DatabaseBlobAuditingPolicyProperties interface
Eigenschappen van een database-blob-auditbeleid.
Eigenschappen
| audit |
Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd. De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Deze bovenstaande combinatie is ook de set die standaard wordt geconfigureerd bij het inschakelen van auditing vanuit het Azure-portaal. De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken. Zie Database-Level Actiegroepen controlerenvoor meer informatie. Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties om te auditen zijn: SELECTEER UPDATEN INVOEGEN VERWIJDEREN UITVOEREN ONTVANGEN REFERENTIES De algemene vorm om een te auditen actie te definiëren is: {actie} OP {object} DOOR {principal} Houd er rekening mee dat <object> in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt. Bijvoorbeeld: SELECT op dbo.myTable door publiek SELECT on DATABASE::myDatabase door publiek SELECT on SCHEMA::mySchema by public Zie Database-Level Controleacties voor meer informatie |
| is |
Specificeert of auditgebeurtenissen naar Azure Monitor worden gestuurd. Om de gebeurtenissen naar Azure Monitor te sturen, specificeer 'State' als 'Enabled' en 'IsAzureMonitorTargetEnabled' als waar. Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}. Diagnostische instellingen URI-formaat: PUT Voor meer informatie, zie Diagnostic Settings REST API of Diagnostic Settings PowerShell |
| is |
Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag |
| is |
Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is. |
| queue |
Geeft de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties gedwongen worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647. |
| retention |
Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount. |
| state | Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist. |
| storage |
Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten:
|
| storage |
Hiermee geeft u de id van het blob-opslagabonnement op. |
| storage |
Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld |
Eigenschapdetails
auditActionsAndGroups
Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd.
De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Deze bovenstaande combinatie is ook de set die standaard wordt geconfigureerd bij het inschakelen van auditing vanuit het Azure-portaal.
De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords):
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken.
Zie Database-Level Actiegroepen controlerenvoor meer informatie.
Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties om te auditen zijn: SELECTEER UPDATEN INVOEGEN VERWIJDEREN UITVOEREN ONTVANGEN REFERENTIES
De algemene vorm om een te auditen actie te definiëren is: {actie} OP {object} DOOR {principal}
Houd er rekening mee dat <object> in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt.
Bijvoorbeeld: SELECT op dbo.myTable door publiek SELECT on DATABASE::myDatabase door publiek SELECT on SCHEMA::mySchema by public
Zie Database-Level Controleacties voor meer informatie
auditActionsAndGroups?: string[]
Waarde van eigenschap
string[]
isAzureMonitorTargetEnabled
Specificeert of auditgebeurtenissen naar Azure Monitor worden gestuurd. Om de gebeurtenissen naar Azure Monitor te sturen, specificeer 'State' als 'Enabled' en 'IsAzureMonitorTargetEnabled' als waar.
Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}.
Diagnostische instellingen URI-formaat: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Voor meer informatie, zie Diagnostic Settings REST API of Diagnostic Settings PowerShell
isAzureMonitorTargetEnabled?: boolean
Waarde van eigenschap
boolean
isManagedIdentityInUse
Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag
isManagedIdentityInUse?: boolean
Waarde van eigenschap
boolean
isStorageSecondaryKeyInUse
Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.
isStorageSecondaryKeyInUse?: boolean
Waarde van eigenschap
boolean
queueDelayMs
Geeft de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties gedwongen worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.
queueDelayMs?: number
Waarde van eigenschap
number
retentionDays
Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.
retentionDays?: number
Waarde van eigenschap
number
state
Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.
state: BlobAuditingPolicyState
Waarde van eigenschap
storageAccountAccessKey
Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten:
- Wijs SQL Server een systeem-toegewezen beheerde identiteit toe in Azure Active Directory (AAD).
- Verleen SQL Server-identiteitstoegang tot het opslagaccount door de rol 'Storage Blob Data Contributor' RBAC toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
storageAccountAccessKey?: string
Waarde van eigenschap
string
storageAccountSubscriptionId
Hiermee geeft u de id van het blob-opslagabonnement op.
storageAccountSubscriptionId?: string
Waarde van eigenschap
string
storageEndpoint
Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.
storageEndpoint?: string
Waarde van eigenschap
string