Server Blob Auditing Policies - Create Or Update

服務:

SQL Database

API 版本:

2021-11-01

建立或更新伺服器的 Blob 稽核原則。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2021-11-01

URI 參數

名稱	位於	必要	類型	Description
blobAuditingPolicyName	path	True	blobAuditingPolicyName	Blob 稽核原則的名稱。
resourceGroupName	path	True	string	包含資源的資源群組名稱。 您可以從 Azure 資源管理員 API 或入口網站取得這個值。
serverName	path	True	string	伺服器的名稱。
subscriptionId	path	True	string	可識別 Azure 訂用帳戶的訂用帳戶識別碼。
api-version	query	True	string	要用於要求的 API 版本。

要求本文

名稱	必要	類型	Description
properties.state	True	BlobAuditingPolicyState	指定稽核的狀態。 如果 state 為 Enabled，則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
properties.auditActionsAndGroups		string[]	指定要稽核的 Actions-Groups 和動作。 建議使用的一組動作群組是下列組合- 這會稽核針對資料庫執行的所有查詢和預存程式，以及成功和失敗的登入： BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP。 上述組合也是從 Azure 入口網站 啟用稽核時預設設定的集合。 要稽核的支援動作群組 (附注：僅選擇涵蓋稽核需求的特定群組。使用不必要的群組可能會導致非常大量的稽核記錄) ： APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP 這些群組涵蓋針對資料庫執行的所有 sql 語句和預存程式，不應與其他群組搭配使用，因為這樣會導致重複的稽核記錄。 如需詳細資訊，請參閱 資料庫層級稽核動作群組。 針對資料庫稽核原則，也可以指定特定動作 (請注意，無法為伺服器稽核原則指定動作) 。 要稽核的支援動作如下：SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES 定義要稽核之動作的一般形式是： {action} ON {object} BY {principal} 請注意，上述格式可以參照數據表、檢視或預存程式或整個資料庫或架構等物件。 在後者的情況下，會分別使用DATABASE：：{db_name} 和SCHEMA：：{schema_name}。 例如：依 PUBLIC SELECT on DATABASE：：myDatabase 上的 public SELECT on DBo.myTable by public SELECT on SCHEMA：：mySchema by public 如需詳細資訊，請參閱 資料庫層級稽核動作
properties.isAzureMonitorTargetEnabled		boolean	指定稽核事件是否傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器，請將 'State' 指定為 'Enabled'，並將 'IsAzureMonitorTargetEnabled' 指定為 true。 使用 REST API 來設定稽核時，也應該在資料庫上建立具有 'SQLSecurityAuditEvents' 診斷記錄類別的診斷設定。 請注意，針對伺服器層級稽核，您應該使用 'master' 資料庫作為 {databaseName}。 診斷設定 URI 格式：PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview 如需詳細資訊，請參閱 診斷設定 REST API 或 診斷設定 PowerShell
properties.isDevopsAuditEnabled		boolean	指定 devops 稽核的狀態。 如果狀態為 [已啟用]，則會將 devops 記錄傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器，請將 'State' 指定為 'Enabled'、'IsAzureMonitorTargetEnabled' 為 true，並將 'IsDevopsAuditEnabled' 指定為 true 使用 REST API 來設定稽核時，也應該在 master 資料庫上建立具有 'DevOpsOperationsAudit' 診斷記錄類別的診斷設定。 診斷設定 URI 格式：PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview 如需詳細資訊，請參閱 診斷設定 REST API 或 診斷設定 PowerShell
properties.isManagedIdentityInUse		boolean	指定是否使用受控識別來存取 Blob 記憶體
properties.isStorageSecondaryKeyInUse		boolean	指定 storageAccountAccessKey 值是否為記憶體的次要密鑰。
properties.queueDelayMs		integer	指定在強制處理稽核動作之前經過的時間長度 (以毫秒為單位)。 預設的最小值為 1000 (1 秒鐘)。 最大值為 2,147,483,647。
properties.retentionDays		integer	指定要保留在記憶體帳戶中的稽核記錄中的天數。
properties.storageAccountAccessKey		string	指定稽核記憶體帳戶的標識碼金鑰。 如果狀態為 Enabled 且指定 storageEndpoint，則未指定 storageAccountAccessKey 將會使用 SQL Server 系統指派的受控識別來存取記憶體。 使用受控識別驗證的必要條件： 在 Azure Active Directory (AAD) 中指派系統指派的受控識別 SQL Server。 將「記憶體 Blob 數據參與者」RBAC 角色新增至伺服器識別，以授與 SQL Server 儲存器帳戶的身分識別存取權。 如需詳細資訊，請參閱 使用受控識別驗證稽核記憶體
properties.storageAccountSubscriptionId		string	指定 Blob 記憶體訂用帳戶標識碼。
properties.storageEndpoint		string	指定 blob 記憶體端點 (例如 https://MyAccount.blob.core.windows.net) 。 如果狀態為 Enabled，則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

