Server Blob Auditing Policies - Get

Servicio:: SQL Database

Versión de la API:: 2025-01-01

Obtiene una política de auditoría de blob del servidor.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Sql/servers/{serverName}/auditingSettings/default?api-version=2025-01-01

Parámetros de identificador URI

Nombre	En	Requerido	Tipo	Description
blobAuditingPolicyName	path	True	BlobAuditingPolicyName	El nombre de la política de auditoría de blobs.
resourceGroupName	path	True	string minLength: 1 maxLength: 90	Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas.
serverName	path	True	string	El nombre del servidor.
subscriptionId	path	True	string (uuid)	Identificador de la suscripción de destino. El valor debe ser un UUID.
api-version	query	True	string minLength: 1	Versión de API que se usará para esta operación.

Respuestas

Nombre	Tipo	Description
200 OK	ServerBlobAuditingPolicy	Operación de Azure completada con éxito.
Other Status Codes	ErrorResponse	Una respuesta de error inesperada.

Seguridad

azure_auth

Azure Active Directory OAuth2 Flow.

Tipo: oauth2
Flujo: implicit
Dirección URL de autorización: https://login.microsoftonline.com/common/oauth2/authorize

Ámbitos

Nombre	Description
user_impersonation	suplantar la cuenta de usuario

Ejemplos

Get a server's blob auditing policy

Solicitud de ejemplo

HTTP

GET https://management.azure.com/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-4799/providers/Microsoft.Sql/servers/blobauditingtest-6440/auditingSettings/default?api-version=2025-01-01

Respuesta de muestra

status code:: 200

{
  "name": "default",
  "type": "Microsoft.Sql/servers/auditingSettings",
  "id": "/subscriptions/00000000-1111-2222-3333-444444444444/resourceGroups/blobauditingtest-6852/providers/Microsoft.Sql/servers/blobauditingtest-2080/auditingSettings/default",
  "properties": {
    "auditActionsAndGroups": [],
    "isAzureMonitorTargetEnabled": false,
    "isManagedIdentityInUse": false,
    "isStorageSecondaryKeyInUse": false,
    "retentionDays": 0,
    "state": "Disabled",
    "storageAccountSubscriptionId": "00000000-0000-0000-0000-000000000000",
    "storageEndpoint": ""
  }
}

Definiciones

Nombre	Description
BlobAuditingPolicyName
BlobAuditingPolicyState	Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.
createdByType	Tipo de identidad que creó el recurso.
ErrorAdditionalInfo	Información adicional sobre el error de administración de recursos.
ErrorDetail	Detalle del error.
ErrorResponse	Respuesta de error
ServerBlobAuditingPolicy	Directiva de auditoría de blobs de servidor.
systemData	Metadatos relativos a la creación y última modificación del recurso.

BlobAuditingPolicyName

Enumeración

Valor	Description
default	predeterminado

BlobAuditingPolicyState

Enumeración

Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.

Valor	Description
Enabled	Habilitado
Disabled	Deshabilitado

createdByType

Enumeración

Tipo de identidad que creó el recurso.

Valor	Description
User
Application
ManagedIdentity
Key

ErrorAdditionalInfo

Objeto

Información adicional sobre el error de administración de recursos.

Nombre	Tipo	Description
info	object	Información adicional.
type	string	Tipo de información adicional.

ErrorDetail

Objeto

Detalle del error.

Nombre	Tipo	Description
additionalInfo	ErrorAdditionalInfo[]	Información adicional del error.
code	string	Código de error.
details	ErrorDetail[]	Detalles del error.
message	string	El mensaje de error.
target	string	Destino del error.

ErrorResponse

Objeto

Respuesta de error

Nombre	Tipo	Description
error	ErrorDetail	Objeto de error.

ServerBlobAuditingPolicy

Objeto

Directiva de auditoría de blobs de servidor.

