
estado Especifica o estado da auditoria. Se o estado estiver habilitado, storageEndpoint ou isAzureMonitorTargetEnabled serão necessários. 'Desabilitado'
'Enabled' (obrigatório)
storageAccountAccessKey Especifica a chave do identificador da conta de armazenamento de auditoria.
Se o estado estiver habilitado e o storageEndpoint for especificado, não especificar o storageAccountAccessKey usará a identidade gerenciada atribuída pelo sistema do SQL Server para acessar o armazenamento.
Pré-requisitos para usar a autenticação de identidade gerenciada:
1. Atribuir ao SQL Server uma identidade gerenciada atribuída pelo sistema no AAD (Azure Active Directory).
2. Conceda acesso à identidade do SQL Server à conta de armazenamento adicionando a função RBAC 'Colaborador de Dados de Blob de Armazenamento' à identidade do servidor.
Para obter mais informações, consulte Auditoria no armazenamento usando a autenticação de Identidade Gerenciada
corda

Restrições:
Valor confidencial. Passe como um parâmetro seguro.
storageAccountSubscriptionId Especifica a ID da assinatura do armazenamento de blobs. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Especifica o ponto de extremidade de armazenamento de blobs (por exemplo, https://MyAccount.blob.core.windows.net). Se o estado estiver habilitado, storageEndpoint ou isAzureMonitorTargetEnabled será necessário. corda

Microsoft.Sql/servers/databases/extendedAuditingSettings

Nome Descrição Valor
nome O nome do recurso 'default' (obrigatório)
pai No Bicep, você pode especificar o recurso pai para um recurso filho. Você só precisa adicionar essa propriedade quando o recurso filho é declarado fora do recurso pai.

Para obter mais informações, consulte recurso filho fora do recurso pai.
Nome simbólico para o recurso do tipo: servidores/bancos de dados
Propriedades Propriedades do recurso. ExtendedDatabaseBlobAuditingPolicyProperties

Definição de recurso de modelo do ARM

O tipo de recurso servers/databases/extendedAuditingSettings pode ser implantado com operações direcionadas:

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.Sql/servers/databases/extendedAuditingSettings, adicione o JSON a seguir ao seu modelo.

{
  "type": "Microsoft.Sql/servers/databases/extendedAuditingSettings",
  "apiVersion": "2022-02-01-preview",
  "name": "string",
  "properties": {
    "auditActionsAndGroups": [ "string" ],
    "isAzureMonitorTargetEnabled": "bool",
    "isManagedIdentityInUse": "bool",
    "isStorageSecondaryKeyInUse": "bool",
    "predicateExpression": "string",
    "queueDelayMs": "int",
    "retentionDays": "int",
    "state": "string",
    "storageAccountAccessKey": "string",
    "storageAccountSubscriptionId": "string",
    "storageEndpoint": "string"
  }
}

Valores de propriedade

ExtendedDatabaseBlobAuditingPolicyProperties

Nome Descrição Valor
auditActionsAndGroups Especifica o Actions-Groups e as Ações a serem auditádas.

O conjunto recomendado de grupos de ações a ser usado é a seguinte combinação: isso auditará todas as consultas e procedimentos armazenados executados no banco de dados, bem como logons bem-sucedidos e com falha:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Essa combinação acima também é o conjunto configurado por padrão ao habilitar a auditoria do portal do Azure.

Os grupos de ações com suporte para auditoria são (observação: escolha apenas grupos específicos que abrangem suas necessidades de auditoria. O uso de grupos desnecessários pode levar a grandes quantidades de registros de auditoria):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

Esses são grupos que abrangem todas as instruções sql e procedimentos armazenados executados no banco de dados e não devem ser usados em combinação com outros grupos, pois isso resultará em logs de auditoria duplicados.

Para obter mais informações, consulte Database-Level Grupos de Ações de Auditoria.

Para a política de auditoria de banco de dados, ações específicas também podem ser especificadas (observe que ações não podem ser especificadas para a política de auditoria do servidor). As ações com suporte para auditoria são:
SELECIONAR
ATUALIZAÇÃO
INSERIR
EXCLUIR
EXECUTAR
RECEBER
REFERÊNCIAS

O formulário geral para definir uma ação a ser auditada é:
{action} ON {object} BY {principal}

Observe que <objeto> no formato acima pode se referir a um objeto como uma tabela, exibição ou procedimento armazenado ou um banco de dados ou esquema inteiro. Para os últimos casos, os formulários DATABASE::{db_name} e SCHEMA::{schema_name} são usados, respectivamente.

Por exemplo:
SELECT em dbo.myTable por público
SELECT em DATABASE::myDatabase por público
SELECT on SCHEMA::mySchema by public

Para obter mais informações, consulte Database-Level Ações de Auditoria
string[]
isAzureMonitorTargetEnabled Especifica se os eventos de auditoria são enviados ao Azure Monitor.
Para enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como true.

