Dela via

ExtendedDatabaseBlobAuditingPolicy interface

  • Referens
Paket:
@azure/arm-sql

En utökad databasblobgranskningsprincip.

Extends
ProxyResource

Egenskaper

auditActionsAndGroups

Anger Actions-Groups och åtgärder som ska granskas.

Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning från Azure Portal aktiveras.

De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Det här är grupper som täcker alla sql-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar.

Mer information finns i Granskningsåtgärdsgrupper på databasnivå.

För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: VÄLJ UPPDATERA INFOGA TA BORT KÖR TA EMOT REFERENSER

Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} PÅ {object} BY {principal}

Observera att i formatet ovan kan referera till ett objekt som en tabell, vy eller lagrad procedur, eller en hel databas eller ett helt schema. I de senare fallen används formulären DATABASE::{db_name} och SCHEMA::{schema_name}.

Exempel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Mer information finns i Granskningsåtgärder på databasnivå
isAzureMonitorTargetEnabled

Anger om granskningshändelser skickas till Azure Monitor. För att skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true.

När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin "SQLSecurityAuditEvents" i databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}.

URI-format för diagnostikinställningar: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Mer information finns i REST API för diagnostikinställningar eller diagnostikinställningar PowerShell
isManagedIdentityInUse

Anger om hanterad identitet används för åtkomst till bloblagring
isStorageSecondaryKeyInUse

Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel.
predicateExpression

Anger villkoret för where-satsen när du skapar en granskning.
queueDelayMs

Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647.
retentionDays

Anger hur många dagar som ska lagras i granskningsloggarna i lagringskontot.
state

Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled.
storageAccountAccessKey

Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange lagringskontotAccessKey. Förutsättningar för att använda hanterad identitetsautentisering:

  1. Tilldela SQL Server en systemtilldelad hanterad identitet i Azure Active Directory (AAD).
  2. Bevilja SQL Server identitetsåtkomst till lagringskontot genom att lägga till RBAC-rollen "Storage Blob Data Contributor" i serveridentiteten. Mer information finns i Granska till lagring med hjälp av hanterad identitetsautentisering
storageAccountSubscriptionId

Anger bloblagringsprenumerations-ID: t.
storageEndpoint

Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled.

Ärvda egenskaper

id

Resurs-ID. Obs! Den här egenskapen kommer inte att serialiseras. Den kan bara fyllas i av servern.
name

Resursnamn. Obs! Den här egenskapen kommer inte att serialiseras. Den kan bara fyllas i av servern.
type

Resurstyp. Obs! Den här egenskapen kommer inte att serialiseras. Den kan bara fyllas i av servern.

Egenskapsinformation

auditActionsAndGroups

Anger Actions-Groups och åtgärder som ska granskas.

Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning från Azure Portal aktiveras.

De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Det här är grupper som täcker alla sql-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar.

Mer information finns i Granskningsåtgärdsgrupper på databasnivå.

För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: VÄLJ UPPDATERA INFOGA TA BORT KÖR TA EMOT REFERENSER

Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} PÅ {object} BY {principal}

Observera att i formatet ovan kan referera till ett objekt som en tabell, vy eller lagrad procedur, eller en hel databas eller ett helt schema. I de senare fallen används formulären DATABASE::{db_name} och SCHEMA::{schema_name}.

Exempel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Mer information finns i Granskningsåtgärder på databasnivå

auditActionsAndGroups?: string[]

Egenskapsvärde

string[]

isAzureMonitorTargetEnabled

Anger om granskningshändelser skickas till Azure Monitor. För att skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true.

När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin "SQLSecurityAuditEvents" i databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}.

URI-format för diagnostikinställningar: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Mer information finns i REST API för diagnostikinställningar eller diagnostikinställningar PowerShell

isAzureMonitorTargetEnabled?: boolean

Egenskapsvärde

boolean

isManagedIdentityInUse

Anger om hanterad identitet används för åtkomst till bloblagring

isManagedIdentityInUse?: boolean

Egenskapsvärde

boolean

isStorageSecondaryKeyInUse

Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel.

isStorageSecondaryKeyInUse?: boolean

Egenskapsvärde

boolean

predicateExpression

Anger villkoret för where-satsen när du skapar en granskning.

predicateExpression?: string

Egenskapsvärde

string

queueDelayMs

Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647.

queueDelayMs?: number

Egenskapsvärde

number

retentionDays

Anger hur många dagar som ska lagras i granskningsloggarna i lagringskontot.

retentionDays?: number

Egenskapsvärde

number

state

Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled.

state?: BlobAuditingPolicyState

Egenskapsvärde

BlobAuditingPolicyState

storageAccountAccessKey

Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange lagringskontotAccessKey. Förutsättningar för att använda hanterad identitetsautentisering:

  1. Tilldela SQL Server en systemtilldelad hanterad identitet i Azure Active Directory (AAD).
  2. Bevilja SQL Server identitetsåtkomst till lagringskontot genom att lägga till RBAC-rollen "Storage Blob Data Contributor" i serveridentiteten. Mer information finns i Granska till lagring med hjälp av hanterad identitetsautentisering
storageAccountAccessKey?: string

Egenskapsvärde

string

storageAccountSubscriptionId

Anger bloblagringsprenumerations-ID: t.

storageAccountSubscriptionId?: string

Egenskapsvärde

string

storageEndpoint

Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled.

storageEndpoint?: string

Egenskapsvärde

string

Information om ärvda egenskaper

id

Resurs-ID. Obs! Den här egenskapen kommer inte att serialiseras. Den kan bara fyllas i av servern.

id?: string

Egenskapsvärde

string

Ärvd frånProxyResource.id

name

Resursnamn. Obs! Den här egenskapen kommer inte att serialiseras. Den kan bara fyllas i av servern.

name?: string

Egenskapsvärde

string

Ärvd frånProxyResource.name

type

Resurstyp. Obs! Den här egenskapen kommer inte att serialiseras. Den kan bara fyllas i av servern.

type?: string

Egenskapsvärde

string

Ärvd frånProxyResource.type