SqlPoolBlobAuditingPolicy interface

Sql havuzu blobu denetim ilkesi.

Extends

Özellikler

auditActionsAndGroups

Denetlenecek Actions-Groups ve Eylemleri belirtir.

Kullanılması önerilen eylem grubu kümesi aşağıdaki bileşimdir: Bu, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetler:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Bu yukarıdaki birleşim, Azure portalından denetimi etkinleştirirken varsayılan olarak yapılandırılan kümedir.

Denetlenecek desteklenen eylem grupları şunlardır (not: Yalnızca denetim gereksinimlerinizi karşılayan belirli grupları seçin. Gereksiz grupların kullanılması çok büyük miktarda denetim kaydına yol açabilir:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Bunlar, veritabanında yürütülen tüm SQL deyimlerini ve saklı yordamları kapsayan gruplardır ve yinelenen denetim günlüklerine neden olacağı için diğer gruplarla birlikte kullanılmamalıdır.

Daha fazla bilgi için bkz. denetim eylem gruplarını Database-Level.

Veritabanı denetim ilkesi için belirli Eylemler de belirtilebilir (Sunucu denetim ilkesi için Eylemler belirtilemez). Denetlenecek desteklenen eylemler şunlardır: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Denetlenecek eylemi tanımlamaya yönelik genel form: {action} ON {object} BY {principal}

<Yukarıdaki biçimdeki nesnenin> tablo, görünüm veya saklı yordam ya da tüm veritabanı ya da şema gibi bir nesneye başvurabileceğini unutmayın. İkinci durumlarda sırasıyla DATABASE::{db_name} ve SCHEMA::{schema_name} formları kullanılır.

Örneğin: DATABASE::myDatabase by public SELECT by public SELECT on SCHEMA::mySchema by public

Daha fazla bilgi için bkz. denetim eylemleri Database-Level

isAzureMonitorTargetEnabled

Denetim olaylarının Azure İzleyici'ye gönderilip gönderilmediğini belirtir. Olayları Azure İzleyici'ye göndermek için 'state' değerini 'Enabled' ve 'isAzureMonitorTargetEnabled' değerini true olarak belirtin.

Denetimi yapılandırmak için REST API kullanılırken, veritabanında 'SQLSecurityAuditEvents' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Sunucu düzeyinde denetim için 'ana' veritabanını {databaseName} olarak kullanmanız gerektiğini unutmayın.

Tanılama Ayarları URI biçimi: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell

isStorageSecondaryKeyInUse

storageAccountAccessKey değerinin depolamanın ikincil anahtarı olup olmadığını belirtir.

kind

Kaynak türü. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

retentionDays

Depolama hesabındaki denetim günlüklerinde tutulacak gün sayısını belirtir.

state

İlkenin durumunu belirtir. Durum Etkinse storageEndpoint veya IsAzureMonitorTargetEnabled gereklidir.

storageAccountAccessKey

Denetim depolama hesabının tanımlayıcı anahtarını belirtir. Durum Etkinse ve storageEndpoint belirtilirse storageAccountAccessKey gereklidir.

storageAccountSubscriptionId

Blob depolama aboneliği kimliğini belirtir.

storageEndpoint

Blob depolama uç noktasını belirtir (örneğin, https://MyAccount.blob.core.windows.net). Durum Etkinse storageEndpoint gereklidir.

Devralınan Özellikler

id

Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

name

Kaynağın adı NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

type

Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" NOT: Bu özellik seri hale getirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

Özellik Ayrıntıları

auditActionsAndGroups

Denetlenecek Actions-Groups ve Eylemleri belirtir.

Kullanılması önerilen eylem grubu kümesi aşağıdaki bileşimdir: Bu, veritabanında yürütülen tüm sorguları ve saklı yordamları ve başarılı ve başarısız oturum açma işlemlerini denetler:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Bu yukarıdaki birleşim, Azure portalından denetimi etkinleştirirken varsayılan olarak yapılandırılan kümedir.

