Extended Server Blob Auditing Policies - Create Or Update

Service:: SQL Database

API-versie:: 2023-08-01

Hiermee maakt of werkt u het controlebeleid van een uitgebreide server voor de blob bij.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/extendedAuditingSettings/default?api-version=2023-08-01

URI-parameters

Name	In	Vereist	Type	Description
blobAuditingPolicyName	path	True	blobAuditingPolicyName	De naam van het controlebeleid voor blobs.
resourceGroupName	path	True	string	De naam van de resourcegroep die de resource bevat. U kunt deze waarde verkrijgen via de Azure Resource Manager-API of de portal.
serverName	path	True	string	De naam van de server.
subscriptionId	path	True	string	De abonnements-id waarmee een Azure-abonnement wordt geïdentificeerd.
api-version	query	True	string	De API-versie die moet worden gebruikt voor de aanvraag.

Aanvraagbody

Name	Vereist	Type	Description
properties.state	True	BlobAuditingPolicyState	Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.
properties.auditActionsAndGroups		string[]	Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd. De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal. De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken. Zie Database-Level Actiegroepen controlerenvoor meer informatie. Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd zijn: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Het algemene formulier voor het definiëren van een te controleren actie is: {action} ON {object} BY {principal} Houd er rekening mee dat <object> in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt. Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Zie Database-Level Controleacties voor meer informatie
properties.isAzureMonitorTargetEnabled		boolean	Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar. Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}. URI-indeling voor diagnostische instellingen: PUT-`https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview` Zie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen PowerShell
properties.isDevopsAuditEnabled		boolean	Hiermee geeft u de status van devops-audit. Als de status is ingeschakeld, worden devops-logboeken verzonden naar Azure Monitor. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'Status' op als Ingeschakeld, 'IsAzureMonitorTargetEnabled' als true en 'IsDevopsAuditEnabled' als true Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie Diagnostische logboeken devOpsOperationsAudit in de hoofddatabase ook worden gemaakt. URI-indeling voor diagnostische instellingen: PUT-`https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview` Zie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen PowerShell
properties.isManagedIdentityInUse		boolean	Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag
properties.isStorageSecondaryKeyInUse		boolean	Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.
properties.predicateExpression		string	Hiermee geeft u de voorwaarde van where-component bij het maken van een controle.
properties.queueDelayMs		integer (int32)	Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.
properties.retentionDays		integer (int32)	Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.
properties.storageAccountAccessKey		string	Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten: Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD). Verdeel SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol 'Inzender voor opslagblobgegevens' toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
properties.storageAccountSubscriptionId		string (uuid)	Hiermee geeft u de id van het blob-opslagabonnement op.
properties.storageEndpoint		string	Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld `https://MyAccount.blob.core.windows.net`). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.

