SqlPoolBlobAuditingPolicy interface
Sql havuzu blobu denetim ilkesi.
- Extends
Özellikler
| audit |
Denetlenecek Actions-Groups ve Eylemleri belirtir. Kullanılması önerilen eylem grubu kümesi aşağıdaki bileşimdir: Bu, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetler: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Bu yukarıdaki birleşim, Azure portalından denetimi etkinleştirirken varsayılan olarak yapılandırılan kümedir. Denetlenecek desteklenen eylem grupları şunlardır (not: Yalnızca denetim gereksinimlerinizi karşılayan belirli grupları seçin. Gereksiz grupların kullanılması çok büyük miktarda denetim kaydına yol açabilir: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Bunlar, veritabanında yürütülen tüm SQL deyimlerini ve saklı yordamları kapsayan gruplardır ve yinelenen denetim günlüklerine neden olacağı için diğer gruplarla birlikte kullanılmamalıdır. Daha fazla bilgi için bkz. denetim eylem gruplarını Database-Level. Veritabanı denetim ilkesi için belirli Eylemler de belirtilebilir (Sunucu denetim ilkesi için Eylemler belirtilemez). Denetlenecek desteklenen eylemler şunlardır: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Denetlenecek eylemi tanımlamaya yönelik genel form: {action} ON {object} BY {principal} <Yukarıdaki biçimdeki nesnenin> tablo, görünüm veya saklı yordam ya da tüm veritabanı ya da şema gibi bir nesneye başvurabileceğini unutmayın. İkinci durumlarda sırasıyla DATABASE::{db_name} ve SCHEMA::{schema_name} formları kullanılır. Örneğin: DATABASE::myDatabase by public SELECT by public SELECT on SCHEMA::mySchema by public |
| is |
Denetim olaylarının Azure İzleyici'ye gönderilip gönderilmediğini belirtir. Olayları Azure İzleyici'ye göndermek için 'state' değerini 'Enabled' ve 'isAzureMonitorTargetEnabled' değerini true olarak belirtin. Denetimi yapılandırmak için REST API kullanılırken, veritabanında 'SQLSecurityAuditEvents' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Sunucu düzeyinde denetim için 'ana' veritabanını {databaseName} olarak kullanmanız gerektiğini unutmayın. Tanılama Ayarları URI biçimi: PUT Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell |
| is |
storageAccountAccessKey değerinin depolamanın ikincil anahtarı olup olmadığını belirtir. |
| kind | Kaynak türü. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
| retention |
Depolama hesabındaki denetim günlüklerinde tutulacak gün sayısını belirtir. |
| state | İlkenin durumunu belirtir. Durum Etkinse storageEndpoint veya IsAzureMonitorTargetEnabled gereklidir. |
| storage |
Denetim depolama hesabının tanımlayıcı anahtarını belirtir. Durum Etkinse ve storageEndpoint belirtilirse storageAccountAccessKey gereklidir. |
| storage |
Blob depolama aboneliği kimliğini belirtir. |
| storage |
Blob depolama uç noktasını belirtir (örneğin, |
Devralınan Özellikler
| id | Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
| name | Kaynağın adı NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
| type | Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" NOT: Bu özellik seri hale getirilmeyecek. Yalnızca sunucu tarafından doldurulabilir. |
Özellik Ayrıntıları
auditActionsAndGroups
Denetlenecek Actions-Groups ve Eylemleri belirtir.
Kullanılması önerilen eylem grubu kümesi aşağıdaki bileşimdir: Bu, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetler:
BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.
Bu yukarıdaki birleşim, Azure portalından denetimi etkinleştirirken varsayılan olarak yapılandırılan kümedir.
Denetlenecek desteklenen eylem grupları şunlardır (not: Yalnızca denetim gereksinimlerinizi karşılayan belirli grupları seçin. Gereksiz grupların kullanılması çok büyük miktarda denetim kaydına yol açabilir:
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP
Bunlar, veritabanında yürütülen tüm SQL deyimlerini ve saklı yordamları kapsayan gruplardır ve yinelenen denetim günlüklerine neden olacağı için diğer gruplarla birlikte kullanılmamalıdır.
Daha fazla bilgi için bkz. denetim eylem gruplarını Database-Level.
Veritabanı denetim ilkesi için belirli Eylemler de belirtilebilir (Sunucu denetim ilkesi için Eylemler belirtilemez). Denetlenecek desteklenen eylemler şunlardır: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES
Denetlenecek eylemi tanımlamaya yönelik genel form: {action} ON {object} BY {principal}
<Yukarıdaki biçimdeki nesnenin> tablo, görünüm veya saklı yordam ya da tüm veritabanı ya da şema gibi bir nesneye başvurabileceğini unutmayın. İkinci durumlarda sırasıyla DATABASE::{db_name} ve SCHEMA::{schema_name} formları kullanılır.
Örneğin: DATABASE::myDatabase by public SELECT by public SELECT on SCHEMA::mySchema by public
Daha fazla bilgi için bkz. denetim eylemleri Database-Level
auditActionsAndGroups?: string[]
Özellik Değeri
string[]
isAzureMonitorTargetEnabled
Denetim olaylarının Azure İzleyici'ye gönderilip gönderilmediğini belirtir. Olayları Azure İzleyici'ye göndermek için 'state' değerini 'Enabled' ve 'isAzureMonitorTargetEnabled' değerini true olarak belirtin.
Denetimi yapılandırmak için REST API kullanılırken, veritabanında 'SQLSecurityAuditEvents' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Sunucu düzeyinde denetim için 'ana' veritabanını {databaseName} olarak kullanmanız gerektiğini unutmayın.
Tanılama Ayarları URI biçimi: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell
isAzureMonitorTargetEnabled?: boolean
Özellik Değeri
boolean
isStorageSecondaryKeyInUse
storageAccountAccessKey değerinin depolamanın ikincil anahtarı olup olmadığını belirtir.
isStorageSecondaryKeyInUse?: boolean
Özellik Değeri
boolean
kind
Kaynak türü. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
kind?: string
Özellik Değeri
string
retentionDays
Depolama hesabındaki denetim günlüklerinde tutulacak gün sayısını belirtir.
retentionDays?: number
Özellik Değeri
number
state
İlkenin durumunu belirtir. Durum Etkinse storageEndpoint veya IsAzureMonitorTargetEnabled gereklidir.
state?: BlobAuditingPolicyState
Özellik Değeri
storageAccountAccessKey
Denetim depolama hesabının tanımlayıcı anahtarını belirtir. Durum Etkinse ve storageEndpoint belirtilirse storageAccountAccessKey gereklidir.
storageAccountAccessKey?: string
Özellik Değeri
string
storageAccountSubscriptionId
Blob depolama aboneliği kimliğini belirtir.
storageAccountSubscriptionId?: string
Özellik Değeri
string
storageEndpoint
Blob depolama uç noktasını belirtir (örneğin, https://MyAccount.blob.core.windows.net). Durum Etkinse storageEndpoint gereklidir.
storageEndpoint?: string
Özellik Değeri
string
Devralınan Özellik Detayları
id
Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
id?: string
Özellik Değeri
string
name
Kaynağın adı NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
name?: string
Özellik Değeri
string
type
Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" NOT: Bu özellik seri hale getirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.
type?: string
Özellik Değeri
string
ProxyResource.type'danDevralındı