ExtendedDatabaseBlobAuditingPolicy Klass
En utökad granskningsprincip för databasblobar.
Variabler fylls bara i av servern och ignoreras när en begäran skickas.
- Arv
-
azure.mgmt.sql.models._models_py3.ProxyResourceExtendedDatabaseBlobAuditingPolicy
Konstruktor
ExtendedDatabaseBlobAuditingPolicy(*, predicate_expression: str | None = None, retention_days: int | None = None, audit_actions_and_groups: List[str] | None = None, is_storage_secondary_key_in_use: bool | None = None, is_azure_monitor_target_enabled: bool | None = None, queue_delay_ms: int | None = None, state: str | BlobAuditingPolicyState | None = None, storage_endpoint: str | None = None, storage_account_access_key: str | None = None, storage_account_subscription_id: str | None = None, **kwargs)Parametrar
| Name | Description |
|---|---|
|
predicate_expression
Obligatorisk
|
Anger villkoret where-satsen när du skapar en granskning. |
|
retention_days
Obligatorisk
|
Anger hur många dagar som ska sparas i granskningsloggarna i lagringskontot. |
|
audit_actions_and_groups
Obligatorisk
|
Anger vilka Actions-Groups och åtgärder som ska granskas. Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning aktiveras från Azure Portal. De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Det här är grupper som omfattar alla SQL-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar. Mer information finns i Granskningsåtgärdsgrupper på databasnivå. För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: VÄLJ UPPDATERA INFOGA TA BORT KÖR TA EMOT REFERENSER Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} ON {object} BY {principal} Observera att Exempel: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Mer information finns i Granskningsåtgärder på databasnivå. |
|
is_storage_secondary_key_in_use
Obligatorisk
|
Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel. |
|
is_azure_monitor_target_enabled
Obligatorisk
|
Anger om granskningshändelser skickas till Azure Monitor. För att skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true. När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin SQLSecurityAuditEvents på databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}. URI-format för diagnostikinställningar: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Mer information finns i REST API för diagnostikinställningar eller Diagnostikinställningar PowerShell. |
|
queue_delay_ms
Obligatorisk
|
Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647. |
|
state
Obligatorisk
|
str eller
BlobAuditingPolicyState
Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled. Möjliga värden är: "Enabled", "Disabled". |
|
storage_endpoint
Obligatorisk
|
Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled. |
|
storage_account_access_key
Obligatorisk
|
Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server-systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange storageAccountAccessKey. Krav för att använda autentisering med hanterad identitet:
#. Ge SQL Server identitet åtkomst till lagringskontot genom att lägga till RBAC-rollen Storage Blob Data Contributor i serveridentiteten. Mer information finns i >>Granskning<< till lagring med hanterad identitetsautentisering |
|
storage_account_subscription_id
Obligatorisk
|
Anger prenumerations-ID:t för Blob Storage. |
Keyword-Only parametrar
| Name | Description |
|---|---|
|
predicate_expression
Obligatorisk
|
|
|
retention_days
Obligatorisk
|
|
|
audit_actions_and_groups
Obligatorisk
|
|
|
is_storage_secondary_key_in_use
Obligatorisk
|
|
|
is_azure_monitor_target_enabled
Obligatorisk
|
|
|
queue_delay_ms
Obligatorisk
|
|
|
state
Obligatorisk
|
|
|
storage_endpoint
Obligatorisk
|
|
|
storage_account_access_key
Obligatorisk
|
|
|
storage_account_subscription_id
Obligatorisk
|
|
Variabler
| Name | Description |
|---|---|
|
id
|
Resurs-ID. |
|
name
|
Resursnamn. |
|
type
|
Resurstyp. |
Azure SDK for Python