Antwoorden

Name	Type	Description
200 OK	ExtendedServerBlobAuditingPolicy	De uitgebreide controle-instellingen zijn bijgewerkt.
202 Accepted		Het bijwerken van de uitgebreide controle-instellingen wordt uitgevoerd. Kopteksten Location: string
Other Status Codes	ErrorResponse	Foutreacties: *** 400 InvalidServerBlobAuditingPolicyCreateRequest : de aanvraag voor het controlebeleid voor de serverblob bestaat niet of heeft geen eigenschappenobject. 400 InvalidBlobAuditActionsAndGroups - Ongeldige controleacties of actiegroepen. 400 DataSecurityInvalidUserSuppliedParameter - Er is een ongeldige parameterwaarde opgegeven door de client. 400 BlobAuditingInvalidPolicyLength : ongeldige beleidslengte moet binnen 200 tekens zijn. 400 BlobAuditingPredicateExpressionEmpty - Ongeldige parameter predicateExpression, waarde mag niet leeg zijn. 400 ManagedInstanceStoppingOrStopped - Conflicterende bewerking verzonden terwijl het exemplaar de status gestopt/gestopt heeft 400 ManagedInstanceStarting - Conflicterende bewerking verzonden terwijl het exemplaar de beginstatus heeft 400 InvalidBlobAuditActionsAndGroups - Ongeldige controleacties of actiegroepen. 400 BlobAuditingNetworkSecurityPerimeterNotAllowed - Uitgaande aanvraag voor opslagaccount voor netwerkbeveiligingsperimeter geblokkeerd 400 BlobAuditingInvalidStorageAccountCredentials: het opgegeven opslagaccount of de toegangssleutel is ongeldig. 400 BlobAuditingStorageOutboundFirewallNotAllowed - Opslagaccount staat niet in de lijst met toegestane FQDN's en daarom blokkeren de uitgaande firewallregels de aanvraag. 400 InsufficientDiskSpaceForAuditing - Onvoldoende schijfruimte voor het opslaan van controlemetagegevens in de database 400 InvalidBlobAuditActions - Ongeldige controleactie 404 ServerNotInSubscriptionResourceGroup - Opgegeven server bestaat niet in de opgegeven resourcegroep en het opgegeven abonnement. 404 SubscriptionDoesNotHaveServer - De aangevraagde server is niet gevonden 404 OperationIdNotFound - De bewerking met id bestaat niet. 409 ServerBlobAuditingPolicyInProgress - Server blobcontrole instellen wordt al uitgevoerd. 409 CannotCancelOperation - De beheerbewerking heeft een status die niet kan worden geannuleerd. 409 OperationCancelled - De bewerking is geannuleerd door de gebruiker. 409 Bewerking onderbroken: de bewerking op de resource kan niet worden voltooid omdat deze is onderbroken door een andere bewerking op dezelfde resource. 429 SubscriptionTooManyCreateUpdateRequests - Aanvragen buiten het maximum aantal aanvragen dat kan worden verwerkt door beschikbare resources. 429 SubscriptionTooManyRequests : aanvragen buiten het maximum aantal aanvragen dat kan worden verwerkt door beschikbare resources. 500 OperationTimedOut: er is een time-out opgetreden voor de bewerking en wordt automatisch teruggedraaid. Voer de bewerking opnieuw uit. 503 TooManyRequests : aanvragen die buiten het maximum aantal aanvragen kunnen worden verwerkt door beschikbare resources.

Name

Type

Description

200 OK

ExtendedServerBlobAuditingPolicy

De uitgebreide controle-instellingen zijn bijgewerkt.

202 Accepted

Het bijwerken van de uitgebreide controle-instellingen wordt uitgevoerd.

Kopteksten

Location: string

Other Status Codes

ErrorResponse

Foutreacties: ***

400 InvalidServerBlobAuditingPolicyCreateRequest : de aanvraag voor het controlebeleid voor de serverblob bestaat niet of heeft geen eigenschappenobject.
400 InvalidBlobAuditActionsAndGroups - Ongeldige controleacties of actiegroepen.
400 DataSecurityInvalidUserSuppliedParameter - Er is een ongeldige parameterwaarde opgegeven door de client.
400 BlobAuditingInvalidPolicyLength : ongeldige beleidslengte moet binnen 200 tekens zijn.
400 BlobAuditingPredicateExpressionEmpty - Ongeldige parameter predicateExpression, waarde mag niet leeg zijn.
400 ManagedInstanceStoppingOrStopped - Conflicterende bewerking verzonden terwijl het exemplaar de status gestopt/gestopt heeft
400 ManagedInstanceStarting - Conflicterende bewerking verzonden terwijl het exemplaar de beginstatus heeft
400 InvalidBlobAuditActionsAndGroups - Ongeldige controleacties of actiegroepen.
400 BlobAuditingNetworkSecurityPerimeterNotAllowed - Uitgaande aanvraag voor opslagaccount voor netwerkbeveiligingsperimeter geblokkeerd
400 BlobAuditingInvalidStorageAccountCredentials: het opgegeven opslagaccount of de toegangssleutel is ongeldig.
400 BlobAuditingStorageOutboundFirewallNotAllowed - Opslagaccount staat niet in de lijst met toegestane FQDN's en daarom blokkeren de uitgaande firewallregels de aanvraag.
400 InsufficientDiskSpaceForAuditing - Onvoldoende schijfruimte voor het opslaan van controlemetagegevens in de database
400 InvalidBlobAuditActions - Ongeldige controleactie
404 ServerNotInSubscriptionResourceGroup - Opgegeven server bestaat niet in de opgegeven resourcegroep en het opgegeven abonnement.
404 SubscriptionDoesNotHaveServer - De aangevraagde server is niet gevonden
404 OperationIdNotFound - De bewerking met id bestaat niet.
409 ServerBlobAuditingPolicyInProgress - Server blobcontrole instellen wordt al uitgevoerd.
409 CannotCancelOperation - De beheerbewerking heeft een status die niet kan worden geannuleerd.
409 OperationCancelled - De bewerking is geannuleerd door de gebruiker.
409 Bewerking onderbroken: de bewerking op de resource kan niet worden voltooid omdat deze is onderbroken door een andere bewerking op dezelfde resource.
429 SubscriptionTooManyCreateUpdateRequests - Aanvragen buiten het maximum aantal aanvragen dat kan worden verwerkt door beschikbare resources.
429 SubscriptionTooManyRequests : aanvragen buiten het maximum aantal aanvragen dat kan worden verwerkt door beschikbare resources.
500 OperationTimedOut: er is een time-out opgetreden voor de bewerking en wordt automatisch teruggedraaid. Voer de bewerking opnieuw uit.
503 TooManyRequests : aanvragen die buiten het maximum aantal aanvragen kunnen worden verwerkt door beschikbare resources.

