Condividi tramite

Extended Server Blob Auditing Policies - Create Or Update

Servizio:
SQL Database
Versione API:
2025-01-01

Crea o aggiorna la policy di audit dei blob di un server esteso.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/extendedAuditingSettings/default?api-version=2025-01-01

Parametri dell'URI

Nome In Necessario Tipo Descrizione
blobAuditingPolicyName
 path True

blobAuditingPolicyName

Il nome della politica di audit del blob.
resourceGroupName
 path True

string

Nome del gruppo di risorse che contiene la risorsa. È possibile ottenere questo valore dall'API di Azure Resource Manager o dal portale.
serverName
 path True

string

Il nome del server.
subscriptionId
 path True

string

ID sottoscrizione che identifica una sottoscrizione di Azure.
api-version
 query True

string

Versione dell'API da usare per la richiesta.

Corpo della richiesta

Nome Necessario Tipo Descrizione
properties.state True

BlobAuditingPolicyState

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.
properties.auditActionsAndGroups

string[]

Specifica il Actions-Groups e le azioni da controllare.

Il set consigliato di gruppi di azioni da usare è la combinazione seguente: in questo modo verranno controllate tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Questa combinazione precedente è anche il set configurato per impostazione predefinita quando si abilita il controllo dal portale di Azure.

I gruppi di azioni supportati da controllare sono (nota: scegliere solo gruppi specifici che coprono le esigenze di controllo. L'uso di gruppi non necessari potrebbe causare grandi quantità di record di controllo:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Si tratta di gruppi che coprono tutte le istruzioni SQL e le stored procedure eseguite sul database e non devono essere usati in combinazione con altri gruppi, in quanto ciò comporterà la duplicazione dei log di controllo.

Per altre informazioni, vedere Database-Level Controlla gruppi di azioni.

Per i criteri di controllo del database, è anche possibile specificare azioni specifiche. Si noti che non è possibile specificare azioni per i criteri di controllo del server. Le azioni supportate da revisionare sono: SELEZIONA AGGIORNA INSERISCI ELIMINA ESEGUI RICEVI RIFERIMENTI

La forma generale per definire un'azione da auditare è: {azione} SU {oggetto} BY {principale}

Si noti che <oggetto> nel formato precedente può fare riferimento a un oggetto come una tabella, una vista o una stored procedure oppure un intero database o uno schema. Per questi ultimi casi, vengono usati rispettivamente i moduli DATABASE::{db_name} e SCHEMA::{schema_name} .

Ad esempio: SELECT su dbo.myTable da public SELECT su DATABASE::myDatabase da public SELECT su SCHEMA::mySchema da public

Per altre informazioni, vedere Database-Level Azioni di controllo
properties.isAzureMonitorTargetEnabled

boolean

Specifica se gli eventi di controllo vengono inviati a Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specificare 'State' come 'Enabled' e 'IsAzureMonitorTargetEnabled' come true.

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "SQLSecurityAuditEvents" nel database. Si noti che per il controllo a livello di server è consigliabile usare il database 'master' come {databaseName}.

Formato URI impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per altre informazioni, vedere 'API REST delle impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell
properties.isDevopsAuditEnabled

boolean

Specifica lo stato del controllo devops. Se lo stato è Abilitato, i log devops verranno inviati a Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specificare 'State' come 'Enabled', 'IsAzureMonitorTargetEnabled' come true e 'IsDevopsAuditEnabled' come true

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "DevOpsOperationsAudit" nel database master.

Formato URI impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per altre informazioni, vedere 'API REST delle impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell
properties.isManagedIdentityInUse

boolean

Specifica se l'identità gestita viene usata per accedere all'archiviazione BLOB
properties.isStorageSecondaryKeyInUse

boolean

Specifica se il valore storageAccountAccessKey è la chiave secondaria dell'archiviazione.
properties.predicateExpression

string

Specifica la condizione della clausola where durante la creazione di un controllo.
properties.queueDelayMs

integer (int32)

Indica la quantità di tempo in millisecondi che può trascorrere prima che venga forzata l'elaborazione delle azioni di controllo. Il valore minimo predefinito è 1000 (1 secondo). Il valore massimo è 2.147.483.647.
properties.retentionDays

integer (int32)

