Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:✅databáze SQL v Microsoft Fabric
Auditování databází SQL ve Fabric je důležitou funkcí zabezpečení a dodržování předpisů, která organizacím umožňuje sledovat a protokolovat databázové aktivity. Auditování podporuje dodržování předpisů, detekci hrozeb a forenzní šetření tím, že pomáhá zodpovědět otázky, jako je kdo přistupoval k jakým datům, kdy a jak.
Co je auditování SQL?
Auditování SQL se týká procesu zachytávání a ukládání událostí souvisejících s databázovými aktivitami. Mezi tyto události patří přístup k datům, změny schématu, úpravy oprávnění a pokusy o ověření.
Ve Fabric funguje auditování na úrovni databáze a podporuje:
- Monitorování dodržování předpisů (například HIPAA, SOX)
- Vyšetřování bezpečnosti
- Provozní přehledy
Cíl auditu
Protokoly auditu se zapisují do složky jen pro čtení ve OneLake a dají se dotazovat pomocí sys.fn_get_audit_file_v2 funkce T-SQL nebo OneLake Exploreru.
V případě databáze SQL ve Fabric se protokoly auditu ukládají v OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/
Tyto protokoly jsou neměnné a přístupné uživatelům s příslušnými oprávněními. Protokoly je možné stáhnout také pomocí OneLake Exploreru nebo Průzkumníka služby Azure Storage.
Fakturování
Momentálně se za zápis auditních záznamů do Fabric OneLake neúčtují další poplatky a úložiště je součástí limitů úložiště kapacity OneLake.
Možnosti konfigurace
Ve výchozím nastavení možnost Auditovat vše zachytí všechny události, včetně dávkových dokončení a úspěšného a neúspěšného ověřování.
Pokud chcete být selektivnější, vyberte si z předkonfigurovaných scénářů auditu, například : Změny oprávnění a pokusy o přihlášení, čtení a zápisy dat a/nebo změny schématu.
Každý předkonfigurovaný scénář se mapuje na konkrétní skupiny akcí auditu (například SCHEMA_OBJECT_ACCESS_GROUP, ). DATABASE_PRINCIPAL_CHANGE_GROUP Můžete také zvolit, které události se mají auditovat v rámci vlastních událostí. Můžete vybrat jednotlivé skupiny akcí pro přizpůsobení auditování vašim potřebám. Tato možnost je ideální pro organizace s přísnými interními zásadami zabezpečení.
Pokud chcete vyfiltrovat běžné nebo známé dotazy přístupu, můžete v Transact-SQL (T-SQL) poskytnout predikát výrazy , které odfiltrují události auditu na základě podmínek (například pro vyloučení příkazů SELECT): WHERE statement NOT LIKE '%select%'.
Povolení
Pokud chcete spravovat auditování pomocí rolí pracovního prostoru Fabric (doporučeno), musíte mít členství v roli Přispěvatel pracovního prostoru Fabric nebo mít vyšší oprávnění.
Správa auditování pomocí oprávnění SQL:
- Pokud chcete nakonfigurovat audit databáze, musíte mít oprávnění ALTER ANY DATABASE AUDIT.
- Pokud chcete zobrazit protokoly auditu pomocí T-SQL, musíte mít oprávnění VIEW DATABASE SECURITY AUDIT.
Retention
Ve výchozím nastavení se data auditu uchovávají po neomezenou dobu, pokud nenakonfigurujete vlastní dobu uchovávání, která po této době automaticky odstraní protokoly.
Fabric aktuálně ukládá protokoly auditu do složky položky v OneLake a jsou omezeny na životní cyklus položky. Pokud položku odstraníte, Fabric také odstraní protokoly auditu. Pokud požadujete uchovávání informací nezávisle na životním cyklu položky, přesuňte protokoly auditu do samostatného umístění úložiště (například do jiného účtu Lakehouse nebo Azure Storage) pomocí nástrojů, jako je AzCopy nebo SSDT.
Konfigurace auditování pro databázi SQL z portálu Fabric
Zahájení auditování pro databázi SQL Fabric:
- Na portálu Fabric přejděte do databáze SQL a otevřete ji.
- V hlavní nabídce vyberte kartu Zabezpečení a pak vyberte Spravovat auditování SQL.
- Otevře se podokno Správa auditování SQL.
- Vyberte tlačítko Uložit události do protokolů auditu SQL a povolte auditování.
- Nakonfigurujte, které události se mají zaznamenávat v části Události databáze . Zvolte Auditovat vše (výchozí) a zachyťte všechny události.
- Volitelně můžete nakonfigurovat zásady uchovávání informací v části Uchovávání informací.
- Volitelně můžete nakonfigurovat výraz predikátu příkazů T-SQL tak, aby se ignoroval v poli Výraz predikátu .
- Vyberte Uložit.
Dotaz protokolů auditu
Protokoly auditu je možné dotazovat pomocí funkcí T-SQL sys.fn_get_audit_file a sys.fn_get_audit_file_v2.
V následujícím skriptu musíte zadat ID pracovního prostoru a ID databáze. Obojí lze najít v URL z portálu Fabric. Například: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Prvním jedinečným identifikačním řetězcem v URL je ID pracovního prostoru Fabric a druhým jedinečným identifikačním řetězcem je ID SQL databáze.
- Nahraďte
<fabric_workspace_id>ID pracovního prostoru Fabric. ID pracovního prostoru najdete v adrese URL. Jedná se o jedinečný řetězec uvnitř dvou/znaků za/groups/oknem prohlížeče. - Nahraďte
<fabric sql database id>vaší SQL databází v rámci identifikátoru databáze Fabric. ID položky databáze najdete v adrese URL. Jedná se o jedinečný řetězec uvnitř dvou/znaků za/sqldatabases/oknem prohlížeče.
Například:
SELECT * FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT, DEFAULT, DEFAULT, DEFAULT );
Tento příklad načte protokoly auditu mezi 2025-11-17T08:40:40Z a 2025-11-17T09:10:40Z.
SELECT *
FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT,
DEFAULT,
'2025-11-17T08:40:40Z',
'2025-11-17T09:10:40Z')
Další informace najdete v tématu sys.fn_get_audit_file a sys.fn_get_audit_file_v2.
Správa auditování pomocí rozhraní REST API
Nastavení auditování databáze SQL můžete také zobrazit a nakonfigurovat programově pomocí rozhraní Fabric REST API. Rozhraní REST API umožňuje konzistentně spravovat auditování napříč všemi databázemi v pracovním prostoru pomocí skriptů PowerShellu.
Další informace najdete v tématu Správa auditování databáze SQL pomocí rozhraní REST API.