Voorbeelden

Update a server's extended blob auditing policy with all parameters

Update a server's extended blob auditing policy with minimal parameters

Update a server's extended blob auditing policy with all parameters

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2023-08-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}

using Azure;
using Azure.ResourceManager;
using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager.Sql.Models;
using Azure.ResourceManager.Sql;

// Generated from example definition: specification/sql/resource-manager/Microsoft.Sql/stable/2023-08-01/examples/ExtendedServerBlobAuditingCreateMax.json
// this example is just showing the usage of "ExtendedServerBlobAuditingPolicies_CreateOrUpdate" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ExtendedServerBlobAuditingPolicyResource created on azure
// for more information of creating ExtendedServerBlobAuditingPolicyResource, please refer to the document of ExtendedServerBlobAuditingPolicyResource
string subscriptionId = "00000000-1111-2222-3333-444444444444";
string resourceGroupName = "blobauditingtest-4799";
string serverName = "blobauditingtest-6440";
BlobAuditingPolicyName blobAuditingPolicyName = BlobAuditingPolicyName.Default;
ResourceIdentifier extendedServerBlobAuditingPolicyResourceId = ExtendedServerBlobAuditingPolicyResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, serverName, blobAuditingPolicyName);
ExtendedServerBlobAuditingPolicyResource extendedServerBlobAuditingPolicy = client.GetExtendedServerBlobAuditingPolicyResource(extendedServerBlobAuditingPolicyResourceId);

// invoke the operation
ExtendedServerBlobAuditingPolicyData data = new ExtendedServerBlobAuditingPolicyData
{
    PredicateExpression = "object_name = 'SensitiveData'",
    RetentionDays = 6,
    AuditActionsAndGroups = { "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP", "FAILED_DATABASE_AUTHENTICATION_GROUP", "BATCH_COMPLETED_GROUP" },
    IsStorageSecondaryKeyInUse = false,
    IsAzureMonitorTargetEnabled = true,
    QueueDelayMs = 4000,
    State = BlobAuditingPolicyState.Enabled,
    StorageEndpoint = "https://mystorage.blob.core.windows.net",
    StorageAccountAccessKey = "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    StorageAccountSubscriptionId = Guid.Parse("00000000-1234-0000-5678-000000000000"),
};
ArmOperation<ExtendedServerBlobAuditingPolicyResource> lro = await extendedServerBlobAuditingPolicy.UpdateAsync(WaitUntil.Completed, data);
ExtendedServerBlobAuditingPolicyResource result = lro.Value;

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
ExtendedServerBlobAuditingPolicyData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Voorbeeldrespons

Statuscode:: 200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}

Statuscode:: 202

Update a server's extended blob auditing policy with minimal parameters

Voorbeeldaanvraag

HTTP
dotnet

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2023-08-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

using Azure;
using Azure.ResourceManager;
using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager.Sql.Models;
using Azure.ResourceManager.Sql;

// Generated from example definition: specification/sql/resource-manager/Microsoft.Sql/stable/2023-08-01/examples/ExtendedServerBlobAuditingCreateMin.json
// this example is just showing the usage of "ExtendedServerBlobAuditingPolicies_CreateOrUpdate" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ExtendedServerBlobAuditingPolicyResource created on azure
// for more information of creating ExtendedServerBlobAuditingPolicyResource, please refer to the document of ExtendedServerBlobAuditingPolicyResource
string subscriptionId = "00000000-1111-2222-3333-444444444444";
string resourceGroupName = "blobauditingtest-4799";
string serverName = "blobauditingtest-6440";
BlobAuditingPolicyName blobAuditingPolicyName = BlobAuditingPolicyName.Default;
ResourceIdentifier extendedServerBlobAuditingPolicyResourceId = ExtendedServerBlobAuditingPolicyResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, serverName, blobAuditingPolicyName);
ExtendedServerBlobAuditingPolicyResource extendedServerBlobAuditingPolicy = client.GetExtendedServerBlobAuditingPolicyResource(extendedServerBlobAuditingPolicyResourceId);

