Überwachung

Gilt für:✅SQL-Datenbank in Microsoft Fabric

Die Überwachung für SQL-Datenbanken in Fabric ist ein wichtiges Sicherheits- und Compliancefeature, mit dem Organisationen Datenbankaktivitäten nachverfolgen und protokollieren können. Die Überwachung unterstützt Compliance-, Bedrohungserkennungs- und forensische Untersuchungen, indem Sie Fragen beantworten, z. B. wer auf welche Daten zugegriffen hat, wann und wie.

Was ist SQL-Überwachung?

Die SQL-Überwachung bezieht sich auf den Prozess der Erfassung und Speicherung von Ereignissen im Zusammenhang mit Datenbankaktivitäten. Zu diesen Ereignissen gehören Datenzugriff, Schemaänderungen, Berechtigungsänderungen und Authentifizierungsversuche.

In Fabric wird die Überwachung auf Datenbankebene implementiert und unterstützt:

• Complianceüberwachung (z. B. HIPAA, SOX)
• Sicherheitsuntersuchungen
• Operative Einblicke

Überwachungsziel

Überwachungsprotokolle werden in einen schreibgeschützten Ordner in OneLake geschrieben und können mit der sys.fn_get_audit_file_v2 T-SQL-Funktion oder dem OneLake-Explorer abgefragt werden.

Für die SQL-Datenbank in Fabric werden Überwachungsprotokolle in OneLake gespeichert: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Diese Protokolle sind unveränderlich und für Benutzer mit entsprechenden Berechtigungen zugänglich. Protokolle können auch mithilfe des OneLake-Explorers oder des Azure Storage-Explorers heruntergeladen werden.

Konfigurationsoptionen

Standardmäßig erfasst die Option "Alle Ereignisse auditieren" alle Ereignisse einschließlich Batch-Abschlüsse sowie erfolgreiche und fehlgeschlagene Authentifizierungen.

Um selektiver zu sein, wählen Sie aus vorkonfigurierten Überwachungsszenarien aus, z. B.: Berechtigungsänderungen und Anmeldeversuche, Datenlese- und Schreibvorgänge und/oder Schemaänderungen.

Jedes vorkonfigurierte Szenario ist bestimmten Überwachungsaktionsgruppen zugeordnet (z. B. SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Sie können auch auswählen, welche Ereignisse unter "Benutzerdefinierte Ereignisse" überwacht werden sollen. Erweiterte Benutzer können einzelne Aktionsgruppen auswählen, um die Überwachung an ihre Bedürfnisse anzupassen. Dies ist ideal für Kunden mit strengen internen Sicherheitsrichtlinien.

Um allgemeine oder bekannte Zugriffsabfragen herauszufiltern, können Sie Prädikatausdrücke in Transact-SQL (T-SQL) bereitstellen, um Überwachungsereignisse basierend auf Bedingungen zu filtern (z. B. zum Ausschließen von SELECT-Anweisungen): WHERE statement NOT LIKE '%select%'.

Erlaubnisse

Um die Überwachung mithilfe von Fabric-Arbeitsbereichsrollen (empfohlen) zu verwalten, müssen Benutzer über die Mitgliedschaft in der Fabric-Arbeitsbereichsrolle Mitwirkender oder höhere Berechtigungen verfügen.

So verwalten Sie die Überwachung mit SQL-Berechtigungen:

• Um die Datenbanküberwachung zu konfigurieren, müssen Benutzer ÜBER DIE BERECHTIGUNG ALTER ANY DATABASE AUDIT verfügen.
• Um Überwachungsprotokolle mit T-SQL anzuzeigen, müssen Benutzer über die BERECHTIGUNG "VIEW DATABASE SECURITY AUDIT" verfügen.

Retention

Standardmäßig werden Überwachungsdaten unbegrenzt aufbewahrt. Sie können einen benutzerdefinierten Aufbewahrungszeitraum im Abschnitt "Protokolle nach dieser Dauer automatisch löschen" konfigurieren.

Konfigurieren der Überwachung für SQL-Datenbank über das Fabric-Portal

So beginnen Sie mit der Überwachung einer Fabric SQL-Datenbank:

1. Navigieren Sie zu Ihrer SQL-Datenbank im Fabric-Portal, und öffnen Sie sie.
2. Wählen Sie im Hauptmenü die Registerkarte "Sicherheit " und dann " SQL-Überwachung verwalten" aus.
3. Der Bereich "SQL-Überwachung verwalten " wird geöffnet.
4. Wählen Sie die Schaltfläche "Ereignisse in SQL-Überwachungsprotokolle speichern " aus, um die Überwachung zu aktivieren.
5. Konfigurieren Sie, welche Ereignisse im Abschnitt "Datenbankereignisse " erfasst werden sollen. Wählen Sie "Alles überwachen" (Standard) aus, um alle Ereignisse zu erfassen.
6. Konfigurieren Sie optional eine Aufbewahrungsrichtlinie unter "Aufbewahrung".
7. Konfigurieren Sie optional einen Prädikatausdruck von T-SQL-Befehlen, die im Prädikatausdruckfeld ignoriert werden sollen.
8. Wählen Sie Speichern aus.

Abfrageüberwachungsprotokolle

Überwachungsprotokolle können mithilfe der T-SQL-Funktionen sys.fn_get_audit_file und sys.fn_get_audit_file_v2 abgefragt werden.

Im folgenden Skript müssen Sie die Arbeitsbereichs-ID und datenbank-ID angeben. Beide sind in der URL des Fabric-Portals zu finden. Beispiel: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Die erste eindeutige Identifikator-Zeichenkette in der URL ist die Fabric-Arbeitsbereich-ID, und die zweite eindeutige Identifikator-Zeichenkette ist die SQL-Datenbank-ID.

• Ersetzen Sie <fabric_workspace_id> durch Ihre Fabric-Arbeitsbereichs-ID. Sie können die ID eines Arbeitsbereichs ganz einfach in der URL finden; es ist die eindeutige Zeichenfolge innerhalb von zwei /-Zeichen nach /groups/ in Ihrem Browserfenster.
• Ersetzen Sie <fabric sql database id> durch Ihre SQL-Datenbank in der Fabric-Datenbank-ID. Sie können die ID des Datenbankelements ganz einfach in der URL finden, es ist die eindeutige Zeichenfolge innerhalb von zwei / Zeichen nach /sqldatabases/ dem Browserfenster.

Beispiel:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

In diesem Beispiel werden Prüfprotokolle zwischen 2025-11-17T08:40:40Z und 2025-11-17T09:10:40Z abgerufen.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Weitere Informationen finden Sie unter sys.fn_get_audit_file und sys.fn_get_audit_file_v2.

Verwandte Inhalte

• Sicherheit in sql-Datenbank in Microsoft Fabric
• Überwachungsschema für Domänen in Fabric