SqlPoolBlobAuditingPolicy interface
Sql 池 Blob 审核策略。
属性
| audit |
指定要审核的 Actions-Groups 和作。 建议使用的作组集是以下组合 - 这将审核针对数据库执行的所有查询和存储过程,以及成功和失败的登录: BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。 上述组合也是从 Azure 门户启用审核时默认配置的集。 要审核的受支持作组(注意:仅选择涵盖审核需求的特定组。使用不必要的组可能会导致大量审核记录): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP 这些组涵盖针对数据库执行的所有 sql 语句和存储过程,不应与其他组结合使用,因为这将导致重复的审核日志。 有关详细信息,请参阅 Database-Level 审核作组。 对于数据库审核策略,还可以指定特定作(请注意,不能为服务器审核策略指定作)。 要审核的受支持作包括:SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES 定义要审核的作的一般形式是: {action} ON {object} BY {principal} 请注意,采用上述格式的 <对象> 可以引用表、视图或存储过程或整个数据库或架构等对象。 对于后一种情况,将分别使用 FORMS DATABASE::{db_name} 和 SCHEMA::{schema_name}。 例如:按 PUBLIC SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public SELECT on SCHEMA::mySchema by public SELECT on dbo.myTable 有关详细信息,请参阅 Database-Level 审核作 |
| is |
指定是否将审核事件发送到 Azure Monitor。 若要将事件发送到 Azure Monitor,请将“state”指定为“Enabled”,并将“isAzureMonitorTargetEnabled”指定为 true。 使用 REST API 配置审核时,还应在数据库上创建具有“SQLSecurityAuditEvents”诊断日志类别的诊断设置。 请注意,对于服务器级别审核,应使用“master”数据库作为 {databaseName}。 诊断设置 URI 格式:PUT 有关详细信息,请参阅 诊断设置 REST API 或 诊断设置 PowerShell |
| is |
指定 storageAccountAccessKey 值是否为存储的辅助密钥。 |
| kind | 资源类型。 注意:此属性不会序列化。 它只能由服务器填充。 |
| retention |
指定要保留在存储帐户中的审核日志中的天数。 |
| state | 指定策略的状态。 如果状态为“已启用”,则需要 storageEndpoint 或 isAzureMonitorTargetEnabled。 |
| storage |
指定审核存储帐户的标识符密钥。 如果状态为 Enabled,并且指定 storageEndpoint,则需要 storageAccountAccessKey。 |
| storage |
指定 Blob 存储订阅 ID。 |
| storage |
指定 blob 存储终结点(例如 |
继承属性
| id | 资源的完全限定资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} 注意:此属性不会序列化。 它只能由服务器填充。 |
| name | 资源说明的名称:此属性不会序列化。 它只能由服务器填充。 |
| type | 资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”注意:此属性不会序列化。 它只能由服务器填充。 |
属性详细信息
auditActionsAndGroups
指定要审核的 Actions-Groups 和作。
建议使用的作组集是以下组合 - 这将审核针对数据库执行的所有查询和存储过程,以及成功和失败的登录:
BATCH_COMPLETED_GROUP、SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP。
上述组合也是从 Azure 门户启用审核时默认配置的集。
要审核的受支持作组(注意:仅选择涵盖审核需求的特定组。使用不必要的组可能会导致大量审核记录):
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP
这些组涵盖针对数据库执行的所有 sql 语句和存储过程,不应与其他组结合使用,因为这将导致重复的审核日志。
有关详细信息,请参阅 Database-Level 审核作组。
对于数据库审核策略,还可以指定特定作(请注意,不能为服务器审核策略指定作)。 要审核的受支持作包括:SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES
定义要审核的作的一般形式是: {action} ON {object} BY {principal}
请注意,采用上述格式的 <对象> 可以引用表、视图或存储过程或整个数据库或架构等对象。 对于后一种情况,将分别使用 FORMS DATABASE::{db_name} 和 SCHEMA::{schema_name}。
例如:按 PUBLIC SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public SELECT on SCHEMA::mySchema by public SELECT on dbo.myTable
有关详细信息,请参阅 Database-Level 审核作
auditActionsAndGroups?: string[]属性值
string[]
isAzureMonitorTargetEnabled
指定是否将审核事件发送到 Azure Monitor。 若要将事件发送到 Azure Monitor,请将“state”指定为“Enabled”,并将“isAzureMonitorTargetEnabled”指定为 true。
使用 REST API 配置审核时,还应在数据库上创建具有“SQLSecurityAuditEvents”诊断日志类别的诊断设置。 请注意,对于服务器级别审核,应使用“master”数据库作为 {databaseName}。
诊断设置 URI 格式:PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview
有关详细信息,请参阅 诊断设置 REST API 或 诊断设置 PowerShell
isAzureMonitorTargetEnabled?: boolean属性值
boolean
isStorageSecondaryKeyInUse
指定 storageAccountAccessKey 值是否为存储的辅助密钥。
isStorageSecondaryKeyInUse?: boolean属性值
boolean
kind
资源类型。 注意:此属性不会序列化。 它只能由服务器填充。
kind?: string属性值
string
retentionDays
指定要保留在存储帐户中的审核日志中的天数。
retentionDays?: number属性值
number
state
指定策略的状态。 如果状态为“已启用”,则需要 storageEndpoint 或 isAzureMonitorTargetEnabled。
state?: BlobAuditingPolicyState属性值
storageAccountAccessKey
指定审核存储帐户的标识符密钥。 如果状态为 Enabled,并且指定 storageEndpoint,则需要 storageAccountAccessKey。
storageAccountAccessKey?: string属性值
string
storageAccountSubscriptionId
指定 Blob 存储订阅 ID。
storageAccountSubscriptionId?: string属性值
string
storageEndpoint
指定 blob 存储终结点(例如 https://MyAccount.blob.core.windows.net)。 如果状态为“已启用”,则需要 storageEndpoint。
storageEndpoint?: string属性值
string
继承属性详细信息
id
资源的完全限定资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} 注意:此属性不会序列化。 它只能由服务器填充。
id?: string属性值
string
name
type
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”注意:此属性不会序列化。 它只能由服务器填充。
type?: string属性值
string
