Microsoft.Sql-servrar/databaser/granskningInställningar 2023-05-01-preview
- Senaste
- 2023-05-01-preview
- 2023-02-01-preview
- 2022-11-01-preview
- 2022-08-01-preview
- 2022-05-01-preview
- 2022-02-01-preview
- 2021-11-01
- 2021-11-01-preview
- 2021-08-01-preview
- 2021-05-01-preview
- 2021-02-01-preview
- Förhandsversion 2020-11-01
- 2020-08-01-preview
- 2020-02-02-preview
- 2017-03-01-preview
- 2015-05-01-preview
Bicep-resursdefinition
Resurstypen servers/databases/auditingSettings kan distribueras med åtgärder som mål:
- Resursgrupper – Se distributionskommandon för resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Sql/servers/databases/auditingSettings-resurs lägger du till följande Bicep i mallen.
resource symbolicname 'Microsoft.Sql/servers/databases/auditingSettings@2023-05-01-preview' = {
name: 'default'
parent: resourceSymbolicName
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isManagedIdentityInUse: bool
isStorageSecondaryKeyInUse: bool
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
Egenskapsvärden
servers/databases/auditingSettings
| Name | Beskrivning | Värde |
|---|---|---|
| name | Resursnamnet Se hur du anger namn och typer för underordnade resurser i Bicep. |
"standard" |
| parent | I Bicep kan du ange den överordnade resursen för en underordnad resurs. Du behöver bara lägga till den här egenskapen när den underordnade resursen deklareras utanför den överordnade resursen. Mer information finns i Underordnad resurs utanför överordnad resurs. |
Symboliskt namn för resurs av typen: databaser |
| properties | Resursegenskaper. | DatabaseBlobAuditingPolicyEgenskaper |
DatabaseBlobAuditingPolicyEgenskaper
| Name | Beskrivning | Värde |
|---|---|---|
| auditActionsAndGroups | Anger Actions-Groups och åtgärder som ska granskas. Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning från Azure Portal aktiveras. De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Det här är grupper som täcker alla sql-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar. Mer information finns i Granskningsåtgärdsgrupper på databasnivå. För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: SELECT UPDATE INSERT DELETE UTFÖRA FÅ REFERENSLISTA Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} PÅ {object} BY {principal} Observera att {object} i ovanstående format kan referera till ett objekt som en tabell, vy eller lagrad procedur, eller en hel databas eller ett helt schema. I de senare fallen används formulären DATABASE::{db_name} och SCHEMA::{schema_name}. Exempel: VÄLJ på dbo.myTable efter offentlig VÄLJ på DATABAS::myDatabase efter offentlig VÄLJ på SCHEMA::mySchema efter offentlig Mer information finns i Granskningsåtgärder på databasnivå |
string[] |
| isAzureMonitorTargetEnabled | Anger om granskningshändelser skickas till Azure Monitor. För att kunna skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true. När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin SQLSecurityAuditEvents på databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}. URI-format för diagnostikinställningar: SÄTTA https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewMer information finns i REST API för diagnostikinställningar eller diagnostikinställningar PowerShell |
boolesk |
| isManagedIdentityInUse | Anger om hanterad identitet används för åtkomst till bloblagring | boolesk |
| isStorageSecondaryKeyInUse | Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel. | boolesk |
| queueDelayMs | Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647. |
int |
| retentionDays | Anger hur många dagar som ska behållas i granskningsloggarna på lagringskontot. | int |
| state | Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled. | "Inaktiverad" "Aktiverad" (obligatoriskt) |
| storageAccountAccessKey | Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server-systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange storageAccountAccessKey. Krav för att använda autentisering med hanterad identitet: 1. Tilldela SQL Server en systemtilldelad hanterad identitet i Azure Active Directory (AAD). 2. Ge SQL Server identitet åtkomst till lagringskontot genom att lägga till RBAC-rollen Storage Blob Data Contributor till serveridentiteten. Mer information finns i Granskning till lagring med hanterad identitetsautentisering |
sträng Begränsningar: Känsligt värde. Skicka in som en säker parameter. |
| storageAccountSubscriptionId | Anger prenumerations-ID:t för Blob Storage. | sträng Begränsningar: Minsta längd = 36 Maxlängd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled. |
sträng |
Resursdefinition för ARM-mall
Resurstypen servers/databases/auditingSettings kan distribueras med åtgärder som mål:
- Resursgrupper – Se kommandon för resursgruppsdistribution
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Sql/servers/databases/auditingSettings-resurs lägger du till följande JSON i mallen.
