ServerBlobAuditingPolicyProperties interface
خصائص سياسة تدقيق كتلة الخادم.
الخصائص
| audit |
تحديد Actions-Groups والإجراءات التي يجب تدقيقها. مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة: BATCH_COMPLETED_GROUP، SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP، FAILED_DATABASE_AUTHENTICATION_GROUP. هذا التركيبة أعلاه هي أيضا المجموعة التي يتم تكوينها افتراضيا عند تفعيل التدقيق من بوابة Azure. مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة. لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق. بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي: اختر تحديث إدخال حذف تنفيذ المراجع الشكل العام لتعريف إجراء سيتم تدقيقه هو: {action} ON {object} BY {principal} لاحظ أن <> العنصر بالتنسيق أعلاه يمكن أن يشير إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي. على سبيل المثال: SELECT على dbo.myTable بواسطة العام SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public لمزيد من المعلومات، راجع إجراءات التدقيق |
| is |
يحدد ما إذا كانت أحداث التدقيق ترسل إلى Azure Monitor. لإرسال الأحداث إلى Azure Monitor، حدد 'State' ك 'Enabled' و'IsAzureMonitorTargetEnabled' كصحيح. عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات. لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}. إعدادات التشخيص تنسيق URI: PUT لمزيد من المعلومات، راجع إعدادات التشخيص REST API أو إعدادات التشخيص PowerShell |
| is |
تحديد حالة تدقيق devops. إذا تم تفعيل الحالة (states)، سيتم إرسال سجلات devops إلى Azure Monitor. لإرسال الأحداث إلى Azure Monitor، حدد 'State' ك 'Enabled'، و'IsAzureMonitorTargetEnabled' كtrue و'IsDevopsAuditEnabled' كtrue عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية. إعدادات التشخيص تنسيق URI: PUT لمزيد من المعلومات، راجع إعدادات التشخيص REST API أو إعدادات التشخيص PowerShell |
| is |
تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم |
| is |
تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين. |
| queue |
يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق. القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647. |
| retention |
يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين. |
| state | تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة. |
| storage |
تحديد مفتاح المعرف لحساب تخزين التدقيق. إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين. المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
|
| storage |
يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم. |
| storage |
تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، |
تفاصيل الخاصية
auditActionsAndGroups
تحديد Actions-Groups والإجراءات التي يجب تدقيقها.
مجموعة الإجراءات الموصى بها لاستخدامها هي المجموعة التالية - سيؤدي ذلك إلى تدقيق جميع الاستعلامات والإجراءات المخزنة التي تم تنفيذها على قاعدة البيانات، بالإضافة إلى عمليات تسجيل الدخول الناجحة والف الفاشلة:
BATCH_COMPLETED_GROUP، SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP، FAILED_DATABASE_AUTHENTICATION_GROUP.
هذا التركيبة أعلاه هي أيضا المجموعة التي يتم تكوينها افتراضيا عند تفعيل التدقيق من بوابة Azure.
مجموعات الإجراءات المدعومة للتدقيق هي (ملاحظة: اختر مجموعات محددة فقط تغطي احتياجات التدقيق الخاصة بك. قد يؤدي استخدام المجموعات غير الضرورية إلى كميات كبيرة جدا من سجلات التدقيق):
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
هذه هي المجموعات التي تغطي جميع عبارات sql والإجراءات المخزنة التي يتم تنفيذها على قاعدة البيانات، ولا يجب استخدامها بالاشتراك مع مجموعات أخرى لأن هذا سيؤدي إلى سجلات تدقيق مكررة.
لمزيد من المعلومات، راجع Database-Level مجموعات إجراءات التدقيق.
بالنسبة لنهج تدقيق قاعدة البيانات، يمكن أيضا تحديد إجراءات معينة (لاحظ أنه لا يمكن تحديد الإجراءات لنهج تدقيق الخادم). الإجراءات المدعومة للتدقيق هي: اختر تحديث إدخال حذف تنفيذ المراجع
الشكل العام لتعريف إجراء سيتم تدقيقه هو: {action} ON {object} BY {principal}
لاحظ أن <> العنصر بالتنسيق أعلاه يمكن أن يشير إلى كائن مثل جدول أو عرض أو إجراء مخزن أو قاعدة بيانات أو مخطط بأكمله. بالنسبة للحالات الأخيرة، يتم استخدام النماذج DATABASE::{db_name} و SCHEMA::{schema_name} على التوالي.
