ServerBlobAuditingPolicy interface

Kiszolgálói blobnaplózási szabályzat.

Extends

Tulajdonságok

auditActionsAndGroups

Meghatározza a naplózandó Actions-Groups és műveleteket.

A javasolt műveletcsoportok a következő kombinációt használják – ez naplózni fogja az adatbázison végrehajtott összes lekérdezést és tárolt eljárást, valamint a sikeres és sikertelen bejelentkezéseket:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ez a fenti kombináció az a készlet is, amely alapértelmezés szerint konfigurálva van, amikor engedélyezi a naplózást az Azure Portalról.

A naplózáshoz támogatott műveletcsoportok (megjegyzés: csak azokat a csoportokat válassza ki, amelyek megfelelnek a naplózási igényeknek. A szükségtelen csoportok használata nagyon nagy mennyiségű naplózási rekordhoz vezethet:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Ezek olyan csoportok, amelyek lefedik az adatbázison végrehajtott összes SQL-utasítást és tárolt eljárást, és nem használhatók más csoportokkal együtt, mivel ez ismétlődő naplózási naplókat eredményez.

További információ: Database-Level Naplózási műveletcsoportok.

Adatbázis-naplózási szabályzat esetén adott műveletek is megadhatók (vegye figyelembe, hogy a kiszolgáló naplózási házirendje nem adhatja meg a műveleteket). A naplózás támogatott műveletei a következők: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

A naplózni kívánt művelet meghatározásának általános űrlapja: {action} ON {object} BY {principal}

Vegye figyelembe, hogy <objektum> a fenti formátumban hivatkozhat egy objektumra, például táblázatra, nézetre vagy tárolt eljárásra, vagy egy teljes adatbázisra vagy sémára. Az utóbbi esetekben a RENDSZER a DATABASE::{db_name} és a SCHEMA::{schema_name} űrlapot használja.

Például: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

További információ: Database-Level Naplózási műveletek

isAzureMonitorTargetEnabled

Megadja, hogy a rendszer elküldi-e a naplózási eseményeket az Azure Monitornak. Az események Azure Monitorba való küldéséhez adja meg az "Állapot" értéket "Engedélyezve" és az "IsAzureMonitorTargetEnabled" értéket igazként.

Amikor REST API-t használ a naplózás konfigurálásához, létre kell hozni az adatbázis "SQLSecurityAuditEvents" diagnosztikai naplókat tartalmazó diagnosztikai beállításait is. Vegye figyelembe, hogy a kiszolgálószintű naplózáshoz a "master" adatbázist {databaseName} néven kell használnia.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell-

isDevopsAuditEnabled

A devops-naplózás állapotát adja meg. Ha az állapot engedélyezve van, a rendszer devops-naplókat küld az Azure Monitornak. Az események Azure Monitorba való küldéséhez adja meg az "Állapot" értéket "Engedélyezve", az "IsAzureMonitorTargetEnabled" értéket igazként, az "IsDevopsAuditEnabled" értéket pedig igazként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hozni a diagnosztikai beállításokat a "DevOpsOperationsAudit" diagnosztikai naplók kategóriájával a főadatbázison.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell-

isManagedIdentityInUse

Megadja, hogy a felügyelt identitás használható-e a blobtároló eléréséhez

isStorageSecondaryKeyInUse

Megadja, hogy a storageAccountAccessKey érték-e a tároló másodlagos kulcsa.

queueDelayMs

Ezredmásodpercben adja meg, hogy mennyi idő telik el a naplózási műveletek feldolgozásának kényszerítése előtt. Az alapértelmezett minimális érték 1000 (1 másodperc). A maximális érték 2 147 483 647.

retentionDays

A tárfiók naplóiban tartandó napok számát adja meg.