回應

名稱	類型	Description
200 OK	ServerBlobAuditingPolicy	已成功更新稽核設定。
202 Accepted		正在更新稽核設定。
Other Status Codes		錯誤回應： ≦ 400 InvalidServerBlobAuditingPolicyCreateRequest - 建立伺服器 Blob 稽核原則要求不存在或沒有任何屬性物件。 400 InvalidBlobAuditActionsAndGroups - 無效的稽核動作或動作群組。 400 DataSecurityInvalidUserSuppliedParameter - 用戶端提供無效的參數值。 400 BlobAuditingInvalidStorageAccountCredentials - 提供的記憶體帳戶或存取密鑰無效。 400 InvalidBlobAuditActionsAndGroups - 稽核動作或動作群組無效。 400 InsufficientDiskSpaceForAuditing - 磁盘空間不足，無法儲存資料庫中的稽核元數據 400 InvalidBlobAuditActions - 稽核動作無效 404 SubscriptionDoesNotHaveServer - 找不到要求的伺服器 404 ServerNotInSubscriptionResourceGroup - 指定的伺服器不存在於指定的資源群組和訂用帳戶中。 404 OperationIdNotFound - 標識符為的作業不存在。 409 ServerBlobAuditingPolicyInProgress - 設定伺服器 Blob 稽核正在進行中。 409 OperationCancelled - 使用者已取消作業。 409 OperationInterrupted - 無法完成資源上的作業，因為它被相同資源上的另一個作業中斷。 429 SubscriptionTooManyCreateUpdateRequests - 超出可用資源可處理之最大要求的要求。 429 SubscriptionTooManyRequests - 超出可用資源可處理的最大要求。 500 OperationTimedOut - 作業逾時並自動回復。 請重試該作業。 503 TooManyRequests - 超出可用資源可處理之最大要求的要求。

範例

Update a server's blob auditing policy with all parameters

Update a server's blob auditing policy with minimal parameters

Update a server's blob auditing policy with all parameters

範例要求

HTTP

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default?api-version=2021-11-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": true
  }
}

Java

import com.azure.resourcemanager.sql.fluent.models.ServerBlobAuditingPolicyInner;
import com.azure.resourcemanager.sql.models.BlobAuditingPolicyState;
import java.util.Arrays;
import java.util.UUID;

/**
 * Samples for ServerBlobAuditingPolicies CreateOrUpdate.
 */
public final class Main {
    /*
     * x-ms-original-file:
     * specification/sql/resource-manager/Microsoft.Sql/stable/2021-11-01/examples/ServerBlobAuditingCreateMax.json
     */
    /**
     * Sample code: Update a server's blob auditing policy with all parameters.
     * 
     * @param azure The entry point for accessing resource management APIs in Azure.
     */
    public static void
        updateAServerSBlobAuditingPolicyWithAllParameters(com.azure.resourcemanager.AzureResourceManager azure) {
        azure.sqlServers().manager().serviceClient().getServerBlobAuditingPolicies().createOrUpdate(
            "blobauditingtest-4799", "blobauditingtest-6440",
            new ServerBlobAuditingPolicyInner().withRetentionDays(6)
                .withAuditActionsAndGroups(Arrays.asList("SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
                    "FAILED_DATABASE_AUTHENTICATION_GROUP", "BATCH_COMPLETED_GROUP"))
                .withIsStorageSecondaryKeyInUse(false).withIsAzureMonitorTargetEnabled(true).withQueueDelayMs(4000)
                .withState(BlobAuditingPolicyState.ENABLED)
                .withStorageEndpoint("https://mystorage.blob.core.windows.net")
                .withStorageAccountAccessKey("fakeTokenPlaceholder").withStorageAccountSubscriptionId(
                    UUID.fromString("00000000-1234-0000-5678-000000000000")),
            com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

範例回覆

狀態碼:

200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/auditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": true
  }
}

狀態碼:

202

Update a server's blob auditing policy with minimal parameters

範例要求

HTTP

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default?api-version=2021-11-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Java

import com.azure.resourcemanager.sql.fluent.models.ServerBlobAuditingPolicyInner;
import com.azure.resourcemanager.sql.models.BlobAuditingPolicyState;

/**
 * Samples for ServerBlobAuditingPolicies CreateOrUpdate.
 */
public final class Main {
    /*
     * x-ms-original-file:
     * specification/sql/resource-manager/Microsoft.Sql/stable/2021-11-01/examples/ServerBlobAuditingCreateMin.json
     */
    /**
     * Sample code: Update a server's blob auditing policy with minimal parameters.
     * 
     * @param azure The entry point for accessing resource management APIs in Azure.
     */
    public static void
        updateAServerSBlobAuditingPolicyWithMinimalParameters(com.azure.resourcemanager.AzureResourceManager azure) {
        azure.sqlServers().manager().serviceClient().getServerBlobAuditingPolicies().createOrUpdate(
            "blobauditingtest-4799", "blobauditingtest-6440",
            new ServerBlobAuditingPolicyInner().withState(BlobAuditingPolicyState.ENABLED)
                .withStorageEndpoint("https://mystorage.blob.core.windows.net")
                .withStorageAccountAccessKey("fakeTokenPlaceholder"),
            com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