Specifica il numero di giorni da mantenere nei log di controllo nell'account di archiviazione.
properties.storageAccountAccessKey

string

Specifica la chiave di identificatore dell'account di archiviazione di controllo. Se lo stato è Abilitato e viene specificato storageEndpoint, non specificando storageAccountAccessKey verrà usata l'identità gestita assegnata dal sistema di SQL Server per accedere all'archiviazione. Prerequisiti per l'uso dell'autenticazione dell'identità gestita:

  1. Assegnare a SQL Server un'identità gestita assegnata dal sistema in Azure Active Directory (AAD).
  2. Concedere all'identità di SQL Server l'accesso all'account di archiviazione aggiungendo il ruolo controllo degli accessi in base al ruolo "Collaboratore ai dati dei BLOB di archiviazione" all'identità del server. Per altre informazioni, vedere Auditing to storage using Managed Identity Authentication
properties.storageAccountSubscriptionId

string (uuid)

Specifica l'ID sottoscrizione dell'archiviazione BLOB.
properties.storageEndpoint

string

Specifica l'endpoint di archiviazione BLOB , ad esempio https://MyAccount.blob.core.windows.net. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.

Risposte

Nome Tipo Descrizione
200 OK

ExtendedServerBlobAuditingPolicy

Aggiornato con successo le impostazioni di audit estese.
202 Accepted

L'aggiornamento delle impostazioni di audit esteso è in corso.

Intestazioni

Location: string
Other Status Codes

ErrorResponse

Risposte di errore:

  • 400 InvalidServerBlobAuditingPolicyCreateRequest - La richiesta di policy di audit del server crea blob non esiste o non ha alcun oggetto proprietà.

  • 400 InvalidBlobAuditActionsAndGroups - Azioni di audit o gruppi di azioni non validi.

  • 400 DataSecurityInvalidUserSuppliedParameter - Il client ha fornito un valore di parametro non valido.

  • 400 BlobAuditingInvalidPoliticLengthLength - Lunghezza della policy non valida, deve essere entro 200 caratteri.

  • 400 BlobAuditingPredicateExpressionEmpty - Parametro invalido 'predicateExpression', il valore non può essere vuoto.

  • 400 ManagedInstanceStoppingOrStopped - Operazione in conflitto inviata mentre l'istanza è in stato di arresto/arresto

  • 400 ManagedInstanceStarting - Operazione in conflitto inviata mentre l'istanza è in stato di avvio

  • 400 InvalidBlobAuditActionsAndGroups - Azioni di audit o gruppi di azioni non validi.

  • 400 BlobAuditingNetworkSecurityPerimeterNotAllowed - Network Security Perimeter bloccato la richiesta in uscita all'account di archiviazione

  • 400 BlobAuditingInvalidStorageAccountCredentials - L'account di archiviazione fornito o la chiave di accesso non è valido.

  • 400 BlobAuditingStorageOutboundFirewallNotAllowed - L'account di archiviazione non è nell'elenco degli FQDN consentiti e, di conseguenza, le regole del firewall in uscita bloccheranno la richiesta.

  • 400 InsufficientDiskSpaceForAuditing - Spazio su disco insufficiente per salvare i metadati di audit nel database

  • 400 InvalidBlobAuditActions - Azione di audit invalida

  • 404 ServerNotInSubscriptionResourceGroup - Il server specificato non esiste nel gruppo di risorse e nella sottoscrizione specificati.

  • 404 SubscriptionDoesNotHaveServer - Il server richiesto non è stato trovato

  • 404 OperationIdNotFound - L'operazione con ID non esiste.

  • 409 ServerBlobAuditingPolicyInProgress - Set server blob audit è già in corso.

  • 409 CannotCancelOperation: l'operazione di gestione si trova in uno stato che non può essere annullato.

  • 409 OperationCancelled - L'operazione è stata annullata dall'utente.

  • 409 OperationInterrupted - Impossibile completare l'operazione sulla risorsa perché è stata interrotta da un'altra operazione sulla stessa risorsa.

  • 429 SubscriptionTooManyCreateUpdateRequests - Richieste oltre il numero massimo di richieste che possono essere elaborate dalle risorse disponibili.

  • 429 SubscriptionTooManyRequests - Richieste oltre il numero massimo di richieste che possono essere elaborate dalle risorse disponibili.

  • 500 OperationTimedOut: timeout dell'operazione e rollback automatico. Ripetere l'operazione.