Ao usar a API REST para configurar a auditoria, as Configurações de Diagnóstico com a categoria de logs de diagnóstico 'SQLSecurityAuditEvents' no banco de dados também devem ser criadas.
Observe que, para auditoria no nível do servidor, você deve usar o banco de dados 'mestre' como {databaseName}.

Formato de URI de Configurações de Diagnóstico:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Para obter mais informações, consulte API REST de Configurações de Diagnóstico
ou do PowerShell de configurações de diagnóstico de
Bool
isManagedIdentityInUse Especifica se a Identidade Gerenciada é usada para acessar o armazenamento de blobs Bool
isStorageSecondaryKeyInUse Especifica se o valor storageAccountAccessKey é a chave secundária do armazenamento. Bool
predicateExpression Especifica a condição de onde a cláusula ao criar uma auditoria. corda
queueDelayMs Especifica a quantidade de tempo em milissegundos que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas.
O valor mínimo padrão é 1000 (1 segundo). O máximo é 2.147.483.647.
int
retentionDays Especifica o número de dias a serem mantidos nos logs de auditoria na conta de armazenamento. int
estado Especifica o estado da auditoria. Se o estado estiver habilitado, storageEndpoint ou isAzureMonitorTargetEnabled serão necessários. 'Desabilitado'
'Enabled' (obrigatório)
storageAccountAccessKey Especifica a chave do identificador da conta de armazenamento de auditoria.
Se o estado estiver habilitado e o storageEndpoint for especificado, não especificar o storageAccountAccessKey usará a identidade gerenciada atribuída pelo sistema do SQL Server para acessar o armazenamento.
Pré-requisitos para usar a autenticação de identidade gerenciada:
1. Atribuir ao SQL Server uma identidade gerenciada atribuída pelo sistema no AAD (Azure Active Directory).
2. Conceda acesso à identidade do SQL Server à conta de armazenamento adicionando a função RBAC 'Colaborador de Dados de Blob de Armazenamento' à identidade do servidor.
Para obter mais informações, consulte Auditoria no armazenamento usando a autenticação de Identidade Gerenciada
corda

Restrições:
Valor confidencial. Passe como um parâmetro seguro.
storageAccountSubscriptionId Especifica a ID da assinatura do armazenamento de blobs. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Especifica o ponto de extremidade de armazenamento de blobs (por exemplo, https://MyAccount.blob.core.windows.net). Se o estado estiver habilitado, storageEndpoint ou isAzureMonitorTargetEnabled será necessário. corda

Microsoft.Sql/servers/databases/extendedAuditingSettings

Nome Descrição Valor
apiVersion A versão da API '2022-02-01-preview'
nome O nome do recurso 'default' (obrigatório)
Propriedades Propriedades do recurso. ExtendedDatabaseBlobAuditingPolicyProperties
tipo O tipo de recurso 'Microsoft.Sql/servers/databases/extendedAuditingSettings'

Definição de recurso do Terraform (provedor de AzAPI)

O tipo de recurso servers/databases/extendedAuditingSettings pode ser implantado com operações direcionadas:

  • grupos de recursos

Para obter uma lista de propriedades alteradas em cada versão da API, consulte de log de alterações.

Formato de recurso

Para criar um recurso Microsoft.Sql/servers/databases/extendedAuditingSettings, adicione o Terraform a seguir ao seu modelo.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Sql/servers/databases/extendedAuditingSettings@2022-02-01-preview"
  name = "string"
  body = jsonencode({
    properties = {
      auditActionsAndGroups = [
        "string"
      ]
      isAzureMonitorTargetEnabled = bool
      isManagedIdentityInUse = bool
      isStorageSecondaryKeyInUse = bool
      predicateExpression = "string"
      queueDelayMs = int
      retentionDays = int
      state = "string"
      storageAccountAccessKey = "string"
      storageAccountSubscriptionId = "string"
      storageEndpoint = "string"
    }
  })
}

Valores de propriedade

ExtendedDatabaseBlobAuditingPolicyProperties

Nome Descrição Valor
auditActionsAndGroups Especifica o Actions-Groups e as Ações a serem auditádas.

O conjunto recomendado de grupos de ações a ser usado é a seguinte combinação: isso auditará todas as consultas e procedimentos armazenados executados no banco de dados, bem como logons bem-sucedidos e com falha:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Essa combinação acima também é o conjunto configurado por padrão ao habilitar a auditoria do portal do Azure.

Os grupos de ações com suporte para auditoria são (observação: escolha apenas grupos específicos que abrangem suas necessidades de auditoria. O uso de grupos desnecessários pode levar a grandes quantidades de registros de auditoria):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP
DBCC_GROUP
DATABASE_OWNERSHIP_CHANGE_GROUP
DATABASE_CHANGE_GROUP
LEDGER_OPERATION_GROUP

Esses são grupos que abrangem todas as instruções sql e procedimentos armazenados executados no banco de dados e não devem ser usados em combinação com outros grupos, pois isso resultará em logs de auditoria duplicados.

Para obter mais informações, consulte Database-Level Grupos de Ações de Auditoria.

Para a política de auditoria de banco de dados, ações específicas também podem ser especificadas (observe que ações não podem ser especificadas para a política de auditoria do servidor). As ações com suporte para auditoria são:
SELECIONAR
ATUALIZAÇÃO
INSERIR
EXCLUIR
EXECUTAR
RECEBER
REFERÊNCIAS

O formulário geral para definir uma ação a ser auditada é:
{action} ON {object} BY {principal}

Observe que <objeto> no formato acima pode se referir a um objeto como uma tabela, exibição ou procedimento armazenado ou um banco de dados ou esquema inteiro. Para os últimos casos, os formulários DATABASE::{db_name} e SCHEMA::{schema_name} são usados, respectivamente.

Por exemplo:
SELECT em dbo.myTable por público
SELECT em DATABASE::myDatabase por público
SELECT on SCHEMA::mySchema by public

Para obter mais informações, consulte Database-Level Ações de Auditoria
string[]
isAzureMonitorTargetEnabled Especifica se os eventos de auditoria são enviados ao Azure Monitor.
Para enviar os eventos para o Azure Monitor, especifique 'State' como 'Enabled' e 'IsAzureMonitorTargetEnabled' como true.

Ao usar a API REST para configurar a auditoria, as Configurações de Diagnóstico com a categoria de logs de diagnóstico 'SQLSecurityAuditEvents' no banco de dados também devem ser criadas.
Observe que, para auditoria no nível do servidor, você deve usar o banco de dados 'mestre' como {databaseName}.

Formato de URI de Configurações de Diagnóstico:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Para obter mais informações, consulte API REST de Configurações de Diagnóstico
ou do PowerShell de configurações de diagnóstico de
Bool
isManagedIdentityInUse Especifica se a Identidade Gerenciada é usada para acessar o armazenamento de blobs Bool
isStorageSecondaryKeyInUse Especifica se o valor storageAccountAccessKey é a chave secundária do armazenamento. Bool
predicateExpression Especifica a condição de onde a cláusula ao criar uma auditoria. corda
queueDelayMs Especifica a quantidade de tempo em milissegundos que pode decorrer antes que as ações de auditoria sejam forçadas a serem processadas.
O valor mínimo padrão é 1000 (1 segundo). O máximo é 2.147.483.647.
int
retentionDays Especifica o número de dias a serem mantidos nos logs de auditoria na conta de armazenamento. int
estado Especifica o estado da auditoria. Se o estado estiver habilitado, storageEndpoint ou isAzureMonitorTargetEnabled serão necessários. 'Desabilitado'
'Enabled' (obrigatório)
storageAccountAccessKey Especifica a chave do identificador da conta de armazenamento de auditoria.
Se o estado estiver habilitado e o storageEndpoint for especificado, não especificar o storageAccountAccessKey usará a identidade gerenciada atribuída pelo sistema do SQL Server para acessar o armazenamento.
Pré-requisitos para usar a autenticação de identidade gerenciada:
1. Atribuir ao SQL Server uma identidade gerenciada atribuída pelo sistema no AAD (Azure Active Directory).
2. Conceda acesso à identidade do SQL Server à conta de armazenamento adicionando a função RBAC 'Colaborador de Dados de Blob de Armazenamento' à identidade do servidor.
Para obter mais informações, consulte Auditoria no armazenamento usando a autenticação de Identidade Gerenciada
corda

Restrições:
Valor confidencial. Passe como um parâmetro seguro.
storageAccountSubscriptionId Especifica a ID da assinatura do armazenamento de blobs. corda

Restrições:
Comprimento mínimo = 36
Comprimento máximo = 36
Padrão = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Especifica o ponto de extremidade de armazenamento de blobs (por exemplo, https://MyAccount.blob.core.windows.net). Se o estado estiver habilitado, storageEndpoint ou isAzureMonitorTargetEnabled será necessário. corda

Microsoft.Sql/servers/databases/extendedAuditingSettings

Nome Descrição Valor
nome O nome do recurso 'default' (obrigatório)
parent_id A ID do recurso que é o pai desse recurso. ID do recurso do tipo: servidores/bancos de dados
Propriedades Propriedades do recurso. ExtendedDatabaseBlobAuditingPolicyProperties
tipo O tipo de recurso "Microsoft.Sql/servers/databases/extendedAuditingSettings@2022-02-01-preview"