共用方式為

Extended Server Blob Auditing Policies - Create Or Update

  • 參考
服務:
SQL Database
API 版本:
2023-08-01

建立或更新擴充伺服器的 Blob 稽核原則。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/extendedAuditingSettings/default?api-version=2023-08-01

URI 參數

名稱 位於 必要 類型 Description
blobAuditingPolicyName
 path True

blobAuditingPolicyName

Blob 稽核原則的名稱。
resourceGroupName
 path True

string

包含資源的資源群組名稱。 您可以從 Azure Resource Manager API 或入口網站取得此值。
serverName
 path True

string

伺服器的名稱。
subscriptionId
 path True

string

識別 Azure 訂用帳戶的訂用帳戶標識碼。
api-version
 query True

string

要用於要求的 API 版本。

要求本文

名稱 必要 類型 Description
properties.state True

BlobAuditingPolicyState

指定稽核的狀態。 如果狀態為 Enabled,則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
properties.auditActionsAndGroups

string[]

指定要稽核的 Actions-Groups 和動作。

建議使用的一組動作群組是下列組合 - 這會稽核針對資料庫執行的所有查詢和預存程式,以及成功和失敗的登入:

BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。

上述組合也是從 Azure 入口網站啟用稽核時預設設定的集合。

要稽核的支援動作群組為 (注意:僅選擇涵蓋稽核需求的特定群組。使用不必要的群組可能會導致大量稽核記錄):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

這些群組涵蓋針對資料庫執行的所有 sql 語句和預存程式,且不應與其他群組搭配使用,因為這會導致重複的稽核記錄。

如需詳細資訊,請參閱 Database-Level 稽核動作群組

針對資料庫稽核原則,也可以指定特定動作(請注意,無法為伺服器稽核原則指定動作)。 要稽核的支援動作如下:SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

定義要稽核之動作的一般窗體是: {action} ON {object} BY {principal}

請注意,上述格式可以參照數據表、檢視或預存程式或整個資料庫或架構等物件。 針對後者,會分別使用 DATABASE::{db_name} 和 SCHEMA::{schema_name} 窗體。

例如:依 public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public SELECT on SCHEMA::mySchema by public

如需詳細資訊,請參閱 Database-Level 稽核動作
properties.isAzureMonitorTargetEnabled

boolean

指定稽核事件是否傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器,請將 'State' 指定為 'Enabled',並將 'IsAzureMonitorTargetEnabled' 指定為 true。

使用 REST API 設定稽核時,也應該在資料庫上建立具有 'SQLSecurityAuditEvents' 診斷記錄類別的診斷設定。 請注意,針對伺服器層級稽核,您應該使用 'master' 資料庫作為 {databaseName}。

診斷設定 URI 格式:PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

如需詳細資訊,請參閱 診斷設定 REST API診斷設定 PowerShell
properties.isDevopsAuditEnabled

boolean

指定 devops 稽核的狀態。 如果狀態為 [已啟用],devops 記錄將會傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器,請將 'State' 指定為 'Enabled'、'IsAzureMonitorTargetEnabled' 為 true,並將 'IsDevopsAuditEnabled' 指定為 true

使用 REST API 設定稽核時,也應該在 master 資料庫上建立具有 『DevOpsOperationsAudit』 診斷記錄類別的診斷設定。

診斷設定 URI 格式:PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

如需詳細資訊,請參閱 診斷設定 REST API診斷設定 PowerShell
properties.isManagedIdentityInUse

boolean

指定受控識別是否用來存取 Blob 記憶體
properties.isStorageSecondaryKeyInUse

boolean

指定 storageAccountAccessKey 值是否為記憶體的次要密鑰。
properties.predicateExpression

string

指定建立稽核時,where 子句的條件。
properties.queueDelayMs

integer (int32)

指定在強制處理稽核動作之前,可以經過毫秒的時間量。 預設值為1000 (1秒)。 最大值為 2,147,483,647。
properties.retentionDays

integer (int32)

指定要保留在記憶體帳戶稽核記錄中的天數。
properties.storageAccountAccessKey

string

指定稽核記憶體帳戶的標識碼金鑰。 如果狀態為 Enabled 且 storageEndpoint 已指定,則未指定 storageAccountAccessKey 會使用 SQL Server 系統指派的受控識別來存取記憶體。 使用受控識別驗證的必要條件:

  1. 在 Azure Active Directory (AAD) 中指派系統指派的受控識別給 SQL Server。
  2. 將「記憶體 Blob 數據參與者」RBAC 角色新增至伺服器身分識別,將 SQL Server 身分識別存取權授與記憶體帳戶。 如需詳細資訊,請參閱使用受控識別驗證對記憶體 稽核
properties.storageAccountSubscriptionId

string (uuid)

