Sdílet prostřednictvím

Auditing

platí pro:databáze SQL v Microsoft Fabric

Auditování databází SQL ve Fabric je důležitou funkcí zabezpečení a dodržování předpisů, která organizacím umožňuje sledovat a protokolovat databázové aktivity. Auditování podporuje dodržování předpisů, detekci hrozeb a forenzní šetření tím, že pomáhá zodpovědět otázky, jako je kdo přistupoval k jakým datům, kdy a jak.

Co je auditování SQL?

Auditování SQL se týká procesu zachytávání a ukládání událostí souvisejících s databázovými aktivitami. Mezi tyto události patří přístup k datům, změny schématu, úpravy oprávnění a pokusy o ověření.

V systému Fabric se audit implementuje na úrovni databáze a podporuje:

  • Monitorování dodržování předpisů (například HIPAA, SOX)
  • Vyšetřování bezpečnosti
  • Provozní přehledy

Cíl auditu

Protokoly auditu se zapisují do složky jen pro čtení ve OneLake a dají se dotazovat pomocí sys.fn_get_audit_file_v2 funkce T-SQL nebo OneLake Exploreru.

V případě databáze SQL ve Fabric se protokoly auditu ukládají v OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Tyto protokoly jsou neměnné a přístupné uživatelům s příslušnými oprávněními. Protokoly je možné stáhnout také pomocí OneLake Exploreru nebo Průzkumníka služby Azure Storage.

Možnosti konfigurace

Ve výchozím nastavení možnost Audit všeho zaznamenává všechny události, včetně: dokončení dávek a úspěšného i neúspěšného ověřování.

Pokud chcete být selektivnější, vyberte si z předkonfigurovaných scénářů auditu, například : Změny oprávnění a pokusy o přihlášení, čtení a zápisy dat a/nebo změny schématu.

Každý předkonfigurovaný scénář se mapuje na konkrétní skupiny akcí auditu (například SCHEMA_OBJECT_ACCESS_GROUP, ). DATABASE_PRINCIPAL_CHANGE_GROUP Můžete také zvolit, které události se mají auditovat v rámci vlastních událostí. Pokročilí uživatelé můžou vybrat jednotlivé skupiny akcí a přizpůsobit tak auditování svým potřebám. To je ideální pro zákazníky s přísnými interními zásadami zabezpečení.

Pokud chcete vyfiltrovat běžné nebo známé dotazy přístupu, můžete v Transact-SQL (T-SQL) poskytnout predikát výrazy , které odfiltrují události auditu na základě podmínek (například pro vyloučení příkazů SELECT): WHERE statement NOT LIKE '%select%'.

Povolení

Pokud chcete spravovat auditování pomocí rolí pracovního prostoru Fabric (doporučeno), musí mít uživatelé členství v roli Přispěvatel pracovního prostoru Fabric nebo vyšší oprávnění.

Správa auditování pomocí oprávnění SQL:

  • Aby uživatelé mohli nakonfigurovat audit databáze, musí mít oprávnění ALTER ANY DATABASE AUDIT.
  • Pokud chcete zobrazit protokoly auditu pomocí T-SQL, musí mít uživatelé oprávnění VIEW DATABASE SECURITY AUDIT.

Retention

Ve výchozím nastavení se data auditu uchovávají po neomezenou dobu. V části Automatické odstranění protokolů po této době můžete nakonfigurovat vlastní dobu uchovávání informací.

Konfigurace auditování pro databázi SQL z portálu Fabric

Zahájení auditování pro databázi SQL Fabric:

  1. Na portálu Fabric přejděte do databáze SQL a otevřete ji.
  2. V hlavní nabídce vyberte kartu Zabezpečení a pak vyberte Spravovat auditování SQL. Snímek obrazovky z portálu Fabric, který zobrazuje kartu Zabezpečení a tlačítko Spravovat auditování SQL.
  3. Otevře se podokno Správa auditování SQL.
  4. Vyberte tlačítko Uložit události do protokolů auditu SQL a povolte auditování.
  5. Nakonfigurujte, které události se mají zaznamenávat v části Události databáze . Zvolte Auditovat vše (výchozí) a zachyťte všechny události.
  6. Volitelně můžete nakonfigurovat zásady uchovávání informací v části Uchovávání informací.
  7. Volitelně můžete nakonfigurovat výraz predikátu příkazů T-SQL tak, aby se ignoroval v poli Výraz predikátu .
  8. Vyberte Uložit.

Dotaz protokolů auditu

Protokoly auditu je možné dotazovat pomocí funkcí T-SQL sys.fn_get_audit_file a sys.fn_get_audit_file_v2.

V následujícím skriptu musíte zadat ID pracovního prostoru a ID databáze. Obojí lze najít v URL z portálu Fabric. Například: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Prvním jedinečným identifikačním řetězcem v URL je ID pracovního prostoru Fabric a druhým jedinečným identifikačním řetězcem je ID SQL databáze.

  • Nahraďte <fabric_workspace_id> ID pracovního prostoru Fabric. ID pracovního prostoru můžete snadno najít v adrese URL. Jedná se o jedinečný řetězec uvnitř dvou / znaků za /groups/ oknem prohlížeče.
  • Nahraďte <fabric sql database id> vaší SQL databází v rámci identifikátoru databáze Fabric. ID položky databáze můžete snadno najít v adrese URL, jedná se o jedinečný řetězec uvnitř dvou / znaků za /sqldatabases/ oknem prohlížeče.

Například:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

Tento příklad načte protokoly auditu mezi 2025-11-17T08:40:40Z a 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Další informace najdete v tématu sys.fn_get_audit_file a sys.fn_get_audit_file_v2.

Související obsah

  • Last updated on