DatabaseBlobAuditingPolicyProperties interface

Eigenschappen van een database-blob-auditbeleid.

Eigenschappen

auditActionsAndGroups

Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd.

De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Deze bovenstaande combinatie is ook de set die standaard wordt geconfigureerd bij het inschakelen van auditing vanuit het Azure-portaal.

De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken.

Zie Database-Level Actiegroepen controlerenvoor meer informatie.

Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties om te auditen zijn: SELECTEER UPDATEN INVOEGEN VERWIJDEREN UITVOEREN ONTVANGEN REFERENTIES

De algemene vorm om een te auditen actie te definiëren is: {actie} OP {object} DOOR {principal}

Houd er rekening mee dat <object> in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt.

Bijvoorbeeld: SELECT op dbo.myTable door publiek SELECT on DATABASE::myDatabase door publiek SELECT on SCHEMA::mySchema by public

Zie Database-Level Controleacties voor meer informatie

isAzureMonitorTargetEnabled

Specificeert of auditgebeurtenissen naar Azure Monitor worden gestuurd. Om de gebeurtenissen naar Azure Monitor te sturen, specificeer 'State' als 'Enabled' en 'IsAzureMonitorTargetEnabled' als waar.

Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}.

Diagnostische instellingen URI-formaat: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Voor meer informatie, zie Diagnostic Settings REST API of Diagnostic Settings PowerShell

isManagedIdentityInUse

Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag

isStorageSecondaryKeyInUse

Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.

queueDelayMs

Geeft de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties gedwongen worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.

retentionDays

Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.

state

Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.

storageAccountAccessKey

Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten:

  1. Wijs SQL Server een systeem-toegewezen beheerde identiteit toe in Azure Active Directory (AAD).
  2. Verleen SQL Server-identiteitstoegang tot het opslagaccount door de rol 'Storage Blob Data Contributor' RBAC toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
storageAccountSubscriptionId

Hiermee geeft u de id van het blob-opslagabonnement op.

storageEndpoint

Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.

Eigenschapdetails

auditActionsAndGroups

Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd.

De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Deze bovenstaande combinatie is ook de set die standaard wordt geconfigureerd bij het inschakelen van auditing vanuit het Azure-portaal.

De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords):

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken.

Zie Database-Level Actiegroepen controlerenvoor meer informatie.

Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties om te auditen zijn: SELECTEER UPDATEN INVOEGEN VERWIJDEREN UITVOEREN ONTVANGEN REFERENTIES

De algemene vorm om een te auditen actie te definiëren is: {actie} OP {object} DOOR {principal}

Houd er rekening mee dat <object> in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt.

Bijvoorbeeld: SELECT op dbo.myTable door publiek SELECT on DATABASE::myDatabase door publiek SELECT on SCHEMA::mySchema by public

Zie Database-Level Controleacties voor meer informatie

auditActionsAndGroups?: string[]

Waarde van eigenschap

string[]

isAzureMonitorTargetEnabled

Specificeert of auditgebeurtenissen naar Azure Monitor worden gestuurd. Om de gebeurtenissen naar Azure Monitor te sturen, specificeer 'State' als 'Enabled' en 'IsAzureMonitorTargetEnabled' als waar.

Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}.

Diagnostische instellingen URI-formaat: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Voor meer informatie, zie Diagnostic Settings REST API of Diagnostic Settings PowerShell

isAzureMonitorTargetEnabled?: boolean

Waarde van eigenschap

boolean

isManagedIdentityInUse

Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag

isManagedIdentityInUse?: boolean

Waarde van eigenschap

boolean

isStorageSecondaryKeyInUse

Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.

isStorageSecondaryKeyInUse?: boolean

Waarde van eigenschap

boolean

queueDelayMs

Geeft de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties gedwongen worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.

queueDelayMs?: number

Waarde van eigenschap

number

retentionDays

Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.

retentionDays?: number

Waarde van eigenschap

number

state

Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.

state: BlobAuditingPolicyState

Waarde van eigenschap

storageAccountAccessKey

Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten:

  1. Wijs SQL Server een systeem-toegewezen beheerde identiteit toe in Azure Active Directory (AAD).
  2. Verleen SQL Server-identiteitstoegang tot het opslagaccount door de rol 'Storage Blob Data Contributor' RBAC toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
storageAccountAccessKey?: string

Waarde van eigenschap

string

storageAccountSubscriptionId

Hiermee geeft u de id van het blob-opslagabonnement op.

storageAccountSubscriptionId?: string

Waarde van eigenschap

string

storageEndpoint

Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld https://MyAccount.blob.core.windows.net). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.

storageEndpoint?: string

Waarde van eigenschap

string