Sql Pool Blob Auditing Policies - Create Or Update
Vytvoří nebo aktualizuje zásady auditování objektů blob ve fondu SQL.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Synapse/workspaces/{workspaceName}/sqlPools/{sqlPoolName}/auditingSettings/default?api-version=2021-06-01
Parametry identifikátoru URI
Name | V | Vyžadováno | Typ | Description |
---|---|---|---|---|
blob
|
path | True |
Název zásady auditování objektů blob. |
|
resource
|
path | True |
string |
Název skupiny prostředků. V názvu se rozlišují malá a velká písmena. |
sql
|
path | True |
string |
Název fondu SQL |
subscription
|
path | True |
string |
ID cílového předplatného. |
workspace
|
path | True |
string |
Název pracovního prostoru. |
api-version
|
query | True |
string |
Verze rozhraní API, která se má použít pro tuto operaci. |
Text požadavku
Name | Vyžadováno | Typ | Description |
---|---|---|---|
properties.state | True |
Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. |
|
properties.auditActionsAndGroups |
string[] |
Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tím se auditují všechny dotazy a uložené procedury spuštěné v databázi a také úspěšná a neúspěšná přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Zvolte jenom konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Skupiny akcí auditování na úrovni databáze. Pro zásady auditování databáze je také možné zadat konkrétní akce (všimněte si, že akce nelze zadat pro zásady auditování serveru). Podporované akce pro audit jsou: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCE. Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo celá databáze nebo schéma. V těchto případech se používají formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí. Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Akce auditu na úrovni databáze. |
|
properties.isAzureMonitorTargetEnabled |
boolean |
Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Služby Azure Monitor, zadejte stav jako Povoleno a isAzureMonitorTargetEnabled jako true. Při použití rozhraní REST API ke konfiguraci auditování by se měla v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu Nastavení diagnostiky rozhraní REST API nebo Nastavení diagnostiky v PowerShellu. |
|
properties.isStorageSecondaryKeyInUse |
boolean |
Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. |
|
properties.retentionDays |
integer |
Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. |
|
properties.storageAccountAccessKey |
string |
Určuje klíč identifikátoru účtu úložiště auditování. Pokud je stav Povoleno a je zadaný parametr storageEndpoint, vyžaduje se storageAccountAccessKey. |
|
properties.storageAccountSubscriptionId |
string |
Určuje ID předplatného úložiště objektů blob. |
|
properties.storageEndpoint |
string |
Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint. |
Odpovědi
Name | Typ | Description |
---|---|---|
200 OK |
Úspěšné nastavení zásad auditování objektů blob fondu SQL |
|
201 Created |
Zásady auditování objektů blob fondu SQL se úspěšně vytvořily. |
|
Other Status Codes |
Chybové odpovědi: ***
|
Příklady
Create or update a database's blob auditing policy with all parameters |
Create or update a database's blob auditing policy with minimal parameters |
Create or update a database's blob auditing policy with all parameters
Sample Request
PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Synapse/workspaces/blobauditingtest-6440/sqlPools/testdb/auditingSettings/default?api-version=2021-06-01
{
"properties": {
"state": "Enabled",
"storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 6,
"storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"DATABASE_LOGOUT_GROUP",
"DATABASE_ROLE_MEMBER_CHANGE_GROUP",
"UPDATE on database::TestDatabaseName by public"
],
"isAzureMonitorTargetEnabled": true
}
}
Sample Response
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Synapse/workspaces/blobauditingtest-6440/sqlPools/testdb",
"name": "default",
"type": "Microsoft.Synapse/workspaces/sqlPools/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"DATABASE_LOGOUT_GROUP",
"DATABASE_ROLE_MEMBER_CHANGE_GROUP",
"UPDATE on database::TestDatabaseName by public"
],
"isAzureMonitorTargetEnabled": true
}
}
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Synapse/workspaces/blobauditingtest-6440/sqlPools/testdb",
"name": "default",
"type": "Microsoft.Synapse/workspaces/sqlPools/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"DATABASE_LOGOUT_GROUP",
"DATABASE_ROLE_MEMBER_CHANGE_GROUP",
"UPDATE on database::TestDatabaseName by public"
],
"isAzureMonitorTargetEnabled": true
}
}
Create or update a database's blob auditing policy with minimal parameters
Sample Request
PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Synapse/workspaces/blobauditingtest-6440/sqlPools/testdb/auditingSettings/default?api-version=2021-06-01
{
"properties": {
"state": "Enabled",
"storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
"storageEndpoint": "https://mystorage.blob.core.windows.net"
}
}
Sample Response
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Synapse/workspaces/blobauditingtest-6440/sqlPools/testdb",
"name": "default",
"type": "Microsoft.Synapse/workspaces/sqlPools/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"BATCH_COMPLETED_GROUP"
],
"isAzureMonitorTargetEnabled": false
}
}
{
"id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Synapse/workspaces/blobauditingtest-6440/sqlPools/testdb",
"name": "default",
"type": "Microsoft.Synapse/workspaces/sqlPools/auditingSettings",
"kind": "V12",
"properties": {
"state": "Enabled",
"storageEndpoint": "https://mystorage.blob.core.windows.net",
"retentionDays": 0,
"storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
"isStorageSecondaryKeyInUse": false,
"auditActionsAndGroups": [
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"BATCH_COMPLETED_GROUP"
],
"isAzureMonitorTargetEnabled": false
}
}
Definice
Name | Description |
---|---|
Blob |
Název zásady auditování objektů blob. |
Blob |
Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. |
Sql |
Zásady auditování objektů blob fondu SQL. |
BlobAuditingPolicyName
Název zásady auditování objektů blob.
