SqlPoolBlobAuditingPolicy interface

Zásady auditování objektů blob fondu SQL.

Extends

Vlastnosti

auditActionsAndGroups

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Database-Level Skupiny akcí auditování.

Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Podporované akce auditu: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal}

Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}.

Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Database-Level akcí auditu

isAzureMonitorTargetEnabled

Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, zadejte stav jako Enabled a isAzureMonitorTargetEnabled jako true.

Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu rozhraní REST API pro nastavení diagnostiky nebo nastavení diagnostiky

isStorageSecondaryKeyInUse

Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.

kind

Druh prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

retentionDays

Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.

state

Určuje stav zásady. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled.

storageAccountAccessKey

Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a je zadán parametr storageEndpoint, je vyžadován klíč storageAccountAccessKey.

storageAccountSubscriptionId

Určuje ID předplatného úložiště objektů blob.

storageEndpoint

Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav povolen, je vyžadována hodnota storageEndpoint.

Zděděné vlastnosti

id

Plně kvalifikované ID prostředku pro prostředek. Příklad : /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

name

Název prostředku POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

type

Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

Podrobnosti vlastnosti

auditActionsAndGroups

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede se auditování všech dotazů a uložených procedur spuštěných v databázi i úspěšných a neúspěšných přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Tato výše uvedená kombinace je také sada, která je ve výchozím nastavení nakonfigurovaná při povolování auditování z webu Azure Portal.

Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi, a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu.

Další informace najdete v tématu Database-Level Skupiny akcí auditování.

Pro zásady auditování databáze je možné zadat také konkrétní akce (všimněte si, že pro zásady auditování serveru nelze zadat akce). Podporované akce auditu: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal}

Všimněte si, že <objekt> ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura nebo celá databáze nebo schéma. V těchto případech se použijí formuláře DATABASE::{db_name} a SCHEMA::{schema_name}.

Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Další informace najdete v tématu Database-Level akcí auditu

auditActionsAndGroups?: string[]

Hodnota vlastnosti

string[]

isAzureMonitorTargetEnabled

Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do služby Azure Monitor, zadejte stav jako Enabled a isAzureMonitorTargetEnabled jako true.

Při konfiguraci auditování pomocí rozhraní REST API by se také měla vytvořit nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu rozhraní REST API pro nastavení diagnostiky nebo nastavení diagnostiky

isAzureMonitorTargetEnabled?: boolean

Hodnota vlastnosti

boolean

isStorageSecondaryKeyInUse

Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště.

isStorageSecondaryKeyInUse?: boolean

Hodnota vlastnosti

boolean

kind

Druh prostředku. POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

kind?: string

Hodnota vlastnosti

string

retentionDays

Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště.

retentionDays?: number

Hodnota vlastnosti

number

state

Určuje stav zásady. Pokud je stav Povoleno, jsou vyžadovány hodnoty storageEndpoint nebo isAzureMonitorTargetEnabled.

state?: BlobAuditingPolicyState

Hodnota vlastnosti

storageAccountAccessKey

Určuje identifikátor klíče účtu úložiště auditování. Pokud je stav Povoleno a je zadán parametr storageEndpoint, je vyžadován klíč storageAccountAccessKey.

storageAccountAccessKey?: string

Hodnota vlastnosti

string

storageAccountSubscriptionId

Určuje ID předplatného úložiště objektů blob.

storageAccountSubscriptionId?: string

Hodnota vlastnosti

string

storageEndpoint

Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav povolen, je vyžadována hodnota storageEndpoint.

storageEndpoint?: string

Hodnota vlastnosti

string

Podrobnosti zděděných vlastností

id

Plně kvalifikované ID prostředku pro prostředek. Příklad : /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

id?: string

Hodnota vlastnosti

string

zděděno zeProxyResource.id

name

Název prostředku POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

name?: string

Hodnota vlastnosti

string

zděděno zeProxyResource.name

type

Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts POZNÁMKA: Tato vlastnost nebude serializována. Server ho může naplnit pouze.

type?: string

Hodnota vlastnosti

string

zděděno zeProxyResource.type