Database Extended Auditing Settings - Get

Získá zásady auditování objektů BLOB rozšířené databáze.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/extendedAuditingSettings/default?api-version=2017-03-01-preview

Parametry identifikátoru URI

Name In Required Type Description
blobAuditingPolicyName
path True
  • string

Název zásad auditování objektů BLOB.

databaseName
path True
  • string

Název databáze.

resourceGroupName
path True
  • string

Název skupiny prostředků, která obsahuje prostředek. Tuto hodnotu můžete získat z rozhraní Azure Resource Manager API nebo na portálu.

serverName
path True
  • string

Název serveru.

subscriptionId
path True
  • string

ID předplatného, které identifikuje předplatné Azure.

api-version
query True
  • string

Verze rozhraní API, která se má použít pro požadavek

Odpovědi

Name Type Description
200 OK

Zásady auditování objektu BLOB rozšířené databáze byly úspěšně načteny.

Other Status Codes

Chybové odpovědi: * * *

  • 400 BlobAuditingIsNotSupportedOnResourceType-auditování objektů BLOB není v současné době pro tento typ prostředku podporováno.

  • 404 SourceDatabaseNotFound-zdrojová databáze neexistuje.

  • 404 DatabaseDoesNotExist-uživatel zadal název databáze, který v této instanci serveru neexistuje.

  • 500 DatabaseIsUnavailable-načítání se nezdařilo. Zkuste to později.

Příklady

Get an extended database's blob auditing policy

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb/extendedAuditingSettings/default?api-version=2017-03-01-preview

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/databases/testdb",
  "name": "default",
  "type": "Microsoft.Sql/servers/databases/extendedAuditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "predicateExpression": "statement = 'select 1'",
    "isAzureMonitorTargetEnabled": false
  }
}

Definice

BlobAuditingPolicyState

Určuje stav zásad. Pokud je stav povolený, vyžadují se storageEndpoint nebo isAzureMonitorTargetEnabled.

ExtendedDatabaseBlobAuditingPolicy

Zásada auditování rozšířeného objektu BLOB databáze.

BlobAuditingPolicyState

Určuje stav zásad. Pokud je stav povolený, vyžadují se storageEndpoint nebo isAzureMonitorTargetEnabled.

Name Type Description
Disabled
  • string
Enabled
  • string

ExtendedDatabaseBlobAuditingPolicy

Zásada auditování rozšířeného objektu BLOB databáze.

Name Type Description
id
  • string

ID prostředku

name
  • string

Název prostředku

properties.auditActionsAndGroups
  • string[]

Určuje Actions-Groups a akce, které se mají auditovat.

Doporučená sada skupin akcí, které se mají použít, je následující kombinace – provede audit všech dotazů a uložených procedur provedených v databázi a také úspěšných a neúspěšných přihlášení:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP.

Výše uvedená kombinace je také množinou, která je ve výchozím nastavení nakonfigurována při povolování auditování z Azure Portal.

Podporované skupiny akcí pro audit jsou (Poznámka: vyberte pouze konkrétní skupiny, které pokrývají vaše požadavky na auditování. Použití zbytečných skupin může vést k velkým objemům záznamů auditu:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_ SKUPINY

Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury provedené proti databázi a neměly by se používat v kombinaci s jinými skupinami, protože to způsobí duplicitní protokoly auditu.

Další informace najdete v tématu skupiny akcí auditu na úrovni databáze.

V případě zásad auditování databáze lze zadat také konkrétní akce (Všimněte si, že akce nelze zadat pro zásady auditování serveru). Podporované akce pro audit: vyberte aktualizovat odkazy pro příjem.

Obecný formulář pro definování akce, která se má auditovat: {Action} v objektu {Object} od {Principal}

Všimněte si, že ve výše uvedeném formátu může odkazovat na objekt, například na tabulku, zobrazení nebo uloženou proceduru, nebo na celou databázi nebo schéma. Pro druhé případy se používají databáze formulářů:: {db_name} a schéma:: {schema_name}.

Příklad: vyberte na dbo. myTable podle veřejného výběru v databázi:: myDatabase podle veřejného výběru ve schématu:: mySchema podle veřejného.

Další informace najdete v tématu akce auditu na úrovni databáze .

properties.isAzureMonitorTargetEnabled
  • boolean

Určuje, zda jsou události auditu odesílány do Azure Monitor. Pokud chcete odesílat události do Azure Monitor, zadejte ' State ' jako ' Enabled ' a ' isAzureMonitorTargetEnabled ' jako true.

Při použití REST API ke konfiguraci auditování se musí vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů ' SQLSecurityAuditEvents ' v databázi. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}.

Formát identifikátoru URI pro nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Další informace najdete v tématu nastavení diagnostiky REST API nebo prostředí PowerShell pro nastavení diagnostiky .

properties.isStorageSecondaryKeyInUse
  • boolean

Určuje, jestli hodnota storageAccountAccessKey je sekundární klíč úložiště.

properties.predicateExpression
  • string

Určuje stav klauzule WHERE při vytváření auditu.

properties.queueDelayMs
  • integer

Určuje dobu v milisekundách, která může uplynout před tím, než se zpracují akce auditu. Výchozí minimální hodnota je 1000 (1 sekunda). Maximální hodnota je 2 147 483 647.

properties.retentionDays
  • integer

Určuje počet dní, po které budou v protokolech auditu v účtu úložiště zachovány.

properties.state

Určuje stav zásad. Pokud je stav povolený, vyžadují se storageEndpoint nebo isAzureMonitorTargetEnabled.

properties.storageAccountAccessKey
  • string

Určuje klíč identifikátoru účtu úložiště auditování. Pokud je stav povolen a je zadán parametr storageEndpoint, nezadáte-li storageAccountAccessKey, bude pro přístup k úložišti použita spravovaná identita přiřazená systémem SQL Server. Předpoklady pro použití spravovaného ověřování identity:

  1. Přiřaďte SQL Server spravovanou identitu přiřazenou systémem v Azure Active Directory (AAD).
  2. Udělte identitě SQL Server přístup k účtu úložiště tím, že do identity serveru přidáte roli RBAC data objektu BLOB úložiště. Další informace najdete v tématu auditování do úložiště pomocí spravovaného ověřování identity .
properties.storageAccountSubscriptionId
  • string

Určuje ID předplatného úložiště objektů BLOB.

properties.storageEndpoint
  • string

Určuje koncový bod služby Blob Storage (např https://MyAccount.blob.core.windows.net) . Pokud je stav povolený, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled.

type
  • string

Typ prostředku.