Поделиться через


Серверы Microsoft.Sql, базы данных/auditingSettings 2020-11-01-preview

Определение ресурсов Bicep

Тип ресурсов server/database/auditingSettings можно развернуть с помощью операций, предназначенных для следующих операций:

Список измененных свойств в каждой версии API см. в журнала изменений.

Формат ресурса

Чтобы создать ресурс Microsoft.Sql/servers/database/auditingSettings, добавьте следующий Bicep в шаблон.

resource symbolicname 'Microsoft.Sql/servers/databases/auditingSettings@2020-11-01-preview' = {
  parent: resourceSymbolicName
  name: 'default'
  properties: {
    auditActionsAndGroups: [
      'string'
    ]
    isAzureMonitorTargetEnabled: bool
    isStorageSecondaryKeyInUse: bool
    queueDelayMs: int
    retentionDays: int
    state: 'string'
    storageAccountAccessKey: 'string'
    storageAccountSubscriptionId: 'string'
    storageEndpoint: 'string'
  }
}

Значения свойств

DatabaseBlobAuditingPolicyProperties

Имя Описание Ценность
auditActionsAndGroups Указывает Actions-Groups и действия для аудита.

Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Это сочетание выше также является набором, настроенным по умолчанию при включении аудита на портале Azure.

Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP

Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.

Дополнительные сведения см. в разделе Database-Level Группы действий аудита.

Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита:
ВЫБИРАТЬ
ОБНОВЛЯТЬ
ВСТАВКА
УДАЛИТЬ
ИСПОЛНЯТЬ
ПОЛУЧАТЬ
ССЫЛКИ

Общая форма определения действия для аудита:
{action} ON {object} BY {principal}

Обратите внимание, что <объект> в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.

Например:
SELECT в dbo.myTable по общедоступной версии
SELECT в DATABASE::myDatabase по общедоступной версии
SELECT в SCHEMA::mySchema по общедоступной

Дополнительные сведения см. в разделе Database-Level Действия аудита
string[]
isAzureMonitorTargetEnabled Указывает, отправляются ли события аудита в Azure Monitor.
Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true.

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных.
Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}.

Формат URI параметров диагностики:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в REST API параметров диагностики
или параметров диагностики PowerShell
bool
isStorageSecondaryKeyInUse Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. bool
queueDelayMs Указывает время в миллисекундах, которое может пройти до принудительного обработки действий аудита.
Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.
int
retentionDays Указывает количество дней для хранения в журналах аудита в учетной записи хранения. int
государство Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled. "Отключено"
"Включено" (обязательно)
storageAccountAccessKey Указывает ключ идентификатора учетной записи хранения аудита.
Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу.
Необходимые условия для использования проверки подлинности управляемого удостоверения:
1. Назначьте управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD).
2. Предоставьте удостоверению SQL Server доступ к учетной записи хранения, добавив роль RBAC хранилища "Участник данных BLOB-объектов хранилища" в удостоверение сервера.
Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
струна

Ограничения целостности:
Конфиденциальное значение. Передайте в качестве безопасного параметра.
storageAccountSubscriptionId Указывает идентификатор подписки хранилища BLOB-объектов. струна

Ограничения целостности:
Минимальная длина = 36
Максимальная длина = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. струна

Microsoft.Sql/servers/database/auditingSettings

Имя Описание Ценность
имя Имя ресурса "default" (обязательно)
родитель В Bicep можно указать родительский ресурс для дочернего ресурса. Это свойство необходимо добавить, только если дочерний ресурс объявлен за пределами родительского ресурса.

Дополнительные сведения см. в разделе Дочерний ресурс за пределами родительского ресурса.
Символьное имя ресурса типа: серверы и базы данных
свойства Свойства ресурса. DatabaseBlobAuditingPolicyProperties

Определение ресурса шаблона ARM

Тип ресурсов server/database/auditingSettings можно развернуть с помощью операций, предназначенных для следующих операций:

Список измененных свойств в каждой версии API см. в журнала изменений.

Формат ресурса

Чтобы создать ресурс Microsoft.Sql/servers/database/auditingSettings, добавьте следующий код JSON в шаблон.

{
  "type": "Microsoft.Sql/servers/databases/auditingSettings",
  "apiVersion": "2020-11-01-preview",
  "name": "string",
  "properties": {
    "auditActionsAndGroups": [ "string" ],
    "isAzureMonitorTargetEnabled": "bool",
    "isStorageSecondaryKeyInUse": "bool",
    "queueDelayMs": "int",
    "retentionDays": "int",
    "state": "string",
    "storageAccountAccessKey": "string",
    "storageAccountSubscriptionId": "string",
    "storageEndpoint": "string"
  }
}

Значения свойств

DatabaseBlobAuditingPolicyProperties

Имя Описание Ценность
auditActionsAndGroups Указывает Actions-Groups и действия для аудита.

Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Это сочетание выше также является набором, настроенным по умолчанию при включении аудита на портале Azure.

Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP

Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.

Дополнительные сведения см. в разделе Database-Level Группы действий аудита.

Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита:
ВЫБИРАТЬ
ОБНОВЛЯТЬ
ВСТАВКА
УДАЛИТЬ
ИСПОЛНЯТЬ
ПОЛУЧАТЬ
ССЫЛКИ

Общая форма определения действия для аудита:
{action} ON {object} BY {principal}

Обратите внимание, что <объект> в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.

Например:
SELECT в dbo.myTable по общедоступной версии
SELECT в DATABASE::myDatabase по общедоступной версии
SELECT в SCHEMA::mySchema по общедоступной

Дополнительные сведения см. в разделе Database-Level Действия аудита
string[]
isAzureMonitorTargetEnabled Указывает, отправляются ли события аудита в Azure Monitor.
Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true.

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных.
Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}.

Формат URI параметров диагностики:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в REST API параметров диагностики
или параметров диагностики PowerShell
bool
isStorageSecondaryKeyInUse Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. bool
queueDelayMs Указывает время в миллисекундах, которое может пройти до принудительного обработки действий аудита.
Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.
int
retentionDays Указывает количество дней для хранения в журналах аудита в учетной записи хранения. int
государство Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled. "Отключено"
"Включено" (обязательно)
storageAccountAccessKey Указывает ключ идентификатора учетной записи хранения аудита.
Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу.
Необходимые условия для использования проверки подлинности управляемого удостоверения:
1. Назначьте управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD).
2. Предоставьте удостоверению SQL Server доступ к учетной записи хранения, добавив роль RBAC хранилища "Участник данных BLOB-объектов хранилища" в удостоверение сервера.
Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
струна

Ограничения целостности:
Конфиденциальное значение. Передайте в качестве безопасного параметра.
storageAccountSubscriptionId Указывает идентификатор подписки хранилища BLOB-объектов. струна

Ограничения целостности:
Минимальная длина = 36
Максимальная длина = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. струна

Microsoft.Sql/servers/database/auditingSettings

Имя Описание Ценность
apiVersion Версия API '2020-11-01-preview'
имя Имя ресурса "default" (обязательно)
свойства Свойства ресурса. DatabaseBlobAuditingPolicyProperties
тип Тип ресурса "Microsoft.Sql/servers/database/auditingSettings"

Определение ресурса Terraform (поставщик AzAPI)

Тип ресурсов server/database/auditingSettings можно развернуть с помощью операций, предназначенных для следующих операций:

  • групп ресурсов

Список измененных свойств в каждой версии API см. в журнала изменений.