// invoke the operation
ExtendedServerBlobAuditingPolicyData data = new ExtendedServerBlobAuditingPolicyData
{
    State = BlobAuditingPolicyState.Enabled,
    StorageEndpoint = "https://mystorage.blob.core.windows.net",
    StorageAccountAccessKey = "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
};
ArmOperation<ExtendedServerBlobAuditingPolicyResource> lro = await extendedServerBlobAuditingPolicy.UpdateAsync(WaitUntil.Completed, data);
ExtendedServerBlobAuditingPolicyResource result = lro.Value;

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
ExtendedServerBlobAuditingPolicyData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Voorbeeldrespons

Statuscode:: 200

{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": false
  }
}

Statuscode:: 202

Definities

Name	Description
blobAuditingPolicyName	De naam van het controlebeleid voor blobs.
BlobAuditingPolicyState	Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.
ErrorAdditionalInfo	Aanvullende informatie over de resourcebeheerfout.
ErrorDetail	De foutdetails.
ErrorResponse	Foutreactie
ExtendedServerBlobAuditingPolicy	Een uitgebreide serverblobcontrolebeleid.

blobAuditingPolicyName

Inventarisatie

De naam van het controlebeleid voor blobs.

Waarde	Description
default

BlobAuditingPolicyState

Inventarisatie

Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.

Waarde	Description
Enabled
Disabled

ErrorAdditionalInfo

Object

Aanvullende informatie over de resourcebeheerfout.

Name	Type	Description
info	object	De aanvullende informatie.
type	string	Het extra informatietype.

ErrorDetail

Object

De foutdetails.

Name	Type	Description
additionalInfo	ErrorAdditionalInfo[]	De fout bevat aanvullende informatie.
code	string	De foutcode.
details	ErrorDetail[]	De foutdetails.
message	string	Het foutbericht.
target	string	Het foutdoel.

ErrorResponse

Object

Foutreactie

Name	Type	Description
error	ErrorDetail	Het foutobject.

ExtendedServerBlobAuditingPolicy

Object

Een uitgebreide serverblobcontrolebeleid.