على سبيل المثال: SELECT على dbo.myTable بواسطة العام SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public
لمزيد من المعلومات، راجع إجراءات التدقيق
auditActionsAndGroups?: string[]
قيمة الخاصية
string[]
isAzureMonitorTargetEnabled
يحدد ما إذا كانت أحداث التدقيق ترسل إلى Azure Monitor. لإرسال الأحداث إلى Azure Monitor، حدد 'State' ك 'Enabled' و'IsAzureMonitorTargetEnabled' كصحيح.
عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص 'SQLSecurityAuditEvents' على قاعدة البيانات. لاحظ أنه لتدقيق مستوى الخادم يجب استخدام قاعدة البيانات "الرئيسية" ك {databaseName}.
إعدادات التشخيص تنسيق URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
لمزيد من المعلومات، راجع إعدادات التشخيص REST API أو إعدادات التشخيص PowerShell
isAzureMonitorTargetEnabled?: boolean
قيمة الخاصية
boolean
isDevopsAuditEnabled
تحديد حالة تدقيق devops. إذا تم تفعيل الحالة (states)، سيتم إرسال سجلات devops إلى Azure Monitor. لإرسال الأحداث إلى Azure Monitor، حدد 'State' ك 'Enabled'، و'IsAzureMonitorTargetEnabled' كtrue و'IsDevopsAuditEnabled' كtrue
عند استخدام واجهة برمجة تطبيقات REST لتكوين التدقيق، يجب أيضا إنشاء إعدادات التشخيص مع فئة سجلات التشخيص "DevOpsOperationsAudit" على قاعدة البيانات الرئيسية.
إعدادات التشخيص تنسيق URI: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
لمزيد من المعلومات، راجع إعدادات التشخيص REST API أو إعدادات التشخيص PowerShell
isDevopsAuditEnabled?: boolean
قيمة الخاصية
boolean
isManagedIdentityInUse
تحديد ما إذا كان يتم استخدام الهوية المدارة للوصول إلى تخزين كائن ثنائي كبير الحجم
isManagedIdentityInUse?: boolean
قيمة الخاصية
boolean
isStorageSecondaryKeyInUse
تحديد ما إذا كانت قيمة storageAccountAccessKey هي المفتاح الثانوي للتخزين.
isStorageSecondaryKeyInUse?: boolean
قيمة الخاصية
boolean
queueDelayMs
يحدد مقدار الوقت بالمللي ثانية الذي يمكن أن ينقضي قبل فرض معالجة إجراءات التدقيق. القيمة الدنيا الافتراضية هي 1000 (ثانية 1). الحد الأقصى هو 2,147,483,647.
queueDelayMs?: number
قيمة الخاصية
number
retentionDays
يحدد عدد الأيام التي يجب الاحتفاظ بها في سجلات التدقيق في حساب التخزين.
retentionDays?: number
قيمة الخاصية
number
state
تحديد حالة التدقيق. إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوبة.
state: BlobAuditingPolicyState
قيمة الخاصية
storageAccountAccessKey
تحديد مفتاح المعرف لحساب تخزين التدقيق. إذا كانت الحالة ممكنة وتم تحديد storageEndpoint، فإن عدم تحديد storageAccountAccessKey سيستخدم الهوية المدارة المعينة من قبل نظام خادم SQL للوصول إلى التخزين. المتطلبات الأساسية لاستخدام مصادقة الهوية المدارة:
- تعيين هوية مدارة معينة من النظام إلى SQL Server في Azure Active Directory (AAD).
- امنح SQL Server حق الوصول إلى هوية حساب التخزين بإضافة دور RBAC ل 'Storage Blob Data Contributor' إلى هوية الخادم. لمزيد من المعلومات، راجع التدقيق إلى التخزين باستخدام مصادقة الهوية المدارة
storageAccountAccessKey?: string
قيمة الخاصية
string
storageAccountSubscriptionId
يحدد معرف اشتراك تخزين الكائن الثنائي كبير الحجم.
storageAccountSubscriptionId?: string
قيمة الخاصية
string
storageEndpoint
تحديد نقطة نهاية تخزين الكائن الثنائي كبير الحجم (على سبيل المثال، https://MyAccount.blob.core.windows.net). إذا كانت الحالة ممكنة، فإن storageEndpoint أو isAzureMonitorTargetEnabled مطلوب.
storageEndpoint?: string
قيمة الخاصية
string