Поделиться через

ExtendedServerBlobAuditingPolicy interface

  • Ссылка
Пакет:
@azure/arm-sql

Расширенная политика аудита BLOB-объектов сервера.

Extends
ProxyResource

Свойства

auditActionsAndGroups

Указывает Actions-Groups и действия для аудита.

Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Это сочетание выше также является набором, настроенным по умолчанию при включении аудита на портале Azure.

Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.

Дополнительные сведения см. в разделе Database-Level Группы действий аудита.

Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Общая форма определения действия для аудита: {action} ON {object} BY {principal}

Обратите внимание, что в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.

Например: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Дополнительные сведения см. в разделе Database-Level Действия аудита
isAzureMonitorTargetEnabled

Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true.

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}.

Формат URI URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в разделе параметры диагностики REST API или параметров диагностики PowerShell
isDevopsAuditEnabled

Указывает состояние аудита devops. Если состояние включено, журналы devops будут отправляться в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено", "IsAzureMonitorTargetEnabled" как true и IsDevopsAuditEnabled как true

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики DevOpsOperationsAudit в базе данных master.

Формат URI URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в разделе параметры диагностики REST API или параметров диагностики PowerShell
isManagedIdentityInUse

Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов
isStorageSecondaryKeyInUse

Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища.
predicateExpression

Указывает условие расположения предложения при создании аудита.
queueDelayMs

Указывает время в миллисекундах, которое может пройти до принудительного обработки действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.
retentionDays

Указывает количество дней для хранения в журналах аудита в учетной записи хранения.
state

Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled.
storageAccountAccessKey

Указывает ключ идентификатора учетной записи хранения аудита. Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу. Необходимые условия для использования проверки подлинности управляемого удостоверения:

  1. Назначьте управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD).
  2. Предоставьте удостоверению SQL Server доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" в удостоверение сервера. Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
storageAccountSubscriptionId

Указывает идентификатор подписки хранилища BLOB-объектов.
storageEndpoint

Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.

Унаследованные свойства

id

Идентификатор ресурса. ПРИМЕЧАНИЕ. Это свойство не будет сериализовано. Его можно заполнить только сервером.
name

Имя ресурса. ПРИМЕЧАНИЕ. Это свойство не будет сериализовано. Его можно заполнить только сервером.
type

Тип ресурса. ПРИМЕЧАНИЕ. Это свойство не будет сериализовано. Его можно заполнить только сервером.

Сведения о свойстве

auditActionsAndGroups

Указывает Actions-Groups и действия для аудита.

Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Это сочетание выше также является набором, настроенным по умолчанию при включении аудита на портале Azure.

Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.

Дополнительные сведения см. в разделе Database-Level Группы действий аудита.

Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Общая форма определения действия для аудита: {action} ON {object} BY {principal}

Обратите внимание, что в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.

Например: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Дополнительные сведения см. в разделе Database-Level Действия аудита

auditActionsAndGroups?: string[]

Значение свойства

string[]

isAzureMonitorTargetEnabled

Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true.

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}.

Формат URI URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в разделе параметры диагностики REST API или параметров диагностики PowerShell

isAzureMonitorTargetEnabled?: boolean

Значение свойства

boolean

isDevopsAuditEnabled

Указывает состояние аудита devops. Если состояние включено, журналы devops будут отправляться в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено", "IsAzureMonitorTargetEnabled" как true и IsDevopsAuditEnabled как true

При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики DevOpsOperationsAudit в базе данных master.

Формат URI URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Дополнительные сведения см. в разделе параметры диагностики REST API или параметров диагностики PowerShell

isDevopsAuditEnabled?: boolean

Значение свойства

boolean

isManagedIdentityInUse

Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов

isManagedIdentityInUse?: boolean

Значение свойства

boolean

isStorageSecondaryKeyInUse

Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища.

isStorageSecondaryKeyInUse?: boolean

Значение свойства

boolean

predicateExpression

Указывает условие расположения предложения при создании аудита.

predicateExpression?: string

Значение свойства

string

queueDelayMs

Указывает время в миллисекундах, которое может пройти до принудительного обработки действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.

queueDelayMs?: number

Значение свойства

number

retentionDays

Указывает количество дней для хранения в журналах аудита в учетной записи хранения.

retentionDays?: number

Значение свойства

number

state

Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled.

state?: BlobAuditingPolicyState

Значение свойства

BlobAuditingPolicyState

storageAccountAccessKey

Указывает ключ идентификатора учетной записи хранения аудита. Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу. Необходимые условия для использования проверки подлинности управляемого удостоверения:

  1. Назначьте управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD).
  2. Предоставьте удостоверению SQL Server доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" в удостоверение сервера. Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
storageAccountAccessKey?: string

Значение свойства

string

storageAccountSubscriptionId

Указывает идентификатор подписки хранилища BLOB-объектов.

storageAccountSubscriptionId?: string

Значение свойства

string

storageEndpoint

Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.

storageEndpoint?: string

Значение свойства

string

Сведения об унаследованном свойстве

id

Идентификатор ресурса. ПРИМЕЧАНИЕ. Это свойство не будет сериализовано. Его можно заполнить только сервером.

id?: string

Значение свойства

string

унаследовано отProxyResource.id

name

Имя ресурса. ПРИМЕЧАНИЕ. Это свойство не будет сериализовано. Его можно заполнить только сервером.

name?: string

Значение свойства

string

унаследован отProxyResource.name

type

Тип ресурса. ПРИМЕЧАНИЕ. Это свойство не будет сериализовано. Его можно заполнить только сервером.

type?: string

Значение свойства

string

Наследуется отProxyResource.type