state

A naplózás állapotát adja meg. Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

storageAccountAccessKey

Megadja a naplózási tárfiók azonosítókulcsát. Ha az állapot engedélyezve van, és a storageEndpoint meg van adva, a storageAccountAccessKey megadásakor a rendszer által hozzárendelt felügyelt SQL Server-identitás fogja használni a tároló elérését. A felügyelt identitás hitelesítésének előfeltételei:

  1. Sql Server hozzárendelése rendszer által hozzárendelt felügyelt identitáshoz az Azure Active Directoryban (AAD).
  2. Adjon hozzáférést az SQL Server-identitáshoz a tárfiókhoz úgy, hogy hozzáadja a "Storage Blob Data Contributor" RBAC-szerepkört a kiszolgálóidentitáshoz. További információ: Naplózás a tárolóba felügyelt identitásalapú hitelesítéssel
storageAccountSubscriptionId

Megadja a Blob Storage-előfizetés azonosítóját.

storageEndpoint

Megadja a blobtároló végpontját (például https://MyAccount.blob.core.windows.net). Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

Örökölt tulajdonságok

id

Az erőforrás teljesen minősített azonosítója. Example - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name

Az erőforrás neve

systemData

A createdBy és a modifiedBy adatokat tartalmazó Azure Resource Manager-metaadatok.

type

Az erőforrás típusa. Például: "Microsoft.Compute/virtualMachines" vagy "Microsoft.Storage/storageAccounts"

Tulajdonság adatai

auditActionsAndGroups

Meghatározza a naplózandó Actions-Groups és műveleteket.

A javasolt műveletcsoportok a következő kombinációt használják – ez naplózni fogja az adatbázison végrehajtott összes lekérdezést és tárolt eljárást, valamint a sikeres és sikertelen bejelentkezéseket:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ez a fenti kombináció az a készlet is, amely alapértelmezés szerint konfigurálva van, amikor engedélyezi a naplózást az Azure Portalról.

A naplózáshoz támogatott műveletcsoportok (megjegyzés: csak azokat a csoportokat válassza ki, amelyek megfelelnek a naplózási igényeknek. A szükségtelen csoportok használata nagyon nagy mennyiségű naplózási rekordhoz vezethet:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Ezek olyan csoportok, amelyek lefedik az adatbázison végrehajtott összes SQL-utasítást és tárolt eljárást, és nem használhatók más csoportokkal együtt, mivel ez ismétlődő naplózási naplókat eredményez.

További információ: Database-Level Naplózási műveletcsoportok.

Adatbázis-naplózási szabályzat esetén adott műveletek is megadhatók (vegye figyelembe, hogy a kiszolgáló naplózási házirendje nem adhatja meg a műveleteket). A naplózás támogatott műveletei a következők: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

A naplózni kívánt művelet meghatározásának általános űrlapja: {action} ON {object} BY {principal}

Vegye figyelembe, hogy <objektum> a fenti formátumban hivatkozhat egy objektumra, például táblázatra, nézetre vagy tárolt eljárásra, vagy egy teljes adatbázisra vagy sémára. Az utóbbi esetekben a RENDSZER a DATABASE::{db_name} és a SCHEMA::{schema_name} űrlapot használja.

Például: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

További információ: Database-Level Naplózási műveletek

auditActionsAndGroups?: string[]

Tulajdonság értéke

string[]

isAzureMonitorTargetEnabled

Megadja, hogy a rendszer elküldi-e a naplózási eseményeket az Azure Monitornak. Az események Azure Monitorba való küldéséhez adja meg az "Állapot" értéket "Engedélyezve" és az "IsAzureMonitorTargetEnabled" értéket igazként.

