Workspace Managed Sql Server Blob Auditing Policies - Get

Pobierz zasady inspekcji obiektów BLOB serwera.
Pobierz zasady inspekcji obiektów BLOB zarządzanych przez obszar roboczy programu SQL Server.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Synapse/workspaces/{workspaceName}/auditingSettings/default?api-version=2019-06-01-preview

Parametry identyfikatora URI

Name In Required Type Description
blobAuditingPolicyName
path True

Nazwa zasad inspekcji obiektów BLOB.

resourceGroupName
path True
  • string

Nazwa grupy zasobów. W nazwie jest uwzględniana wielkość liter.

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True
  • string

Identyfikator subskrypcji docelowej.

workspaceName
path True
  • string

Nazwa obszaru roboczego

api-version
query True
  • string

Wersja interfejsu API do użycia dla tej operacji.

Odpowiedzi

Name Type Description
200 OK

Pomyślnie pobrano zasady inspekcji obiektów BLOB programu SQL Server zarządzanych przez obszar roboczy.

Other Status Codes

Odpowiedzi na błędy: * * _

_ 404 SubscriptionDoesNotHaveServer-nie znaleziono żądanego serwera.

  • 404 ServerNotInSubscriptionResourceGroup — określony serwer nie istnieje w określonej grupie zasobów i subskrypcji.

  • 409 UnsupportedWorkspaceType — Nieobsługiwana operacja dla typu obszaru roboczego.

  • 500 InternalServerError — coś poszło źle.

Przykłady

Get blob auditing setting of workspace managed sql Server

Sample Request

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/wsg-7398/providers/Microsoft.Synapse/workspaces/testWorkspace/auditingSettings/default?api-version=2019-06-01-preview

Sample Response

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/wsg-7398/providers/Microsoft.Synapse/workspaces/testWorkspace/auditingSettings/default",
  "name": "default",
  "type": "Microsoft.Synapse/workspaces/auditingSettings",
  "properties": {
    "state": "Disabled",
    "storageEndpoint": "",
    "retentionDays": 0,
    "auditActionsAndGroups": [],
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "isAzureMonitorTargetEnabled": false
  }
}

Definicje

BlobAuditingPolicyName

Nazwa zasad inspekcji obiektów BLOB.

BlobAuditingPolicyState

Określa stan zasad. Jeśli stan jest włączony, wymagane są storageEndpoint lub isAzureMonitorTargetEnabled.

ServerBlobAuditingPolicy

Zasady inspekcji obiektów BLOB serwera.

BlobAuditingPolicyName

Nazwa zasad inspekcji obiektów BLOB.

Name Type Description
default
  • string

BlobAuditingPolicyState

Określa stan zasad. Jeśli stan jest włączony, wymagane są storageEndpoint lub isAzureMonitorTargetEnabled.

Name Type Description
Disabled
  • string
Enabled
  • string

ServerBlobAuditingPolicy

Zasady inspekcji obiektów BLOB serwera.

Name Type Description
id
  • string

W pełni kwalifikowany identyfikator zasobu dla zasobu. /Subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name
  • string

Nazwa zasobu

properties.auditActionsAndGroups
  • string[]

Określa Actions-Groups i akcje do inspekcji.

Zalecanym zestawem grup akcji jest następująca kombinacja: spowoduje to przeprowadzenie inspekcji wszystkich zapytań i procedur składowanych wykonywanych w bazie danych, a także pomyślne i nieudane logowania:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Ta powyższa kombinacja jest również zestawem skonfigurowanym domyślnie podczas włączania inspekcji z Azure Portal.

Obsługiwane grupy akcji do inspekcji to (Uwaga: Wybierz tylko określone grupy, które obejmują potrzeby inspekcji. Korzystanie z niepotrzebnych grup może prowadzić do bardzo dużych ilości rekordów inspekcji:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_ GROUP

Są to grupy, które obejmują wszystkie instrukcje SQL i procedury składowane wykonywane względem bazy danych i nie powinny być używane w połączeniu z innymi grupami, ponieważ spowoduje to duplikowanie dzienników inspekcji.