Name | Typ | Description |
---|---|---|
default |
string |
BlobAuditingPolicyState
Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled.
Name | Typ | Description |
---|---|---|
Disabled |
string |
|
Enabled |
string |
SqlPoolBlobAuditingPolicy
Zásady auditování objektů blob fondu SQL.
Name | Typ | Výchozí hodnota | Description |
---|---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
|
kind |
string |
Druh prostředku. |
|
name |
string |
Název prostředku |
|
properties.auditActionsAndGroups |
string[] |
Určuje Actions-Groups a akce, které se mají auditovat. Doporučená sada skupin akcí, které se mají použít, je následující kombinace – tím se auditují všechny dotazy a uložené procedury spuštěné v databázi a také úspěšná a neúspěšná přihlášení: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP. Tato výše uvedená kombinace je také sada, která se ve výchozím nastavení konfiguruje při povolování auditování z Azure Portal. Podporované skupiny akcí, které se mají auditovat, jsou (poznámka: Zvolte jenom konkrétní skupiny, které pokrývají vaše potřeby auditování. Použití nepotřebných skupin může vést k velmi velkému množství záznamů auditu: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP Jedná se o skupiny, které pokrývají všechny příkazy SQL a uložené procedury spuštěné v databázi a neměly by se používat v kombinaci s jinými skupinami, protože výsledkem budou duplicitní protokoly auditu. Další informace najdete v tématu Skupiny akcí auditování na úrovni databáze. Pro zásady auditování databáze je také možné zadat konkrétní akce (všimněte si, že akce nelze zadat pro zásady auditování serveru). Podporované akce pro audit jsou: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCE. Obecný formulář pro definování akce, která se má auditovat, je: {action} ON {object} BY {principal} Všimněte si, že ve výše uvedeném formátu může odkazovat na objekt, jako je tabulka, zobrazení nebo uložená procedura, nebo celá databáze nebo schéma. V těchto případech se používají formuláře DATABASE::{db_name} a SCHEMA::{schema_name} v uvedeném pořadí. Příklad: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Další informace najdete v tématu Akce auditu na úrovni databáze. |
|
properties.isAzureMonitorTargetEnabled |
boolean |
False |
Určuje, jestli se události auditu odesílají do služby Azure Monitor. Pokud chcete odesílat události do Služby Azure Monitor, zadejte stav jako Povoleno a isAzureMonitorTargetEnabled jako true. Při použití rozhraní REST API ke konfiguraci auditování by se měla v databázi vytvořit také nastavení diagnostiky s kategorií diagnostických protokolů SQLSecurityAuditEvents. Všimněte si, že pro audit na úrovni serveru byste měli použít hlavní databázi jako {databaseName}. Formát identifikátoru URI nastavení diagnostiky: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview Další informace najdete v tématu Nastavení diagnostiky rozhraní REST API nebo Nastavení diagnostiky v PowerShellu. |
properties.isStorageSecondaryKeyInUse |
boolean |
Určuje, jestli je hodnota storageAccountAccessKey sekundárním klíčem úložiště. |
|
properties.retentionDays |
integer |
Určuje počet dnů, které se mají uchovávat v protokolech auditu v účtu úložiště. |
|
properties.state |
Určuje stav zásady. Pokud je stav Povoleno, vyžaduje se storageEndpoint nebo isAzureMonitorTargetEnabled. |
||
properties.storageAccountAccessKey |
string |
Určuje klíč identifikátoru účtu úložiště auditování. Pokud je stav Povoleno a je zadaný parametr storageEndpoint, vyžaduje se storageAccountAccessKey. |
|
properties.storageAccountSubscriptionId |
string |
Určuje ID předplatného úložiště objektů blob. |
|
properties.storageEndpoint |
string |
Určuje koncový bod úložiště objektů blob (např. https://MyAccount.blob.core.windows.net). Pokud je stav Povoleno, vyžaduje se storageEndpoint. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |