Серверы Microsoft.Sql/databases/extendedAuditingSettings 2021-11-01-preview
Определение ресурса Bicep
Тип ресурса servers/databases/extendedAuditingSettings можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания групп ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Sql/servers/databases/extendedAuditingSettings, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Sql/servers/databases/extendedAuditingSettings@2021-11-01-preview' = {
name: 'default'
parent: resourceSymbolicName
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
predicateExpression: 'string'
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Значения свойств
servers/databases/extendedAuditingSettings
| Имя | Описание | Значение |
|---|---|---|
| name | имя ресурса. Узнайте, как задать имена и типы для дочерних ресурсов в Bicep. |
"default" |
| родитель | В Bicep можно указать родительский ресурс для дочернего ресурса. Это свойство необходимо добавить только в том случае, если дочерний ресурс объявлен за пределами родительского ресурса. Дополнительные сведения см. в разделе Дочерний ресурс за пределами родительского ресурса. |
Символьное имя ресурса типа базы данных |
| properties | Свойства ресурса. | ExtendedDatabaseBlobAuditingPolicyProperties |
ExtendedDatabaseBlobAuditingPolicyProperties
| Имя | Описание | Значение |
|---|---|---|
| auditActionsAndGroups | Указывает Actions-Groups и действия для аудита. Рекомендуемый набор групп действий для использования — это будет аудит всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных попыток входа: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Это сочетание выше также является набором, который настраивается по умолчанию при включении аудита из портал Azure. Поддерживаемые группы действий для аудита: (примечание. Выберите только определенные группы, которые удовлетворяют потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP; USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP; DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Это группы, которые охватывают все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита. Дополнительные сведения см. в разделе Группы действий аудита на уровне базы данных. Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия нельзя указать для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Общая форма определения действия для аудита: {action} ON {object} BY {principal} Обратите внимание, что {object} в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, а также на всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно. Пример: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Дополнительные сведения см. в разделе Действия аудита на уровне базы данных. |
string[] |
| isAzureMonitorTargetEnabled | Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" в качестве значения true. При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных "master" как {databaseName}. Формат URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewДополнительные сведения см. в разделе REST API параметров диагностики. Или Параметры диагностики PowerShell |
bool |
| isManagedIdentityInUse | Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов. | bool |
| isStorageSecondaryKeyInUse | Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. | bool |
| predicateExpression | Указывает условие предложения where при создании аудита. | строка |
| queueDelayMs | Определяет задержку в миллисекундах, после которой продолжается выполнение действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647. |
INT |
| retentionDays | Указывает количество дней для хранения в журналах аудита в учетной записи хранения. | INT |
| Состояние | Указывает состояние аудита. Если состояние — Включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. | "Отключено" "Включено" (обязательно) |
| storageAccountAccessKey | Указывает ключ идентификатора учетной записи хранения аудита. Если состояние включено и указано значение storageEndpoint, не указывая storageAccountAccessKey, для доступа к хранилищу будет использоваться управляемое удостоверение SQL Server, назначаемое системой. Необходимые условия для использования проверки подлинности управляемого удостоверения: 1. Назначьте SQL Server управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD). 2. Предоставьте SQL Server удостоверению доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" к удостоверению сервера. Дополнительные сведения см. в статье Аудит в хранилище с помощью проверки подлинности управляемого удостоверения. |
строка Ограничения: Конфиденциальное значение. Передайте в качестве безопасного параметра. |
| storageAccountSubscriptionId | Указывает идентификатор подписки хранилища BLOB-объектов. | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. |
строка |
Определение ресурса шаблона ARM
Тип ресурса servers/databases/extendedAuditingSettings можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов — см. команды развертывания группы ресурсов.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Sql/servers/databases/extendedAuditingSettings, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.Sql/servers/databases/extendedAuditingSettings",
"apiVersion": "2021-11-01-preview",
"name": "default",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"predicateExpression": "string",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Значения свойств
servers/databases/extendedAuditingSettings
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | Microsoft.Sql/servers/databases/extendedAuditingSettings |
| версия_API | Версия API ресурсов | '2021-11-01-preview' |
| name | имя ресурса. Узнайте, как задать имена и типы для дочерних ресурсов в шаблонах JSON ARM. |
"default" |
| properties | Свойства ресурса. | ExtendedDatabaseBlobAuditingPolicyProperties |
ExtendedDatabaseBlobAuditingPolicyProperties
| Имя | Описание | Значение |
|---|---|---|
| auditActionsAndGroups | Указывает Actions-Groups и действия для аудита. Рекомендуемый набор групп действий для использования— это будет аудит всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных попыток входа. BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Это сочетание также является набором, который настраивается по умолчанию при включении аудита из портал Azure. Поддерживаемые группы действий для аудита: (примечание. Выберите только определенные группы, которые охватывают ваши потребности в аудите. Использование ненужных групп может привести к очень большому количеству записей аудита: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP; USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP; DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Это группы, которые охватывают все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита. Дополнительные сведения см. в разделе Группы действий аудита на уровне базы данных. Для политики аудита базы данных также можно указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Общая форма определения действия для аудита: {action} ON {object} BY {principal} Обратите внимание, что {object} в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, либо на всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно. Пример: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Дополнительные сведения см. в разделе Действия аудита на уровне базы данных. |