Name	Type	Description
id	string	Resource-id.
name	string	Resourcenaam.
properties.auditActionsAndGroups	string[]	Hiermee geeft u de Actions-Groups en acties die moeten worden gecontroleerd. De aanbevolen set actiegroepen die moeten worden gebruikt, is de volgende combinatie: hiermee worden alle query's en opgeslagen procedures gecontroleerd die worden uitgevoerd op de database, evenals geslaagde en mislukte aanmeldingen: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Deze bovenstaande combinatie is ook de set die standaard is geconfigureerd bij het inschakelen van controle vanuit Azure Portal. De ondersteunde actiegroepen die moeten worden gecontroleerd, zijn (opmerking: kies alleen specifieke groepen die betrekking hebben op uw controlebehoeften. Het gebruik van onnodige groepen kan leiden tot zeer grote hoeveelheden controlerecords): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Dit zijn groepen die betrekking hebben op alle SQL-instructies en opgeslagen procedures die worden uitgevoerd op de database, en mogen niet worden gebruikt in combinatie met andere groepen, omdat dit leidt tot dubbele auditlogboeken. Zie Database-Level Actiegroepen controlerenvoor meer informatie. Voor databasecontrolebeleid kunnen ook specifieke acties worden opgegeven (houd er rekening mee dat acties niet kunnen worden opgegeven voor servercontrolebeleid). De ondersteunde acties die moeten worden gecontroleerd zijn: SELECT UPDATE INSERT DELETE EXECUTE RECEIVE REFERENCES Het algemene formulier voor het definiëren van een te controleren actie is: {action} ON {object} BY {principal} Houd er rekening mee dat <object> in de bovenstaande indeling kan verwijzen naar een object zoals een tabel, weergave of opgeslagen procedure, of een hele database of schema. In de laatste gevallen worden de formulieren DATABASE::{db_name} en SCHEMA::{schema_name} respectievelijk gebruikt. Bijvoorbeeld: SELECT on dbo.myTable by public SELECT on DATABASE::myDatabase by public SELECT on SCHEMA::mySchema by public Zie Database-Level Controleacties voor meer informatie
properties.isAzureMonitorTargetEnabled	boolean	Hiermee geeft u op of controlegebeurtenissen naar Azure Monitor worden verzonden. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'State' op als Ingeschakeld en 'IsAzureMonitorTargetEnabled' als waar. Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie diagnostische logboeken van SQLSecurityAuditEvents in de database ook worden gemaakt. Houd er rekening mee dat u voor controle op serverniveau de hoofddatabase moet gebruiken als {databaseName}. URI-indeling voor diagnostische instellingen: PUT-`https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview` Zie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen PowerShell
properties.isDevopsAuditEnabled	boolean	Hiermee geeft u de status van devops-audit. Als de status is ingeschakeld, worden devops-logboeken verzonden naar Azure Monitor. Als u de gebeurtenissen naar Azure Monitor wilt verzenden, geeft u 'Status' op als Ingeschakeld, 'IsAzureMonitorTargetEnabled' als true en 'IsDevopsAuditEnabled' als true Wanneer u REST API gebruikt om controle te configureren, moeten diagnostische instellingen met de categorie Diagnostische logboeken devOpsOperationsAudit in de hoofddatabase ook worden gemaakt. URI-indeling voor diagnostische instellingen: PUT-`https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview` Zie voor meer informatie REST API voor diagnostische instellingen of Diagnostische instellingen PowerShell
properties.isManagedIdentityInUse	boolean	Hiermee geeft u op of Beheerde identiteit wordt gebruikt voor toegang tot blobopslag
properties.isStorageSecondaryKeyInUse	boolean	Hiermee geeft u op of de waarde storageAccountAccessKey de secundaire sleutel van de opslag is.
properties.predicateExpression	string	Hiermee geeft u de voorwaarde van where-component bij het maken van een controle.
properties.queueDelayMs	integer (int32)	Hiermee geeft u de hoeveelheid tijd in milliseconden op die kan verstrijken voordat controleacties worden gedwongen te worden verwerkt. De standaard minimumwaarde is 1000 (1 seconde). Het maximum is 2.147.483.647.
properties.retentionDays	integer (int32)	Hiermee geeft u het aantal dagen op dat moet worden bewaard in de auditlogboeken in het opslagaccount.
properties.state	BlobAuditingPolicyState	Hiermee geeft u de status van de controle. Als de status Is ingeschakeld, zijn storageEndpoint of isAzureMonitorTargetEnabled vereist.
properties.storageAccountAccessKey	string	Hiermee geeft u de id-sleutel van het controleopslagaccount. Als de status Is ingeschakeld en storageEndpoint is opgegeven, wordt de door het SQL Server-systeem toegewezen beheerde identiteit niet gebruikt om toegang te krijgen tot de opslag door het sql Server-systeem toegewezen beheerde identiteit. Vereisten voor het gebruik van verificatie van beheerde identiteiten: Wijs SQL Server een door het systeem toegewezen beheerde identiteit toe in Azure Active Directory (AAD). Verdeel SQL Server-identiteit toegang tot het opslagaccount door de RBAC-rol 'Inzender voor opslagblobgegevens' toe te voegen aan de serveridentiteit. Zie Controle voor opslag met beheerde identiteitsverificatie voor meer informatie
properties.storageAccountSubscriptionId	string (uuid)	Hiermee geeft u de id van het blob-opslagabonnement op.
properties.storageEndpoint	string	Hiermee geeft u het blob-opslageindpunt (bijvoorbeeld `https://MyAccount.blob.core.windows.net`). Als de status is ingeschakeld, is storageEndpoint of isAzureMonitorTargetEnabled vereist.
type	string	Resourcetype.

Delen via

Extended Server Blob Auditing Policies - Create Or Update

URI-parameters

Aanvraagbody

Antwoorden

Voorbeelden

Update a server's extended blob auditing policy with all parameters

Voorbeeldaanvraag

Voorbeeldrespons

Update a server's extended blob auditing policy with minimal parameters

Voorbeeldaanvraag

Voorbeeldrespons

Definities

blobAuditingPolicyName

BlobAuditingPolicyState

ErrorAdditionalInfo

ErrorDetail

ErrorResponse

ExtendedServerBlobAuditingPolicy