DatabaseBlobAuditingPolicyProperties interface
Vlastnosti politiky auditu databázových blobů.
Vlastnosti
| audit |
Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sadou, která je nastavena ve výchozím nastavení při zapnutí auditu z portálu Azure. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Database-Level Skupiny akcí auditování. Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Podporované akce auditu jsou: VYBRAT AKTUALIZACI VLOŽIT VYMAZAT SPUSTIT PŘIJÍMÁNÍ REFERENCÍ Obecný tvar pro definování akce, která má být auditována, je: {action} ON {object} BY {principal} Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}. Například: SELECT na dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Database-Level akcí auditu |
| is |
Specifikuje, zda jsou auditní události odesílány do Azure Monitor. Pro odeslání událostí do Azure Monitor určete 'State' jako 'Enabled' a 'IsAzureMonitorTargetEnabled' jako true. Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Diagnostická nastavení URI formát: PUT Pro více informací viz Diagnostická nastavení, REST API nebo Diagnostická nastavení, PowerShell |
| is |
Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob. |
| is |
Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. |
| queue |
Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647. |
| retention |
Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. |
| state | Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled. |
| storage |
Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity:
|
| storage |
Určuje ID předplatného úložiště objektů blob. |
| storage |
Určuje koncový bod úložiště objektů blob (např. |
Podrobnosti vlastnosti
auditActionsAndGroups
Určuje Actions-Groups a akce, které se mají auditovat.
Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Tato výše uvedená kombinace je také sadou, která je nastavena ve výchozím nastavení při zapnutí auditu z portálu Azure.
Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.
Další informace najdete v tématu Database-Level Skupiny akcí auditování.
Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Podporované akce auditu jsou: VYBRAT AKTUALIZACI VLOŽIT VYMAZAT SPUSTIT PŘIJÍMÁNÍ REFERENCÍ
Obecný tvar pro definování akce, která má být auditována, je: {action} ON {object} BY {principal}
Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}.
Například: SELECT na dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public
Další informace najdete v tématu Database-Level akcí auditu
auditActionsAndGroups?: string[]
Hodnota vlastnosti
string[]
isAzureMonitorTargetEnabled
Specifikuje, zda jsou auditní události odesílány do Azure Monitor. Pro odeslání událostí do Azure Monitor určete 'State' jako 'Enabled' a 'IsAzureMonitorTargetEnabled' jako true.
Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.
Diagnostická nastavení URI formát: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Pro více informací viz Diagnostická nastavení, REST API nebo Diagnostická nastavení, PowerShell
isAzureMonitorTargetEnabled?: boolean
Hodnota vlastnosti
boolean
isManagedIdentityInUse
Určuje, jestli se spravovaná identita používá pro přístup k úložišti objektů blob.
isManagedIdentityInUse?: boolean
Hodnota vlastnosti
boolean
isStorageSecondaryKeyInUse
Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.
isStorageSecondaryKeyInUse?: boolean
Hodnota vlastnosti
boolean
queueDelayMs
Určuje dobu v milisekundách, která může uplynout před vynuceným zpracováním akcí auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximum je 2 147 483 647.
queueDelayMs?: number
Hodnota vlastnosti
number
retentionDays
Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.
retentionDays?: number
Hodnota vlastnosti
number
state
Určuje stav auditu. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled.
state: BlobAuditingPolicyState
Hodnota vlastnosti
storageAccountAccessKey
Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a parametr storageEndpoint je zadaný, nezadávejte klíč storageAccountAccessKey pro přístup k úložišti spravovanou identitu přiřazenou systémem sql serveru. Předpoklady pro použití ověřování spravované identity:
- Přiřadit SQL Server systémově přiřazenou spravovanou identitu v Azure Active Directory (AAD).
- Udělit identitu SQL Server k úložnému účtu přidáním role RBAC 'Storage Blob Data Contributor' k identitě serveru. Další informace najdete v tématu Auditování úložiště pomocí ověřování spravované identity
storageAccountAccessKey?: string
Hodnota vlastnosti
string
storageAccountSubscriptionId
Určuje ID předplatného úložiště objektů blob.
storageAccountSubscriptionId?: string
Hodnota vlastnosti
string
storageEndpoint
Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, je vyžadována možnost storageEndpoint nebo isAzureMonitorTargetEnabled.
storageEndpoint?: string
Hodnota vlastnosti
string