Blob Auditing - Get

Ottiene i criteri di controllo BLOB di un server.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2020-11-01-preview

Parametri dell'URI

Name In Required Type Description
blobAuditingPolicyName
path True
  • string

Nome dei criteri di controllo BLOB.

resourceGroupName
path True
  • string

Nome del gruppo di risorse contenente la risorsa. È possibile ottenere questo valore dall'API di Gestione risorse di Azure o dal portale.

serverName
path True
  • string

Nome del server.

subscriptionId
path True
  • string

ID sottoscrizione che identifica una sottoscrizione di Azure.

api-version
query True
  • string

Versione dell'API da usare per la richiesta.

Risposte

Name Type Description
200 OK

È stato recuperato correttamente il criterio di controllo BLOB del server.

Other Status Codes

Risposte di errore: ***

  • 404 SubscriptionDoesNotHaveServer: il server richiesto non è stato trovato

  • 404 ServerNotInSubscriptionResourceGroup: il server specificato non esiste nel gruppo di risorse e nella sottoscrizione specificati.

Esempio

Get a server's blob auditing policy

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default?api-version=2020-11-01-preview

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/auditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "isAzureMonitorTargetEnabled": false
  }
}

Definizioni

BlobAuditingPolicyState

Specifica lo stato del controllo. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

ServerBlobAuditingPolicy

Criteri di controllo BLOB del server.

BlobAuditingPolicyState

Specifica lo stato del controllo. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

Name Type Description
Disabled
  • string
Enabled
  • string

ServerBlobAuditingPolicy

Criteri di controllo BLOB del server.

Name Type Description
id
  • string

ID risorsa.

name
  • string

Nome della risorsa.

properties.auditActionsAndGroups
  • string[]

Specifica l'Actions-Groups azioni da controllare.

Il set consigliato di gruppi di azioni da usare è la combinazione seguente, che consente di controllare tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Questa combinazione precedente è anche il set configurato per impostazione predefinita quando si abilita il controllo dal portale di Azure.

I gruppi di azioni supportati da controllare sono (nota: scegliere solo gruppi specifici che riguardino le esigenze di controllo. L'uso di gruppi non necessari può causare grandi quantità di record di controllo:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP

Si tratta di gruppi che coprono tutte le istruzioni SQL e le stored procedure eseguite sul database e non devono essere usati in combinazione con altri gruppi, in quanto ciò genererà log di controllo duplicati.

Per altre informazioni, vedere Gruppi di azioni di controllo a livello di database.

Per i criteri di controllo del database, è anche possibile specificare azioni specifiche (si noti che non è possibile specificare azioni per i criteri di controllo del server). Le azioni supportate da controllare sono: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES

Il modulo generale per la definizione di un'azione da controllare è: {action} ON {object} BY {principal}

Si noti che nel formato precedente può fare riferimento a un oggetto come una tabella, una vista o stored procedure o un intero database o schema. Per gli ultimi casi, vengono usati rispettivamente i formati DATABASE::{db_name} e SCHEMA::{schema_name}.

Ad esempio: SELECT in dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public

Per altre informazioni, vedere Azioni di controllo a livello di database

properties.isAzureMonitorTargetEnabled
  • boolean

Specifica se gli eventi di controllo vengono inviati Monitoraggio di Azure. Per inviare gli eventi Monitoraggio di Azure, specificare 'State' come 'Enabled' e 'IsAzureMonitorTargetEnabled' come true.

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria di log di diagnostica 'SQLSecurityAuditEvents' nel database. Si noti che per il controllo a livello di server è necessario usare il database 'master' come {databaseName}.

Formato URI delle impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per altre informazioni, vedere Api REST di Impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell

properties.isDevopsAuditEnabled
  • boolean

Specifica lo stato del controllo devops. Se lo stato è Abilitato, i log devops verranno inviati Monitoraggio di Azure. Per inviare gli eventi Monitoraggio di Azure, specificare 'State' come 'Enabled', 'IsAzureMonitorTargetEnabled' come true e 'IsDevopsAuditEnabled' come true

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria di log di diagnostica 'DevOpsOperationsAudit' nel database master.

Formato URI delle impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per altre informazioni, vedere Api REST di Impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell

properties.isStorageSecondaryKeyInUse
  • boolean

Specifica se il valore storageAccountAccessKey è la chiave secondaria dell'archiviazione.

properties.queueDelayMs
  • integer

Indica la quantità di tempo in millisecondi che può trascorrere prima che venga forzata l'elaborazione delle azioni di controllo. Il valore minimo predefinito è 1000 (1 secondo), Il valore massimo è 2.147.483.647.

properties.retentionDays
  • integer

Specifica il numero di giorni da mantenere nei log di controllo nell'account di archiviazione.

properties.state

Specifica lo stato del controllo. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

properties.storageAccountAccessKey
  • string

Specifica la chiave dell'identificatore dell'account di archiviazione di controllo. Se lo stato è Abilitato e viene specificato storageEndpoint, non specificando storageAccountAccessKey verrà utilizzata l'identità gestita assegnata dal sistema di SQL Server per accedere all'archiviazione. Prerequisiti per l'uso dell'autenticazione dell'identità gestita:

  1. Assegnare SQL Server un'identità gestita assegnata dal sistema in Azure Active Directory (AAD).
  2. Concedere SQL Server'identità all'account di archiviazione aggiungendo il ruolo RBAC 'Collaboratore dati BLOB di archiviazione' all'identità del server. Per altre informazioni, vedere Controllo nell'archiviazione tramite l'autenticazione con identità gestita
properties.storageAccountSubscriptionId
  • string

Specifica l'ID sottoscrizione di archiviazione BLOB.

properties.storageEndpoint
  • string

Specifica l'endpoint di archiviazione BLOB, ad esempio https://MyAccount.blob.core.windows.net) . Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

type
  • string

Tipo di risorsa.