Формат ресурса

Чтобы создать ресурс Microsoft.Sql/servers/database/auditingSettings, добавьте следующий объект Terraform в шаблон.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Sql/servers/databases/auditingSettings@2020-11-01-preview"
  name = "string"
  body = jsonencode({
    properties = {
      auditActionsAndGroups = [
        "string"
      ]
      isAzureMonitorTargetEnabled = bool
      isStorageSecondaryKeyInUse = bool
      queueDelayMs = int
      retentionDays = int
      state = "string"
      storageAccountAccessKey = "string"
      storageAccountSubscriptionId = "string"
      storageEndpoint = "string"
    }
  })
}

Значения свойств

DatabaseBlobAuditingPolicyProperties

Имя Описание Ценность
auditActionsAndGroups Указывает Actions-Groups и действия для аудита.

Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа:

BATCH_COMPLETED_GROUP,
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP,
FAILED_DATABASE_AUTHENTICATION_GROUP.

Это сочетание выше также является набором, настроенным по умолчанию при включении аудита на портале Azure.

Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
BACKUP_RESTORE_GROUP
DATABASE_LOGOUT_GROUP
DATABASE_OBJECT_CHANGE_GROUP
DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP
DATABASE_OBJECT_PERMISSION_CHANGE_GROUP
DATABASE_OPERATION_GROUP
DATABASE_PERMISSION_CHANGE_GROUP
DATABASE_PRINCIPAL_CHANGE_GROUP
DATABASE_PRINCIPAL_IMPERSONATION_GROUP
DATABASE_ROLE_MEMBER_CHANGE_GROUP
FAILED_DATABASE_AUTHENTICATION_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
SCHEMA_OBJECT_CHANGE_GROUP
SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP
SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
USER_CHANGE_PASSWORD_GROUP
BATCH_STARTED_GROUP
BATCH_COMPLETED_GROUP

Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.

Дополнительные сведения см. в разделе Database-Level Группы действий аудита.

Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита:
ВЫБИРАТЬ
ОБНОВЛЯТЬ
ВСТАВКА
УДАЛИТЬ
ИСПОЛНЯТЬ
ПОЛУЧАТЬ
ССЫЛКИ

Общая форма определения действия для аудита:
{action} ON {object} BY {principal}

Обратите внимание, что <объект> в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.

Например:
SELECT в dbo.myTable по общедоступной версии
SELECT в DATABASE::myDatabase по общедоступной версии
SELECT в SCHEMA::mySchema по общедоступной

Дополнительные сведения см. в разделе Database-Level Действия аудита
string[]
isAzureMonitorTargetEnabled Указывает, отправляются ли события аудита в Azure Monitor.
Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true.

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных.
Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}.

Формат URI параметров диагностики:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в REST API параметров диагностики
или параметров диагностики PowerShell
bool
isStorageSecondaryKeyInUse Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. bool
queueDelayMs Указывает время в миллисекундах, которое может пройти до принудительного обработки действий аудита.
Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.
int
retentionDays Указывает количество дней для хранения в журналах аудита в учетной записи хранения. int
государство Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled. "Отключено"
"Включено" (обязательно)
storageAccountAccessKey Указывает ключ идентификатора учетной записи хранения аудита.
Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу.
Необходимые условия для использования проверки подлинности управляемого удостоверения:
1. Назначьте управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD).
2. Предоставьте удостоверению SQL Server доступ к учетной записи хранения, добавив роль RBAC хранилища "Участник данных BLOB-объектов хранилища" в удостоверение сервера.
Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
струна

Ограничения целостности:
Конфиденциальное значение. Передайте в качестве безопасного параметра.
storageAccountSubscriptionId Указывает идентификатор подписки хранилища BLOB-объектов. струна

Ограничения целостности:
Минимальная длина = 36
Максимальная длина = 36
Pattern = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
storageEndpoint Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. струна

Microsoft.Sql/servers/database/auditingSettings

Имя Описание Ценность
имя Имя ресурса "default" (обязательно)
parent_id Идентификатор ресурса, который является родительским для этого ресурса. Идентификатор ресурса типа: серверах и базах данных
свойства Свойства ресурса. DatabaseBlobAuditingPolicyProperties
тип Тип ресурса "Microsoft.Sql/servers/database/auditingSettings@2020-11-01-preview"