指定 Blob 記憶體訂用帳戶標識碼。
properties.storageEndpoint

string

指定 Blob 記憶體端點(例如 https://MyAccount.blob.core.windows.net)。 如果狀態為 Enabled,則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

回應

名稱 類型 Description
200 OK

ExtendedServerBlobAuditingPolicy

已成功更新延伸稽核設定。
202 Accepted

正在更新延伸稽核設定。

標題

Location: string
Other Status Codes

ErrorResponse

錯誤回應: ***

  • 400 InvalidServerBlobAuditingPolicyCreateRequest - 建立伺服器 Blob 稽核原則要求不存在或沒有任何屬性物件。

  • 400 InvalidBlobAuditActionsAndGroups - 無效的稽核動作或動作群組。

  • 400 DataSecurityInvalidUserSuppliedParameter - 用戶端所提供的參數值無效。

  • 400 BlobAuditingInvalidPolicyLength - 原則長度無效,應該在 200 個字元內。

  • 400 BlobAuditingPredicateExpressionEmpty - 無效的參數 'predicateExpression',值不能空白。

  • 400 ManagedInstanceStoppingOrStopped - 實例處於停止/停止狀態時提交的衝突作業

  • 400 ManagedInstanceStarting - 實例處於啟動狀態時提交的衝突作業

  • 400 InvalidBlobAuditActionsAndGroups - 無效的稽核動作或動作群組。

  • 400 BlobAuditingNetworkSecurityPerimeterNotAllowed - 網路安全周邊封鎖對記憶體帳戶的輸出要求

  • 400 BlobAuditingInvalidStorageAccountCredentials - 提供的記憶體帳戶或存取密鑰無效。

  • 400 BlobAuditingStorageOutboundFirewallNotAllowed - 記憶體帳戶不在允許的 FQDN 清單中,因此輸出防火牆規則會封鎖要求。

  • 400 InsufficientDiskSpaceForAuditing - 磁盘空間不足,無法儲存資料庫中的稽核元數據

  • 400 InvalidBlobAuditActions - 無效的稽核動作

  • 404 ServerNotInSubscriptionResourceGroup - 指定的伺服器不存在於指定的資源群組和訂用帳戶中。

  • 404 SubscriptionDoesNotHaveServer - 找不到要求的伺服器

  • 404 OperationIdNotFound - 標識符為 的作業不存在。

  • 409 ServerBlobAuditingPolicyInProgress - 設定伺服器 Blob 稽核正在進行中。

  • 409 CannotCancelOperation - 管理作業處於無法取消的狀態。

  • 409 OperationCancelled - 使用者已取消作業。

  • 409 OperationInterrupted - 無法完成資源上的作業,因為相同資源上的另一個作業中斷。

  • 429 SubscriptionTooManyCreateUpdateRequests - 超出可用資源可處理之最大要求的要求。

  • 429 SubscriptionTooManyRequests - 超出可用資源可處理之最大要求的要求。

  • 500 OperationTimedOut - 作業逾時並自動回復。 請重試作業。

  • 503 TooManyRequests - 超出可用資源可處理之最大要求的要求。

範例

Update a server's extended blob auditing policy with all parameters
Update a server's extended blob auditing policy with minimal parameters

Update a server's extended blob auditing policy with all parameters

範例要求

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2023-08-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}

範例回覆

狀態碼:
200 
{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}
狀態碼:
202

Update a server's extended blob auditing policy with minimal parameters

範例要求

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2023-08-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

範例回覆

狀態碼:
200 
{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": false
  }
}
狀態碼:
202

定義

名稱 Description
blobAuditingPolicyName

Blob 稽核原則的名稱。
BlobAuditingPolicyState

指定稽核的狀態。 如果狀態為 Enabled,則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
ErrorAdditionalInfo

資源管理錯誤其他資訊。
ErrorDetail

錯誤詳細數據。
ErrorResponse

錯誤回應
ExtendedServerBlobAuditingPolicy

擴充伺服器 Blob 稽核原則。

blobAuditingPolicyName

列舉型別

Blob 稽核原則的名稱。

Description
default

BlobAuditingPolicyState

列舉型別

指定稽核的狀態。 如果狀態為 Enabled,則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

Description
Disabled
Enabled

ErrorAdditionalInfo

Object

資源管理錯誤其他資訊。

名稱 類型 Description
info

object

其他資訊。
type

string

其他信息類型。

ErrorDetail

Object

錯誤詳細數據。

名稱 類型 Description
additionalInfo

ErrorAdditionalInfo[]