Amikor REST API-t használ a naplózás konfigurálásához, létre kell hozni az adatbázis "SQLSecurityAuditEvents" diagnosztikai naplókat tartalmazó diagnosztikai beállításait is. Vegye figyelembe, hogy a kiszolgálószintű naplózáshoz a "master" adatbázist {databaseName} néven kell használnia.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell-

isAzureMonitorTargetEnabled?: boolean

Tulajdonság értéke

boolean

isDevopsAuditEnabled

A devops-naplózás állapotát adja meg. Ha az állapot engedélyezve van, a rendszer devops-naplókat küld az Azure Monitornak. Az események Azure Monitorba való küldéséhez adja meg az "Állapot" értéket "Engedélyezve", az "IsAzureMonitorTargetEnabled" értéket igazként, az "IsDevopsAuditEnabled" értéket pedig igazként.

Ha REST API-t használ a naplózás konfigurálásához, létre kell hozni a diagnosztikai beállításokat a "DevOpsOperationsAudit" diagnosztikai naplók kategóriájával a főadatbázison.

Diagnosztikai beállítások URI formátuma: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

További információ: Diagnosztikai beállítások REST API vagy Diagnosztikai beállítások PowerShell-

isDevopsAuditEnabled?: boolean

Tulajdonság értéke

boolean

isManagedIdentityInUse

Megadja, hogy a felügyelt identitás használható-e a blobtároló eléréséhez

isManagedIdentityInUse?: boolean

Tulajdonság értéke

boolean

isStorageSecondaryKeyInUse

Megadja, hogy a storageAccountAccessKey érték-e a tároló másodlagos kulcsa.

isStorageSecondaryKeyInUse?: boolean

Tulajdonság értéke

boolean

queueDelayMs

Ezredmásodpercben adja meg, hogy mennyi idő telik el a naplózási műveletek feldolgozásának kényszerítése előtt. Az alapértelmezett minimális érték 1000 (1 másodperc). A maximális érték 2 147 483 647.

queueDelayMs?: number

Tulajdonság értéke

number

retentionDays

A tárfiók naplóiban tartandó napok számát adja meg.

retentionDays?: number

Tulajdonság értéke

number

state

A naplózás állapotát adja meg. Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

state?: BlobAuditingPolicyState

Tulajdonság értéke

storageAccountAccessKey

Megadja a naplózási tárfiók azonosítókulcsát. Ha az állapot engedélyezve van, és a storageEndpoint meg van adva, a storageAccountAccessKey megadásakor a rendszer által hozzárendelt felügyelt SQL Server-identitás fogja használni a tároló elérését. A felügyelt identitás hitelesítésének előfeltételei:

  1. Sql Server hozzárendelése rendszer által hozzárendelt felügyelt identitáshoz az Azure Active Directoryban (AAD).
  2. Adjon hozzáférést az SQL Server-identitáshoz a tárfiókhoz úgy, hogy hozzáadja a "Storage Blob Data Contributor" RBAC-szerepkört a kiszolgálóidentitáshoz. További információ: Naplózás a tárolóba felügyelt identitásalapú hitelesítéssel
storageAccountAccessKey?: string

Tulajdonság értéke

string

storageAccountSubscriptionId

Megadja a Blob Storage-előfizetés azonosítóját.

storageAccountSubscriptionId?: string

Tulajdonság értéke

string

storageEndpoint

Megadja a blobtároló végpontját (például https://MyAccount.blob.core.windows.net). Ha az állapot engedélyezve van, a storageEndpoint vagy az isAzureMonitorTargetEnabled szükséges.

storageEndpoint?: string

Tulajdonság értéke

string

Örökölt tulajdonság részletei

id

Az erőforrás teljesen minősített azonosítója. Example - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

id?: string

Tulajdonság értéke

string

örököltProxyResource.id

name

Az erőforrás neve

name?: string

Tulajdonság értéke

string

örököltProxyResource.name

systemData

A createdBy és a modifiedBy adatokat tartalmazó Azure Resource Manager-metaadatok.

systemData?: SystemData

Tulajdonság értéke

örököltProxyResource.systemData

type

Az erőforrás típusa. Például: "Microsoft.Compute/virtualMachines" vagy "Microsoft.Storage/storageAccounts"

type?: string

Tulajdonság értéke

string

örököltProxyResource.type