  • 503 TooManyRequests - Richieste oltre il numero massimo di richieste che possono essere elaborate dalle risorse disponibili.

Esempio

Update a server's extended blob auditing policy with all parameters
Update a server's extended blob auditing policy with minimal parameters

Update a server's extended blob auditing policy with all parameters

Esempio di richiesta

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2025-01-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}

Risposta di esempio

Codice di stato:
200 
{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "queueDelayMs": 4000,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "predicateExpression": "object_name = 'SensitiveData'",
    "isAzureMonitorTargetEnabled": true
  }
}
Codice di stato:
202

Update a server's extended blob auditing policy with minimal parameters

Esempio di richiesta

PUT https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default?api-version=2025-01-01

{
  "properties": {
    "state": "Enabled",
    "storageAccountAccessKey": "sdlfkjabc+sdlfkjsdlkfsjdfLDKFTERLKFDFKLjsdfksjdflsdkfD2342309432849328476458/3RSD==",
    "storageEndpoint": "https://mystorage.blob.core.windows.net"
  }
}

Risposta di esempio

Codice di stato:
200 
{
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/extendedAuditingSettings/default",
  "name": "default",
  "type": "Microsoft.Sql/servers/extendedAuditingSettings",
  "properties": {
    "state": "Enabled",
    "storageEndpoint": "https://mystorage.blob.core.windows.net",
    "retentionDays": 6,
    "storageAccountSubscriptionId": "00000000-1234-0000-5678-000000000000",
    "isStorageSecondaryKeyInUse": false,
    "auditActionsAndGroups": [
      "SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP",
      "FAILED_DATABASE_AUTHENTICATION_GROUP",
      "BATCH_COMPLETED_GROUP"
    ],
    "isAzureMonitorTargetEnabled": false
  }
}
Codice di stato:
202

Definizioni

Nome Descrizione
blobAuditingPolicyName

Il nome della politica di audit del blob.
BlobAuditingPolicyState

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.
ErrorAdditionalInfo

Informazioni aggiuntive sull'errore di gestione delle risorse.
ErrorDetail

Dettagli dell'errore.
ErrorResponse

Risposta di errore
ExtendedServerBlobAuditingPolicy

Criteri di controllo BLOB del server estesi.

blobAuditingPolicyName

Enumerazione

Il nome della politica di audit del blob.

Valore Descrizione
default

BlobAuditingPolicyState

Enumerazione

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.

Valore Descrizione
Enabled
Disabled

ErrorAdditionalInfo

Oggetto

Informazioni aggiuntive sull'errore di gestione delle risorse.

Nome Tipo Descrizione
info

object

Informazioni aggiuntive.
type

string

Tipo di informazioni aggiuntive.

ErrorDetail

Oggetto

Dettagli dell'errore.

Nome Tipo Descrizione
additionalInfo

ErrorAdditionalInfo[]

Informazioni aggiuntive sull'errore.
code

string

Codice di errore.
details

ErrorDetail[]

Dettagli dell'errore.
message

string

Messaggio di errore.
target

string

Destinazione dell'errore.

ErrorResponse

Oggetto

Risposta di errore

Nome Tipo Descrizione
error

ErrorDetail

Oggetto error.

ExtendedServerBlobAuditingPolicy

Oggetto

Criteri di controllo BLOB del server estesi.

Nome Tipo Descrizione
id

string

ID risorsa.
name

string

Nome risorsa.
properties.auditActionsAndGroups

string[]

Specifica il Actions-Groups e le azioni da controllare.

Il set consigliato di gruppi di azioni da usare è la combinazione seguente: in questo modo verranno controllate tutte le query e le stored procedure eseguite sul database, nonché gli accessi riusciti e non riusciti:

BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP.

Questa combinazione precedente è anche il set configurato per impostazione predefinita quando si abilita il controllo dal portale di Azure.

I gruppi di azioni supportati da controllare sono (nota: scegliere solo gruppi specifici che coprono le esigenze di controllo. L'uso di gruppi non necessari potrebbe causare grandi quantità di record di controllo:

APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP

Si tratta di gruppi che coprono tutte le istruzioni SQL e le stored procedure eseguite sul database e non devono essere usati in combinazione con altri gruppi, in quanto ciò comporterà la duplicazione dei log di controllo.