範例回覆

狀態碼:

200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/auditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ]
  }
}

狀態碼:

202

定義

名稱	Description
blobAuditingPolicyName	Blob 稽核原則的名稱。
BlobAuditingPolicyState	指定稽核的狀態。 如果 state 為 Enabled，則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
ServerBlobAuditingPolicy	伺服器 Blob 稽核原則。

blobAuditingPolicyName

Blob 稽核原則的名稱。

名稱	類型	Description
default	string

BlobAuditingPolicyState

指定稽核的狀態。 如果 state 為 Enabled，則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。

名稱	類型	Description
Disabled	string
Enabled	string

ServerBlobAuditingPolicy

伺服器 Blob 稽核原則。

名稱	類型	Description
id	string	資源識別碼。
name	string	資源名稱。
properties.auditActionsAndGroups	string[]	指定要稽核的 Actions-Groups 和動作。 建議使用的一組動作群組是下列組合- 這會稽核針對資料庫執行的所有查詢和預存程式，以及成功和失敗的登入： BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP。 上述組合也是從 Azure 入口網站 啟用稽核時預設設定的集合。 要稽核的支援動作群組 (附注：僅選擇涵蓋稽核需求的特定群組。使用不必要的群組可能會導致非常大量的稽核記錄) ： APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP 這些群組涵蓋針對資料庫執行的所有 sql 語句和預存程式，不應與其他群組搭配使用，因為這樣會導致重複的稽核記錄。 如需詳細資訊，請參閱 資料庫層級稽核動作群組。 針對資料庫稽核原則，也可以指定特定動作 (請注意，無法為伺服器稽核原則指定動作) 。 要稽核的支援動作如下：SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES 定義要稽核之動作的一般形式是： {action} ON {object} BY {principal} 請注意，上述格式可以參照數據表、檢視或預存程式或整個資料庫或架構等物件。 在後者的情況下，會分別使用DATABASE：：{db_name} 和SCHEMA：：{schema_name}。 例如：依 PUBLIC SELECT on DATABASE：：myDatabase 上的 public SELECT on DBo.myTable by public SELECT on SCHEMA：：mySchema by public 如需詳細資訊，請參閱 資料庫層級稽核動作
properties.isAzureMonitorTargetEnabled	boolean	指定稽核事件是否傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器，請將 'State' 指定為 'Enabled'，並將 'IsAzureMonitorTargetEnabled' 指定為 true。 使用 REST API 來設定稽核時，也應該在資料庫上建立具有 'SQLSecurityAuditEvents' 診斷記錄類別的診斷設定。 請注意，針對伺服器層級稽核，您應該使用 'master' 資料庫作為 {databaseName}。 診斷設定 URI 格式：PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview 如需詳細資訊，請參閱 診斷設定 REST API 或 診斷設定 PowerShell
properties.isDevopsAuditEnabled	boolean	指定 devops 稽核的狀態。 如果狀態為 [已啟用]，則會將 devops 記錄傳送至 Azure 監視器。 若要將事件傳送至 Azure 監視器，請將 'State' 指定為 'Enabled'、'IsAzureMonitorTargetEnabled' 為 true，並將 'IsDevopsAuditEnabled' 指定為 true 使用 REST API 來設定稽核時，也應該在 master 資料庫上建立具有 'DevOpsOperationsAudit' 診斷記錄類別的診斷設定。 診斷設定 URI 格式：PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview 如需詳細資訊，請參閱 診斷設定 REST API 或 診斷設定 PowerShell
properties.isManagedIdentityInUse	boolean	指定是否使用受控識別來存取 Blob 記憶體
properties.isStorageSecondaryKeyInUse	boolean	指定 storageAccountAccessKey 值是否為記憶體的次要密鑰。
properties.queueDelayMs	integer	指定在強制處理稽核動作之前經過的時間長度 (以毫秒為單位)。 預設的最小值為 1000 (1 秒鐘)。 最大值為 2,147,483,647。
properties.retentionDays	integer	指定要保留在記憶體帳戶中的稽核記錄中的天數。
properties.state	BlobAuditingPolicyState	指定稽核的狀態。 如果 state 為 Enabled，則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
properties.storageAccountAccessKey	string	指定稽核記憶體帳戶的標識碼金鑰。 如果狀態為 Enabled 且指定 storageEndpoint，則未指定 storageAccountAccessKey 將會使用 SQL Server 系統指派的受控識別來存取記憶體。 使用受控識別驗證的必要條件： 在 Azure Active Directory (AAD) 中指派系統指派的受控識別 SQL Server。 將「記憶體 Blob 數據參與者」RBAC 角色新增至伺服器識別，以授與 SQL Server 儲存器帳戶的身分識別存取權。 如需詳細資訊，請參閱 使用受控識別驗證稽核記憶體
properties.storageAccountSubscriptionId	string	指定 Blob 記憶體訂用帳戶標識碼。
properties.storageEndpoint	string	指定 blob 記憶體端點 (例如 https://MyAccount.blob.core.windows.net) 。 如果狀態為 Enabled，則需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
type	string	資源類型。