string[] |
| isAzureMonitorTargetEnabled | Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" в качестве значения true. При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных "master" как {databaseName}. Формат URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewДополнительные сведения см. в разделе REST API параметров диагностики. Или Параметры диагностики PowerShell |
bool |
| isManagedIdentityInUse | Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов. | bool |
| isStorageSecondaryKeyInUse | Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. | bool |
| predicateExpression | Указывает условие предложения where при создании аудита. | строка |
| queueDelayMs | Определяет задержку в миллисекундах, после которой продолжается выполнение действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647. |
INT |
| retentionDays | Указывает количество дней для хранения в журналах аудита в учетной записи хранения. | INT |
| Состояние | Указывает состояние аудита. Если состояние — Включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. | "Отключено" "Включено" (обязательно) |
| storageAccountAccessKey | Указывает ключ идентификатора учетной записи хранения аудита. Если состояние включено и указано значение storageEndpoint, не указывая storageAccountAccessKey, для доступа к хранилищу будет использоваться управляемое удостоверение SQL Server, назначаемое системой. Необходимые условия для использования проверки подлинности управляемого удостоверения: 1. Назначьте SQL Server управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD). 2. Предоставьте SQL Server удостоверению доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" к удостоверению сервера. Дополнительные сведения см. в статье Аудит в хранилище с помощью проверки подлинности управляемого удостоверения. |
строка Ограничения: Конфиденциальное значение. Передайте в качестве безопасного параметра. |
| storageAccountSubscriptionId | Указывает идентификатор подписки хранилища BLOB-объектов. | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. |
строка |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса servers/databases/extendedAuditingSettings можно развернуть с помощью операций, предназначенных для:
- Группы ресурсов
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.Sql/servers/databases/extendedAuditingSettings, добавьте в шаблон следующую terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/databases/extendedAuditingSettings@2021-11-01-preview"
name = "default"
parent_id = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
predicateExpression = "string"
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Значения свойств
servers/databases/extendedAuditingSettings
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | "Microsoft.Sql/servers/databases/extendedAuditingSettings@2021-11-01-preview" |
| name | имя ресурса. | «по умолчанию» |
| parent_id | Идентификатор ресурса, который является родительским для этого ресурса. | Идентификатор ресурса типа: databases |
| properties | Свойства ресурса. | ExtendedDatabaseBlobAuditingPolicyProperties |
ExtendedDatabaseBlobAuditingPolicyProperties
| Имя | Описание | Значение |
|---|---|---|
| auditActionsAndGroups | Указывает Actions-Groups и действия для аудита. Рекомендуемый набор групп действий для использования — это будет аудит всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных попыток входа: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Это сочетание выше также является набором, который настраивается по умолчанию при включении аудита из портал Azure. Поддерживаемые группы действий для аудита: (примечание. Выберите только определенные группы, которые удовлетворяют потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP; USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP; DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Это группы, которые охватывают все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита. Дополнительные сведения см. в разделе Группы действий аудита на уровне базы данных. Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия нельзя указать для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Общая форма определения действия для аудита: {action} ON {object} BY {principal} Обратите внимание, что {object} в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, а также на всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно. Пример: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Дополнительные сведения см. в разделе Действия аудита на уровне базы данных. |
string[] |
| isAzureMonitorTargetEnabled | Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "State" как "Включено" и "IsAzureMonitorTargetEnabled" в качестве значения true. При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита на уровне сервера следует использовать базу данных "master" как {databaseName}. Формат URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewДополнительные сведения см. в разделе REST API параметров диагностики. Или Параметры диагностики PowerShell |
bool |
| isManagedIdentityInUse | Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов. | bool |
| isStorageSecondaryKeyInUse | Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. | bool |
| predicateExpression | Указывает условие предложения where при создании аудита. | строка |
| queueDelayMs | Определяет задержку в миллисекундах, после которой продолжается выполнение действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647. |
INT |
| retentionDays | Указывает количество дней для хранения в журналах аудита в учетной записи хранения. | INT |
| Состояние | Указывает состояние аудита. Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. | "Отключено" "Enabled" (обязательно) |
| storageAccountAccessKey | Указывает ключ идентификатора учетной записи хранения аудита. Если состояние включено и указано значение storageEndpoint, не указывая storageAccountAccessKey, для доступа к хранилищу будет использоваться управляемое удостоверение SQL Server, назначаемое системой. Необходимые условия для использования проверки подлинности управляемого удостоверения: 1. Назначьте SQL Server управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD). 2. Предоставьте SQL Server удостоверению доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" к удостоверению сервера. Дополнительные сведения см. в статье Аудит в хранилище с помощью проверки подлинности управляемого удостоверения. |
строка Ограничения: Конфиденциальное значение. Передайте в качестве безопасного параметра. |
| storageAccountSubscriptionId | Указывает идентификатор подписки хранилища BLOB-объектов. | строка Ограничения: Минимальная длина = 36 Максимальная длина = 36 Шаблон = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled. |
строка |