錯誤其他資訊。
code

string

錯誤碼。
details

ErrorDetail[]

錯誤詳細數據。
message

string

錯誤訊息。
target

string

錯誤目標。

ErrorResponse

Object

錯誤回應

名稱 類型 Description
error

ErrorDetail

error 物件。

ExtendedServerBlobAuditingPolicy

Object

擴充伺服器 Blob 稽核原則。

名稱 類型 Description
id

string

資源標識碼。
name

string

資源名稱。
properties.auditActionsAndGroups

string[]

指定要稽核的 Actions-Groups 和動作。

建議使用的一組動作群組是下列組合 - 這會稽核針對資料庫執行的所有查詢和預存程式,以及成功和失敗的登入:

BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。

上述組合也是從 Azure 入口網站啟用稽核時預設設定的集合。

要稽核的支援動作群組為 (注意:僅選擇涵蓋稽核需求的特定群組。使用不必要的群組可能會導致大量稽核記錄):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

這些群組涵蓋針對資料庫執行的所有 sql 語句和預存程式,且不應與其他群組搭配使用,因為這會導致重複的稽核記錄。

如需詳細資訊,請參閱 Database-Level 稽核動作群組

針對資料庫稽核原則,也可以指定特定動作(請注意,無法為伺服器稽核原則指定動作)。 要稽核的支援動作如下:SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

定義要稽核之動作的一般窗體是: {action} ON {object} BY {principal}

請注意,上述格式可以參照數據表、檢視或預存程式或整個資料庫或架構等物件。 針對後者,會分別使用 DATABASE::{db_name} 和 SCHEMA::{schema_name} 窗體。

例如:依 public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public SELECT on SCHEMA::mySchema by public

如需詳細資訊,請參閱 Database-Level 稽核動作
properties.isAzureMonitorTargetEnabled

boolean

指定稽核事件是否傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器,請將 'State' 指定為 'Enabled',並將 'IsAzureMonitorTargetEnabled' 指定為 true。

使用 REST API 設定稽核時,也應該在資料庫上建立具有 'SQLSecurityAuditEvents' 診斷記錄類別的診斷設定。 請注意,針對伺服器層級稽核,您應該使用 'master' 資料庫作為 {databaseName}。

診斷設定 URI 格式:PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

如需詳細資訊,請參閱 診斷設定 REST API診斷設定 PowerShell
properties.isDevopsAuditEnabled

boolean

指定 devops 稽核的狀態。 如果狀態為 [已啟用],devops 記錄將會傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器,請將 'State' 指定為 'Enabled'、'IsAzureMonitorTargetEnabled' 為 true,並將 'IsDevopsAuditEnabled' 指定為 true

使用 REST API 設定稽核時,也應該在 master 資料庫上建立具有 『DevOpsOperationsAudit』 診斷記錄類別的診斷設定。

診斷設定 URI 格式:PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

如需詳細資訊,請參閱 診斷設定 REST API診斷設定 PowerShell
properties.isManagedIdentityInUse

boolean

指定受控識別是否用來存取 Blob 記憶體
properties.isStorageSecondaryKeyInUse

boolean

指定 storageAccountAccessKey 值是否為記憶體的次要密鑰。
properties.predicateExpression

string

指定建立稽核時,where 子句的條件。
properties.queueDelayMs

integer (int32)

指定在強制處理稽核動作之前,可以經過毫秒的時間量。 預設值為1000 (1秒)。 最大值為 2,147,483,647。
properties.retentionDays

integer (int32)

指定要保留在記憶體帳戶稽核記錄中的天數。
properties.state

BlobAuditingPolicyState

指定稽核的狀態。 如果狀態為 Enabled,則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
properties.storageAccountAccessKey

string

指定稽核記憶體帳戶的標識碼金鑰。 如果狀態為 Enabled 且 storageEndpoint 已指定,則未指定 storageAccountAccessKey 會使用 SQL Server 系統指派的受控識別來存取記憶體。 使用受控識別驗證的必要條件:

  1. 在 Azure Active Directory (AAD) 中指派系統指派的受控識別給 SQL Server。
  2. 將「記憶體 Blob 數據參與者」RBAC 角色新增至伺服器身分識別,將 SQL Server 身分識別存取權授與記憶體帳戶。 如需詳細資訊,請參閱使用受控識別驗證對記憶體 稽核
properties.storageAccountSubscriptionId

string (uuid)

指定 Blob 記憶體訂用帳戶標識碼。
properties.storageEndpoint

string

指定 Blob 記憶體端點(例如 https://MyAccount.blob.core.windows.net)。 如果狀態為 Enabled,則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
type

string

資源類型。