{
"type": "Microsoft.Sql/servers/databases/auditingSettings",
"apiVersion": "2023-05-01-preview",
"name": "default",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isManagedIdentityInUse": "bool",
"isStorageSecondaryKeyInUse": "bool",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
Egenskapsvärden
servers/databases/auditingSettings
| Name | Beskrivning | Värde |
|---|---|---|
| typ | Resurstypen | "Microsoft.Sql/servers/databases/auditingSettings" |
| apiVersion | Resurs-API-versionen | "2023-05-01-preview" |
| name | Resursnamnet Se hur du anger namn och typer för underordnade resurser i JSON ARM-mallar. |
"standard" |
| properties | Resursegenskaper. | DatabaseBlobAuditingPolicyProperties |
DatabaseBlobAuditingPolicyProperties
| Name | Beskrivning | Värde |
|---|---|---|
| auditActionsAndGroups | Anger Actions-Groups och åtgärder som ska granskas. Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning aktiveras från Azure Portal. De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Det här är grupper som omfattar alla SQL-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar. Mer information finns i Granskningsåtgärdsgrupper på databasnivå. För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: SELECT UPDATE INSERT DELETE UTFÖRA FÅ REFERENSLISTA Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} PÅ {object} BY {principal} Observera att {object} i formatet ovan kan referera till ett objekt som en tabell, vy eller lagrad procedur, eller en hel databas eller ett schema. I de senare fallen används formulären DATABASE::{db_name} respektive SCHEMA::{schema_name}. Exempel: SELECT on dbo.myTable by public SELECT på DATABASE::myDatabase by public SELECT på SCHEMA::mySchema efter offentlig Mer information finns i Granskningsåtgärder på databasnivå |
string[] |
| isAzureMonitorTargetEnabled | Anger om granskningshändelser skickas till Azure Monitor. För att kunna skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true. När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin SQLSecurityAuditEvents på databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}. URI-format för diagnostikinställningar: SÄTTA https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewMer information finns i REST API för diagnostikinställningar eller diagnostikinställningar PowerShell |
boolesk |
| isManagedIdentityInUse | Anger om hanterad identitet används för åtkomst till bloblagring | boolesk |
| isStorageSecondaryKeyInUse | Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel. | boolesk |
| queueDelayMs | Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647. |
int |
| retentionDays | Anger hur många dagar som ska behållas i granskningsloggarna på lagringskontot. | int |
| state | Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled. | "Inaktiverad" "Aktiverad" (obligatoriskt) |
| storageAccountAccessKey | Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server-systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange storageAccountAccessKey. Krav för att använda autentisering med hanterad identitet: 1. Tilldela SQL Server en systemtilldelad hanterad identitet i Azure Active Directory (AAD). 2. Ge SQL Server identitet åtkomst till lagringskontot genom att lägga till RBAC-rollen Storage Blob Data Contributor till serveridentiteten. Mer information finns i Granskning till lagring med hanterad identitetsautentisering |
sträng Begränsningar: Känsligt värde. Skicka in som en säker parameter. |
| storageAccountSubscriptionId | Anger prenumerations-ID:t för Blob Storage. | sträng Begränsningar: Minsta längd = 36 Maxlängd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled. |
sträng |
Resursdefinition för Terraform (AzAPI-provider)
Resurstypen servers/databases/auditingSettings kan distribueras med åtgärder som mål:
- Resursgrupper
En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.