Aby uzyskać więcej informacji, zobacz grupy akcji inspekcji na poziomie bazy danych.

W przypadku zasad inspekcji bazy danych można także określić określone akcje (należy zauważyć, że nie można określić akcji dla zasad inspekcji serwera). Obsługiwane akcje do inspekcji są następujące: wybierz pozycję Aktualizuj INSERT Usuń wykonaj odwołania

Ogólny formularz służący do definiowania akcji do inspekcji to: {Action} w obiekcie {Object} przez {Principal}

Należy pamiętać, że w powyższym formacie można odwołać się do obiektu, takiego jak tabela, widok lub procedura składowana lub cała baza danych lub schemat. W tych przypadkach baza danych formularzy:: {db_name} i schemat:: {schema_name} są używane odpowiednio.

Na przykład: wybierz pozycję w dbo. myTable przez Public SELECT on DATABASE:: Moja Database by Public SELECT w SCHEMAcie:: moje schematy przez publiczne

Aby uzyskać więcej informacji, zobacz Akcje inspekcji na poziomie bazy danych

properties.isAzureMonitorTargetEnabled
  • boolean

Określa, czy zdarzenia inspekcji są wysyłane do Azure Monitor. Aby wysłać zdarzenia do Azure Monitor, określ wartość "State" jako "Enabled" i "isAzureMonitorTargetEnabled" jako true.

W przypadku korzystania z interfejsu API REST w celu skonfigurowania inspekcji należy również utworzyć ustawienia diagnostyczne z kategorią dzienników diagnostycznych "SQLSecurityAuditEvents" w bazie danych. Należy pamiętać, że w przypadku inspekcji na poziomie serwera należy użyć bazy danych Master jako {databaseName}.

Format identyfikatora URI ustawień diagnostycznych: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne interfejsu API REST lub ustawień diagnostycznych programu PowerShell

properties.isStorageSecondaryKeyInUse
  • boolean

Określa, czy wartość storageAccountAccessKey jest kluczem pomocniczym magazynu.

properties.queueDelayMs
  • integer

Określa czas (w milisekundach), jaki może upłynąć, zanim akcje inspekcji zostaną wymuszone do przetworzenia. Domyślna wartość minimalna to 1000 (1 sekunda). Wartość maksymalna to 2 147 483 647.

properties.retentionDays
  • integer

Określa liczbę dni przechowywania w dziennikach inspekcji na koncie magazynu.

properties.state

Określa stan zasad. Jeśli stan jest włączony, wymagane są storageEndpoint lub isAzureMonitorTargetEnabled.

properties.storageAccountAccessKey
  • string

Określa klucz identyfikatora konta magazynu inspekcji. Jeśli stan jest włączony i storageEndpoint jest określony, nie określa storageAccountAccessKey będzie używać tożsamości zarządzanej przypisanej do systemu programu SQL Server w celu uzyskania dostępu do magazynu. Wymagania wstępne dotyczące korzystania z uwierzytelniania tożsamości zarządzanej:

  1. Przypisanie SQL Server tożsamości zarządzanej przypisanej do systemu w usłudze Azure Active Directory (AAD).
  2. Udziel SQL Server dostępu do tożsamości do konta magazynu, dodając rolę RBAC współautor danych obiektu BLOB do tożsamości serwera. Aby uzyskać więcej informacji, zobacz przeprowadzanie inspekcji do magazynu przy użyciu uwierzytelniania tożsamości zarządzanej
properties.storageAccountSubscriptionId
  • string

Określa identyfikator subskrypcji usługi BLOB Storage.

properties.storageEndpoint
  • string

Określa punkt końcowy magazynu obiektów BLOB (np. https://MyAccount.blob.core.windows.net) . Jeśli stan jest włączony, wymagany jest storageEndpoint lub isAzureMonitorTargetEnabled.

type
  • string

Typ zasobu. Na przykład "Microsoft. COMPUTE/virtualMachines" lub "Microsoft. Storage/storageAccounts"