Denetlenecek desteklenen eylem grupları şunlardır (not: Yalnızca denetim gereksinimlerinizi karşılayan belirli grupları seçin. Gereksiz grupların kullanılması çok büyük miktarda denetim kaydına yol açabilir:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Bunlar, veritabanında yürütülen tüm SQL deyimlerini ve saklı yordamları kapsayan gruplardır ve yinelenen denetim günlüklerine neden olacağı için diğer gruplarla birlikte kullanılmamalıdır.

Daha fazla bilgi için bkz. denetim eylem gruplarını Database-Level.

Veritabanı denetim ilkesi için belirli Eylemler de belirtilebilir (Sunucu denetim ilkesi için Eylemler belirtilemez). Denetlenecek desteklenen eylemler şunlardır: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Denetlenecek eylemi tanımlamaya yönelik genel form: {action} ON {object} BY {principal}

<Yukarıdaki biçimdeki nesnenin> tablo, görünüm veya saklı yordam ya da tüm veritabanı ya da şema gibi bir nesneye başvurabileceğini unutmayın. İkinci durumlarda sırasıyla DATABASE::{db_name} ve SCHEMA::{schema_name} formları kullanılır.

Örneğin: DATABASE::myDatabase by public SELECT by public SELECT on SCHEMA::mySchema by public

Daha fazla bilgi için bkz. denetim eylemleri Database-Level

auditActionsAndGroups?: string[]

Özellik Değeri

string[]

isAzureMonitorTargetEnabled

Denetim olaylarının Azure İzleyici'ye gönderilip gönderilmediğini belirtir. Olayları Azure İzleyici'ye göndermek için 'state' değerini 'Enabled' ve 'isAzureMonitorTargetEnabled' değerini true olarak belirtin.

Denetimi yapılandırmak için REST API kullanılırken, veritabanında 'SQLSecurityAuditEvents' tanılama günlükleri kategorisine sahip Tanılama Ayarları da oluşturulmalıdır. Sunucu düzeyinde denetim için 'ana' veritabanını {databaseName} olarak kullanmanız gerektiğini unutmayın.

Tanılama Ayarları URI biçimi: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Daha fazla bilgi için bkz. Tanılama Ayarları REST API veya Tanılama Ayarları PowerShell

isAzureMonitorTargetEnabled?: boolean

Özellik Değeri

boolean

isStorageSecondaryKeyInUse

storageAccountAccessKey değerinin depolamanın ikincil anahtarı olup olmadığını belirtir.

isStorageSecondaryKeyInUse?: boolean

Özellik Değeri

boolean

kind

Kaynak türü. NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

kind?: string

Özellik Değeri

string

retentionDays

Depolama hesabındaki denetim günlüklerinde tutulacak gün sayısını belirtir.

retentionDays?: number

Özellik Değeri

number

state

İlkenin durumunu belirtir. Durum Etkinse storageEndpoint veya IsAzureMonitorTargetEnabled gereklidir.

state?: BlobAuditingPolicyState

Özellik Değeri

storageAccountAccessKey

Denetim depolama hesabının tanımlayıcı anahtarını belirtir. Durum Etkinse ve storageEndpoint belirtilirse storageAccountAccessKey gereklidir.

storageAccountAccessKey?: string

Özellik Değeri

string

storageAccountSubscriptionId

Blob depolama aboneliği kimliğini belirtir.

storageAccountSubscriptionId?: string

Özellik Değeri

string

storageEndpoint

Blob depolama uç noktasını belirtir (örneğin, https://MyAccount.blob.core.windows.net). Durum Etkinse storageEndpoint gereklidir.

storageEndpoint?: string

Özellik Değeri

string

Devralınan Özellik Detayları

id

Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

id?: string

Özellik Değeri

string

ProxyResource.id Devralındı

name

Kaynağın adı NOT: Bu özellik serileştirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

name?: string

Özellik Değeri

string

ProxyResource.name'dan Devralınan

type

Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" NOT: Bu özellik seri hale getirilmeyecek. Yalnızca sunucu tarafından doldurulabilir.

type?: string

Özellik Değeri

string

ProxyResource.type'danDevralındı