ServerBlobAuditingPolicyProperties interface
Свойства политики аудита блоба сервера.
Свойства
| audit |
Указывает Actions-Groups и действия для аудита. Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Эта приведённая комбинация также является набором, который по умолчанию настроен при включении аудита через портал Azure. Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита. Дополнительные сведения см. в разделе Database-Level Группы действий аудита. Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: ВЫБРАТЬ ОБНОВИТЬ ВСТАВИТЬ УДАЛИТЬ ВЫПОЛНИТЬ ПОЛУЧЕНИЕ ССЫЛКИ Общая форма определения действия, подлежащего аудиту, звучит так: {действие} ON {object} BY {principal} Обратите внимание, что <объект> в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно. Например: SELECT на dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Дополнительные сведения см. в разделе Database-Level Действия аудита |
| is |
Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите 'State' как 'Enabled' и 'IsAzureMonitorTargetEnabled' как true. При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}. Диагностические настройки URI формат: PUT Для получения дополнительной информации см. разделы Диагностические настройки REST API или Параметры диагностики PowerShell |
| is |
Указывает состояние аудита devops. Если состояние включено, логи devops будут отправлены на Azure Monitor. Чтобы отправить события в Azure Monitor, укажите 'State' как 'Enabled', 'IsAzureMonitorTargetEnabled' как true и 'IsDevopsAuditEnabled' как true При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики DevOpsOperationsAudit в базе данных master. Диагностические настройки URI формат: PUT Для получения дополнительной информации см. разделы Диагностические настройки REST API или Параметры диагностики PowerShell |
| is |
Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов |
| is |
Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища. |
| queue |
Определяет количество времени в миллисекундах, которое может пройти до того, как действия аудита будут принудительно обработаны. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647. |
| retention |
Указывает количество дней для хранения в журналах аудита в учетной записи хранения. |
| state | Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled. |
| storage |
Указывает ключ идентификатора учетной записи хранения аудита. Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу. Необходимые условия для использования проверки подлинности управляемого удостоверения:
|
| storage |
Указывает идентификатор подписки хранилища BLOB-объектов. |
| storage |
Указывает конечную точку хранилища BLOB-объектов (например, |
Сведения о свойстве
auditActionsAndGroups
Указывает Actions-Groups и действия для аудита.
Рекомендуемый набор групп действий, используемый, — это следующая комбинация. Это приведет к аудиту всех запросов и хранимых процедур, выполняемых в базе данных, а также успешных и неудачных имен входа:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Эта приведённая комбинация также является набором, который по умолчанию настроен при включении аудита через портал Azure.
Поддерживаемые группы действий для аудита (примечание. Выберите только определенные группы, охватывающие потребности аудита. Использование ненужных групп может привести к очень большому количеству записей аудита):
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP
Это группы, охватывающие все инструкции SQL и хранимые процедуры, выполняемые в базе данных, и не должны использоваться в сочетании с другими группами, так как это приведет к дублированию журналов аудита.
Дополнительные сведения см. в разделе Database-Level Группы действий аудита.
Для политики аудита базы данных можно также указать определенные действия (обратите внимание, что действия не могут быть указаны для политики аудита сервера). Поддерживаемые действия для аудита: ВЫБРАТЬ ОБНОВИТЬ ВСТАВИТЬ УДАЛИТЬ ВЫПОЛНИТЬ ПОЛУЧЕНИЕ ССЫЛКИ
Общая форма определения действия, подлежащего аудиту, звучит так: {действие} ON {object} BY {principal}
Обратите внимание, что <объект> в приведенном выше формате может ссылаться на объект, например таблицу, представление или хранимую процедуру, или всю базу данных или схему. В последних случаях используются формы DATABASE::{db_name} и SCHEMA::{schema_name} соответственно.
Например: SELECT на dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public
Дополнительные сведения см. в разделе Database-Level Действия аудита
auditActionsAndGroups?: string[]
Значение свойства
string[]
isAzureMonitorTargetEnabled
Указывает, отправляются ли события аудита в Azure Monitor. Чтобы отправить события в Azure Monitor, укажите 'State' как 'Enabled' и 'IsAzureMonitorTargetEnabled' как true.
При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики SQLSecurityAuditEvents в базе данных. Обратите внимание, что для аудита уровня сервера следует использовать базу данных master как {databaseName}.
Диагностические настройки URI формат: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Для получения дополнительной информации см. разделы Диагностические настройки REST API или Параметры диагностики PowerShell
isAzureMonitorTargetEnabled?: boolean
Значение свойства
boolean
isDevopsAuditEnabled
Указывает состояние аудита devops. Если состояние включено, логи devops будут отправлены на Azure Monitor. Чтобы отправить события в Azure Monitor, укажите 'State' как 'Enabled', 'IsAzureMonitorTargetEnabled' как true и 'IsDevopsAuditEnabled' как true
При использовании REST API для настройки аудита необходимо также создать параметры диагностики с категорией журналов диагностики DevOpsOperationsAudit в базе данных master.
Диагностические настройки URI формат: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Для получения дополнительной информации см. разделы Диагностические настройки REST API или Параметры диагностики PowerShell
isDevopsAuditEnabled?: boolean
Значение свойства
boolean
isManagedIdentityInUse
Указывает, используется ли управляемое удостоверение для доступа к хранилищу BLOB-объектов
isManagedIdentityInUse?: boolean
Значение свойства
boolean
isStorageSecondaryKeyInUse
Указывает, является ли значение storageAccountAccessKey вторичным ключом хранилища.
isStorageSecondaryKeyInUse?: boolean
Значение свойства
boolean
queueDelayMs
Определяет количество времени в миллисекундах, которое может пройти до того, как действия аудита будут принудительно обработаны. Минимальное значение по умолчанию — 1000 (1 секунда). Максимальное значение — 2 147 483 647.
queueDelayMs?: number
Значение свойства
number
retentionDays
Указывает количество дней для хранения в журналах аудита в учетной записи хранения.
retentionDays?: number
Значение свойства
number
state
Указывает состояние аудита. Если состояние включено, необходимо использовать storageEndpoint или isAzureMonitorTargetEnabled.
state: BlobAuditingPolicyState
Значение свойства
storageAccountAccessKey
Указывает ключ идентификатора учетной записи хранения аудита. Если задано состояние "Включено" и storageEndpoint не указано, что storageAccountAccessKey будет использовать управляемое удостоверение, назначаемое системой SQL Server, для доступа к хранилищу. Необходимые условия для использования проверки подлинности управляемого удостоверения:
- Присвоите SQL Server управляемую идентичность, назначенную системой, в Azure Active Directory (AAD).
- Предоставьте доступ SQL Server к аккаунту хранения, добавив роль RBAC 'Storage Blob Data Contributor' к идентификатору сервера. Дополнительные сведения см. в статье Аудит хранилища с помощью проверки подлинности управляемого удостоверения
storageAccountAccessKey?: string
Значение свойства
string
storageAccountSubscriptionId
Указывает идентификатор подписки хранилища BLOB-объектов.
storageAccountSubscriptionId?: string
Значение свойства
string
storageEndpoint
Указывает конечную точку хранилища BLOB-объектов (например, https://MyAccount.blob.core.windows.net). Если состояние включено, требуется storageEndpoint или isAzureMonitorTargetEnabled.
storageEndpoint?: string
Значение свойства
string