Nombre	Tipo	Description
id	string (arm-id)	Identificador de recurso completo para el recurso. Por ejemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}"
name	string	Nombre del recurso
properties.auditActionsAndGroups	string[]	Especifica el Actions-Groups y las acciones que se van a auditar. El conjunto recomendado de grupos de acciones que se van a usar es la siguiente combinación: esto auditará todas las consultas y procedimientos almacenados ejecutados en la base de datos, así como inicios de sesión correctos y con errores: BATCH_COMPLETED_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP. Esta combinación anterior es también el conjunto que se configura por defecto al habilitar la auditoría desde el portal de Azure. Los grupos de acciones admitidos que se van a auditar son (nota: elija solo grupos específicos que cubran las necesidades de auditoría. El uso de grupos innecesarios podría dar lugar a grandes cantidades de registros de auditoría): APPLICATION_ROLE_CHANGE_PASSWORD_GROUP BACKUP_RESTORE_GROUP DATABASE_LOGOUT_GROUP DATABASE_OBJECT_CHANGE_GROUP DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP DATABASE_OBJECT_PERMISSION_CHANGE_GROUP DATABASE_OPERATION_GROUP DATABASE_PERMISSION_CHANGE_GROUP DATABASE_PRINCIPAL_CHANGE_GROUP DATABASE_PRINCIPAL_IMPERSONATION_GROUP DATABASE_ROLE_MEMBER_CHANGE_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP SCHEMA_OBJECT_ACCESS_GROUP SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_ OWNERSHIP_CHANGE_GROUP SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP USER_CHANGE_PASSWORD_GROUP BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP DBCC_GROUP DATABASE_OWNERSHIP_CHANGE_GROUP DATABASE_CHANGE_GROUP LEDGER_OPERATION_GROUP Estos son grupos que cubren todas las instrucciones SQL y los procedimientos almacenados ejecutados en la base de datos y no deben usarse en combinación con otros grupos, ya que esto dará lugar a registros de auditoría duplicados. Para obtener más información, consulte Database-Level Auditar grupos de acciones. Para la directiva de auditoría de base de datos, también se pueden especificar acciones específicas (tenga en cuenta que las acciones no se pueden especificar para la directiva de auditoría del servidor). Las acciones soportadas para auditar son: SELECCIONAR ACTUALIZAR INSERTAR ELIMINAR EJECUTAR RECIBIR REFERENCIAS La forma general para definir una acción a auditar es: {acción} SOBRE {objeto} POR {principal} Tenga en cuenta que <objeto> en el formato anterior puede hacer referencia a un objeto como una tabla, una vista o un procedimiento almacenado, o a una base de datos o esquema completo. En los últimos casos, se usan los formularios DATABASE::{db_name} y SCHEMA::{schema_name}, respectivamente. Por ejemplo: SELECT en dbo.myTable por public SELECT en DATABASE::myDatabase por public SELECT en SCHEMA::mySchema por public Para obtener más información, consulte Database-Level Acciones de auditoría.
properties.isAzureMonitorTargetEnabled	boolean	Especifica si los eventos de auditoría se envían a Azure Monitor. Para enviar los eventos a Azure Monitor, especifica 'State' como 'Enabled' y 'IsAzureMonitorTargetEnabled' como verdadero. Al usar la API REST para configurar la auditoría, también se debe crear la categoría de registros de diagnóstico "SQLSecurityAuditEvents" en la base de datos. Tenga en cuenta que para la auditoría de nivel de servidor debe usar la base de datos "master" como {databaseName}. Configuración de diagnóstico Formato URI: PUT `https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview` Para obtener más información, consulte configuración de diagnóstico DE API REST o Configuración de diagnóstico de PowerShell
properties.isDevopsAuditEnabled	boolean	Especifica el estado de la auditoría de devops. Si el estado está habilitado, los registros de devops se enviarán a Azure Monitor. Para enviar los eventos a Azure Monitor, especifica 'State' como 'Enabled', 'IsAzureMonitorTargetEnabled' como verdadero y 'IsDevopsAuditEnabled' como verdadero Al usar la API REST para configurar la auditoría, también se debe crear la categoría de registros de diagnóstico "DevOpsOperationsAudit" en la base de datos maestra. Configuración de diagnóstico Formato URI: PUT `https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/master/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview` Para obtener más información, consulte configuración de diagnóstico DE API REST o Configuración de diagnóstico de PowerShell
properties.isManagedIdentityInUse	boolean	Especifica si la identidad administrada se usa para acceder al almacenamiento de blobs.
properties.isStorageSecondaryKeyInUse	boolean	Especifica si el valor storageAccountAccessKey es la clave secundaria del almacenamiento.
properties.queueDelayMs	integer (int32)	Especifica la cantidad de tiempo en milisegundos que pueden transcurrir antes de que se procesen las acciones de auditoría. El valor mínimo predeterminado es 1000 (1 segundo). El máximo es 2.147.483.647.
properties.retentionDays	integer (int32)	Especifica el número de días que se mantendrán en los registros de auditoría de la cuenta de almacenamiento.
properties.state	BlobAuditingPolicyState	Especifica el estado de la auditoría. Si el estado es Habilitado, se requieren storageEndpoint o isAzureMonitorTargetEnabled.
properties.storageAccountAccessKey	string (password)	Especifica la clave de identificador de la cuenta de almacenamiento de auditoría. Si se especifica state is Enabled and storageEndpoint, not specifying the storageAccountAccessKey will use SQL Server system-assigned managed identity to access the storage. Requisitos previos para usar la autenticación de identidad administrada: Asigna a SQL Server una identidad gestionada asignada por el sistema en Azure Active Directory (AAD). Concede acceso a la identidad de SQL Server a la cuenta de almacenamiento añadiendo el rol RBAC 'Storage Blob Data Contributor' a la identidad del servidor. Para obtener más información, consulte Auditoría en el almacenamiento mediante la autenticación de identidad administrada
properties.storageAccountSubscriptionId	string (uuid)	Especifica el identificador de suscripción de Blob Storage.
properties.storageEndpoint	string	Especifica el punto de conexión de Blob Storage (por ejemplo, `https://MyAccount.blob.core.windows.net`). Si el estado es Enabled, storageEndpoint o isAzureMonitorTargetEnabled es obligatorio.
systemData	systemData	Azure Resource Manager metadatos que contienen información createdBy y modifiedBy.
type	string	Tipo de recurso. Por ejemplo, "Microsoft. Compute/virtualMachines" o "Microsoft. CuentasAlmacenamiento/Almacenamiento"

systemData

Objeto

Metadatos relativos a la creación y última modificación del recurso.

Nombre	Tipo	Description
createdAt	string (date-time)	Marca de tiempo de creación de recursos (UTC).
createdBy	string	Identidad que creó el recurso.
createdByType	createdByType	Tipo de identidad que creó el recurso.
lastModifiedAt	string (date-time)	La marca de tiempo de la última modificación del recurso (UTC)
lastModifiedBy	string	Identidad que modificó por última vez el recurso.
lastModifiedByType	createdByType	Tipo de identidad que modificó por última vez el recurso.