Resursformat
Om du vill skapa en Microsoft.Sql/servers/databases/auditingSettings-resurs lägger du till följande Terraform i mallen.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Sql/servers/databases/auditingSettings@2023-05-01-preview"
name = "default"
parent_id = "string"
body = jsonencode({
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isManagedIdentityInUse = bool
isStorageSecondaryKeyInUse = bool
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
})
}
Egenskapsvärden
servers/databases/auditingSettings
| Name | Beskrivning | Värde |
|---|---|---|
| typ | Resurstypen | "Microsoft.Sql/servers/databases/auditingSettings@2023-05-01-preview" |
| name | Resursnamnet | "standard" |
| parent_id | ID för resursen som är överordnad för den här resursen. | ID för resurs av typen: databaser |
| properties | Resursegenskaper. | DatabaseBlobAuditingPolicyProperties |
DatabaseBlobAuditingPolicyProperties
| Name | Beskrivning | Värde |
|---|---|---|
| auditActionsAndGroups | Anger Actions-Groups och åtgärder som ska granskas. Den rekommenderade uppsättningen åtgärdsgrupper som ska användas är följande kombination – detta granskar alla frågor och lagrade procedurer som körs mot databasen, samt lyckade och misslyckade inloggningar: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Den här kombinationen ovan är också den uppsättning som konfigureras som standard när granskning aktiveras från Azure Portal. De åtgärdsgrupper som stöds för granskning är (obs! Välj endast specifika grupper som täcker dina granskningsbehov. Användning av onödiga grupper kan leda till mycket stora mängder granskningsposter: APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Det här är grupper som omfattar alla SQL-instruktioner och lagrade procedurer som körs mot databasen och som inte ska användas i kombination med andra grupper eftersom detta resulterar i dubbletter av granskningsloggar. Mer information finns i Granskningsåtgärdsgrupper på databasnivå. För databasgranskningsprincip kan specifika åtgärder också anges (observera att Åtgärder inte kan anges för servergranskningsprincipen). De åtgärder som stöds för granskning är: SELECT UPDATE INSERT DELETE UTFÖRA FÅ REFERENSLISTA Det allmänna formuläret för att definiera en åtgärd som ska granskas är: {action} PÅ {object} BY {principal} Observera att {object} i formatet ovan kan referera till ett objekt som en tabell, vy eller lagrad procedur, eller en hel databas eller ett schema. I de senare fallen används formulären DATABASE::{db_name} respektive SCHEMA::{schema_name}. Exempel: SELECT on dbo.myTable by public SELECT på DATABASE::myDatabase by public SELECT på SCHEMA::mySchema efter offentlig Mer information finns i Granskningsåtgärder på databasnivå |
string[] |
| isAzureMonitorTargetEnabled | Anger om granskningshändelser skickas till Azure Monitor. För att kunna skicka händelserna till Azure Monitor anger du "State" som "Enabled" och "IsAzureMonitorTargetEnabled" som true. När du använder REST API för att konfigurera granskning bör diagnostikinställningar med diagnostikloggkategorin SQLSecurityAuditEvents på databasen också skapas. Observera att för granskning på servernivå bör du använda huvuddatabasen som {databaseName}. URI-format för diagnostikinställningar: SÄTTA https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-previewMer information finns i REST API för diagnostikinställningar eller diagnostikinställningar PowerShell |
boolesk |
| isManagedIdentityInUse | Anger om hanterad identitet används för åtkomst till bloblagring | boolesk |
| isStorageSecondaryKeyInUse | Anger om storageAccountAccessKey-värdet är lagringens sekundära nyckel. | boolesk |
| queueDelayMs | Anger hur lång tid i millisekunder som kan förflutit innan granskningsåtgärder tvingas bearbetas. Standardvärdet är 1 000 (1 sekund). Maxvärdet är 2 147 483 647. |
int |
| retentionDays | Anger hur många dagar som ska behållas i granskningsloggarna på lagringskontot. | int |
| state | Anger granskningstillståndet. Om tillståndet är Aktiverat krävs storageEndpoint eller isAzureMonitorTargetEnabled. | "Inaktiverad" "Aktiverad" (obligatoriskt) |
| storageAccountAccessKey | Anger identifierarnyckeln för granskningslagringskontot. Om tillståndet är Aktiverat och storageEndpoint har angetts används SQL Server-systemtilldelad hanterad identitet för att komma åt lagringen genom att inte ange storageAccountAccessKey. Krav för att använda autentisering med hanterad identitet: 1. Tilldela SQL Server en systemtilldelad hanterad identitet i Azure Active Directory (AAD). 2. Ge SQL Server identitet åtkomst till lagringskontot genom att lägga till RBAC-rollen Storage Blob Data Contributor till serveridentiteten. Mer information finns i Granskning till lagring med hanterad identitetsautentisering |
sträng Begränsningar: Känsligt värde. Skicka in som en säker parameter. |
| storageAccountSubscriptionId | Anger prenumerations-ID:t för Blob Storage. | sträng Begränsningar: Minsta längd = 36 Maxlängd = 36 Mönster = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| storageEndpoint | Anger bloblagringsslutpunkten (t.ex. https://MyAccount.blob.core.windows.net). Om tillståndet är Aktiverat krävs storageEndpoint ellerazureMonitorTargetEnabled. |
sträng |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för