Database Blob Auditing Policies - Get

Служба:

SQL Database

Версия API:

2023-08-01

Возвращает политику аудита BLOB-объектов базы данных.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/auditingSettings/default?api-version=2023-08-01

Параметры URI

Имя	В	Обязательно	Тип	Описание
blobAuditingPolicyName	path	True	blobAuditingPolicyName	Имя политики аудита BLOB-объектов.
databaseName	path	True	string	Имя базы данных.
resourceGroupName	path	True	string	Имя группы ресурсов, содержащей ресурс. Это значение можно получить из API Azure Resource Manager или портала.
serverName	path	True	string	Имя сервера.
subscriptionId	path	True	string	Идентификатор подписки, идентифицирующий подписку Azure.
api-version	query	True	string	Версия API, используемая для запроса.

Ответы

Имя	Тип	Описание
200 OK	DatabaseBlobAuditingPolicy	Успешно получена политика аудита BLOB-объектов базы данных.
Other Status Codes	ErrorResponse	Ответы на ошибки: *** 400 BlobAuditingIsNotSupportedOnResourceType — аудит BLOB-объектов в настоящее время не поддерживается для этого типа ресурса. 404 DatabaseDoesNotExist — пользователь указал имя базы данных, которое не существует на этом экземпляре сервера. 404 SourceDatabaseNotFound — исходная база данных не существует. 500 DatabaseIsUnavailable — сбой загрузки. Повторите попытку позже.

Примеры

Get a database's blob auditing policy

Образец запроса

HTTP

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb/auditingSettings/default?api-version=2023-08-01

Пример ответа

Код состояния:

200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb",
  "name": "default",
  "type": "Microsoft.Sql/servers/databases/auditingSettings",
  "kind": "V12",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false
  }
}

Определения

Имя	Описание
blobAuditingPolicyName	Имя политики аудита BLOB-объектов.
BlobAuditingPolicyState	Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled.
DatabaseBlobAuditingPolicy	Политика аудита BLOB-объектов базы данных.
ErrorAdditionalInfo	Дополнительные сведения об ошибке управления ресурсами.
ErrorDetail	Сведения об ошибке.
ErrorResponse	Ответ на ошибку

blobAuditingPolicyName

Перечисление

Имя политики аудита BLOB-объектов.

Значение	Описание
default

BlobAuditingPolicyState

Перечисление

Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled.

Значение	Описание
Disabled
Enabled

DatabaseBlobAuditingPolicy

Object

Политика аудита BLOB-объектов базы данных.

Имя	Тип	Описание
id	string	Идентификатор ресурса.
kind	string	Тип ресурса.
name	string	Имя ресурса.
properties.auditActionsAndGroups	string[]	Указывает Actions-Groups и действия для аудита. Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Это сочетание выше также является набором, настроенным по умолчанию при включении аудита на портале Azure. Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита. Дополнительные сведения см. в разделе Database-Level Группы действий аудита. Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Общая форма определения действия для аудита: {action} ON {object} BY {principal} Обратите внимание, что в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно. Например: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Дополнительные сведения см. в разделе Database-Level Действия аудита
properties.isAzureMonitorTargetEnabled	boolean	Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите "Состояние" как "Включено" и "IsAzureMonitorTargetEnabled" как true. При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}. Формат URI URI параметров диагностики: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Дополнительные сведения см. в разделе параметры диагностики REST API или параметров диагностики PowerShell
properties.isManagedIdentityInUse	boolean	Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов
properties.isStorageSecondaryKeyInUse	boolean	Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища.
properties.queueDelayMs	integer (int32)	Указывает время в миллисекундах, которое может пройти до принудительного обработки действий аудита. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.
properties.retentionDays	integer (int32)	Указывает количество дней для хранения в журналах аудита в учетной записи хранения.
properties.state	BlobAuditingPolicyState	Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled.
properties.storageAccountAccessKey	string	Указывает ключ идентификатора учетной записи хранения аудита. Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу. Необходимые условия для использования проверки подлинности управляемого удостоверения: Назначьте управляемое удостоверение, назначаемое системой, в Azure Active Directory (AAD). Предоставьте удостоверению SQL Server доступ к учетной записи хранения, добавив роль RBAC "Участник данных BLOB-объектов хранилища" в удостоверение сервера. Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
properties.storageAccountSubscriptionId	string (uuid)	Указывает идентификатор подписки хранилища BLOB-объектов.
properties.storageEndpoint	string	Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.
type	string	Тип ресурса.

ErrorAdditionalInfo

Object

Дополнительные сведения об ошибке управления ресурсами.

Имя	Тип	Описание
info	object	Дополнительные сведения.
type	string	Дополнительный тип сведений.

ErrorDetail

Object

Сведения об ошибке.

Имя	Тип	Описание
additionalInfo	ErrorAdditionalInfo[]	Дополнительные сведения об ошибке.
code	string	Код ошибки.
details	ErrorDetail[]	Сведения об ошибке.
message	string	Сообщение об ошибке.
target	string	Целевой объект ошибки.

ErrorResponse

Object

Ответ на ошибку

Имя	Тип	Описание
error	ErrorDetail	Объект ошибки.