Per altre informazioni, vedere Database-Level Controlla gruppi di azioni.

Per i criteri di controllo del database, è anche possibile specificare azioni specifiche. Si noti che non è possibile specificare azioni per i criteri di controllo del server. Le azioni supportate da revisionare sono: SELEZIONA AGGIORNA INSERISCI ELIMINA ESEGUI RICEVI RIFERIMENTI

La forma generale per definire un'azione da auditare è: {azione} SU {oggetto} BY {principale}

Si noti che <oggetto> nel formato precedente può fare riferimento a un oggetto come una tabella, una vista o una stored procedure oppure un intero database o uno schema. Per questi ultimi casi, vengono usati rispettivamente i moduli DATABASE::{db_name} e SCHEMA::{schema_name} .

Ad esempio: SELECT su dbo.myTable da public SELECT su DATABASE::myDatabase da public SELECT su SCHEMA::mySchema da public

Per altre informazioni, vedere Database-Level Azioni di controllo
properties.isAzureMonitorTargetEnabled

boolean

Specifica se gli eventi di controllo vengono inviati a Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specificare 'State' come 'Enabled' e 'IsAzureMonitorTargetEnabled' come true.

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "SQLSecurityAuditEvents" nel database. Si noti che per il controllo a livello di server è consigliabile usare il database 'master' come {databaseName}.

Formato URI impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per altre informazioni, vedere 'API REST delle impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell
properties.isDevopsAuditEnabled

boolean

Specifica lo stato del controllo devops. Se lo stato è Abilitato, i log devops verranno inviati a Monitoraggio di Azure. Per inviare gli eventi a Monitoraggio di Azure, specificare 'State' come 'Enabled', 'IsAzureMonitorTargetEnabled' come true e 'IsDevopsAuditEnabled' come true

Quando si usa l'API REST per configurare il controllo, è necessario creare anche le impostazioni di diagnostica con la categoria dei log di diagnostica "DevOpsOperationsAudit" nel database master.

Formato URI impostazioni di diagnostica: PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview

Per altre informazioni, vedere 'API REST delle impostazioni di diagnostica o Impostazioni di diagnostica di PowerShell
properties.isManagedIdentityInUse

boolean

Specifica se l'identità gestita viene usata per accedere all'archiviazione BLOB
properties.isStorageSecondaryKeyInUse

boolean

Specifica se il valore storageAccountAccessKey è la chiave secondaria dell'archiviazione.
properties.predicateExpression

string

Specifica la condizione della clausola where durante la creazione di un controllo.
properties.queueDelayMs

integer (int32)

Indica la quantità di tempo in millisecondi che può trascorrere prima che venga forzata l'elaborazione delle azioni di controllo. Il valore minimo predefinito è 1000 (1 secondo). Il valore massimo è 2.147.483.647.
properties.retentionDays

integer (int32)

Specifica il numero di giorni da mantenere nei log di controllo nell'account di archiviazione.
properties.state

BlobAuditingPolicyState

Specifica lo stato del controllo. Se lo stato è Abilitato, sono necessari storageEndpoint o isAzureMonitorTargetEnabled.
properties.storageAccountAccessKey

string

Specifica la chiave di identificatore dell'account di archiviazione di controllo. Se lo stato è Abilitato e viene specificato storageEndpoint, non specificando storageAccountAccessKey verrà usata l'identità gestita assegnata dal sistema di SQL Server per accedere all'archiviazione. Prerequisiti per l'uso dell'autenticazione dell'identità gestita:

  1. Assegnare a SQL Server un'identità gestita assegnata dal sistema in Azure Active Directory (AAD).
  2. Concedere all'identità di SQL Server l'accesso all'account di archiviazione aggiungendo il ruolo controllo degli accessi in base al ruolo "Collaboratore ai dati dei BLOB di archiviazione" all'identità del server. Per altre informazioni, vedere Auditing to storage using Managed Identity Authentication
properties.storageAccountSubscriptionId

string (uuid)

Specifica l'ID sottoscrizione dell'archiviazione BLOB.
properties.storageEndpoint

string

Specifica l'endpoint di archiviazione BLOB , ad esempio https://MyAccount.blob.core.windows.net. Se lo stato è Abilitato, è necessario storageEndpoint o isAzureMonitorTargetEnabled.
type

string

Tipo di risorsa.