Del via

Overvågning

Gælder for:SQL-database i Microsoft Fabric

Revision af SQL-databaser i Fabric er en kritisk sikkerheds- og compliance-funktion, der gør det muligt for organisationer at spore og logge databaseaktiviteter. Revision understøtter overholdelse, trusselsdetektion og retsmedicinske undersøgelser ved at hjælpe med at besvare spørgsmål som, hvem der fik adgang til hvilke data, hvornår og hvordan.

Hvad er SQL-revision?

SQL-revision refererer til processen med at indfange og gemme begivenheder relateret til databaseaktivitet. Disse hændelser omfatter dataadgang, ændringer af skemaer, ændringer af tilladelser og forsøg på autentificering.

I Fabric implementeres revision på databaseniveau og understøtter:

  • Overholdelsesovervågning (for eksempel: HIPAA, SOX)
  • Sikkerhedsundersøgelser
  • Operationelle indsigter

Revisionsmål

Auditlogs skrives til en skrivebeskyttet mappe i OneLake og kan forespørges ved hjælp af sys.fn_get_audit_file_v2 T-SQL-funktionen eller OneLake Explorer.

For SQL-databaser i Fabric gemmes revisionslogs i OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Disse logfiler er uforanderlige og tilgængelige for brugere med passende tilladelser. Logfiler kan også downloades via OneLake Explorer eller Azure Storage Explorer.

Konfigurationsmuligheder

Som standard fanger Audit alt-muligheden alle hændelser, inklusive: batch-fuldførelser og vellykket og mislykket autentificering.

For at være mere selektiv, vælg blandt forudkonfigurerede revisionsscenarier, for eksempel: Tilladelsesændringer & Loginforsøg, Datalæsninger og -skrivninger og/eller Skemaændringer.

Hvert forudkonfigureret scenarie mappes til specifikke revisionsaktionsgrupper (for eksempel SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Du kan også vælge, hvilke begivenheder du vil revidere under Brugerdefinerede begivenheder. Avancerede brugere kan vælge individuelle handlingsgrupper for at tilpasse auditen til deres behov. Dette er ideelt for kunder med strenge interne sikkerhedspolitikker.

For at filtrere almindelige eller kendte adgangsforespørgsler fra kan du angive prædikatudtryk i Transact-SQL (T-SQL) for at filtrere auditbegivenheder fra baseret på betingelser (for eksempel for at udelukke SELECT-sætninger): WHERE statement NOT LIKE '%select%'.

Tilladelser

For at administrere revision ved brug af Fabric-arbejdsområders roller (anbefalet) skal brugere have medlemskab i Fabric workspace Contributor-rollen eller højere tilladelser.

For at håndtere revision med SQL-tilladelser:

  • For at konfigurere databaseauditen skal brugerne have RETAT ANY DATABASE AUDIT-tilladelse.
  • For at se revisionslogfiler med T-SQL skal brugere have tilladelsen VIEW DATABASE SECURITY AUDIT.

Fastholdelse

Som standard opbevares revisionsdata på ubestemt tid. Du kan konfigurere en tilpasset opbevaringsperiode i afsnittet Automatisk slette logfiler efter denne periode.

Konfigurér revision for SQL-database fra Fabric-portalen

For at begynde revision af en Fabric SQL-database:

  1. Navigér til og åbn din SQL-database i Fabric-portalen.
  2. Fra hovedmenuen vælger du fanen Sikkerhed , og vælg derefter Administrer SQL-auditing. Tag et screenshot fra Fabric-portalen, der viser fanen Sikkerhed, og knappen Administrer SQL-audit.
  3. Panelet Manage SQL Auditing åbner.
  4. Vælg knappen 'Gem begivenheder i SQL Audit Logs' for at aktivere revision.
  5. Konfigurer hvilke begivenheder der skal registreres i sektionen Databasebegivenheder . Vælg Audit everything (standard) for at fange alle hændelser.
  6. Eventuelt kan du konfigurere en opbevaringspolitik under Retention.
  7. Eventuelt kan du konfigurere et prædikatudtryk af T-SQL-kommandoer, som ignoreres i feltet Prædikatudtryk .
  8. Vælg Save.

Forespørgselsovervågningslogge

Auditlogs kan forespørges ved hjælp af T-SQL-funktionerne sys.fn_get_audit_file og sys.fn_get_audit_file_v2.

I følgende script skal du angive arbejdsområde-id'et og database-id'et. Begge kan findes i URL'en fra Fabric-portalen. Eksempel: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Den første unikke identifikatorstreng i URL'en er Fabric workspace ID, og den anden unikke identifikatorstreng er SQL-database-ID'et.

  • Erstat <fabric_workspace_id> med dit Fabric-arbejdsområde-id. Du kan nemt finde id'et for et arbejdsområde i URL-adressen. Det er den entydige streng inden for to / tegn efter /groups/ i browservinduet.
  • Erstat <fabric sql database id> med din SQL-database i Fabric-database-id. Du kan nemt finde ID'et for databaseelementet i URL'en, det er den unikke streng inde i to / tegn efter /sqldatabases/ i dit browservindue.

For eksempel:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

Dette eksempel henter revisionslogs mellem 2025-11-17T08:40:40Z og 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

For mere information, se sys.fn_get_audit_file og sys.fn_get_audit_file_v2.

Relateret indhold

  • Last updated on