Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:✅ punto de conexión de análisis SQL y Almacenamiento de datos en Microsoft Fabric
La auditoría en Fabric Data Warehouse proporciona funcionalidades de seguridad y cumplimiento mejoradas mediante el seguimiento y el registro de eventos de base de datos.
Esta característica permite a las organizaciones supervisar las actividades de la base de datos, detectar posibles amenazas de seguridad y cumplir los requisitos de cumplimiento mediante el mantenimiento de una pista de auditoría de las acciones clave:
- Intentos de autenticación y cambios de control de acceso
- Operaciones de acceso y modificación de datos
- Cambios de esquema y actividades administrativas
- Cambios de permisos y configuraciones de seguridad
Importante
De forma predeterminada, los registros de auditoría de SQL están DESACTIVADOS. Los usuarios con permisos de consultas de auditoría deben habilitarlo para capturar los registros.
La funcionalidad de los registros de auditoría de SQL se encuentra actualmente en versión beta.
Para empezar, revise los pasos descritos en Configuración de registros de auditoría de SQL en Fabric Data Warehouse (versión preliminar).
Almacenamiento
Todos los registros se cifran en reposo, se almacenan en OneLake y no son visibles directamente para los usuarios.
No se puede acceder a los archivos de registro de auditoría directamente desde OneLake, pero se pueden consultar con T-SQL a través de sys.fn_get_audit_file_v2. Para obtener instrucciones, consulte Cómo configurar registros de auditoría de SQL en Fabric Data Warehouse.
Sugerencia
La configuración de registros de auditoría en Microsoft Fabric Data Warehouse puede aumentar los costos de almacenamiento en función de los grupos de acciones y eventos registrados. Habilite solo los eventos necesarios para evitar costos de almacenamiento innecesarios.
Permisos
Los usuarios deben tener el permiso Auditoría para configurar y consultar los registros de auditoría.
- De forma predeterminada, los Administradores del área de trabajo tienen el permiso de consultas de auditoría para todos los elementos del área de trabajo.
- Los administradores pueden conceder el permiso de consultas de auditoría en elementos para otros usuarios a través del cuadro de diálogo Compartir.
Los Administradores del área de trabajo pueden conceder el permiso de consultas de auditoría a un elemento mediante la opción de menú compartido en el portal de Fabric. Para comprobar si un usuario tiene el permiso consultas de auditoría, compruebe la configuración de Administrar permisos.
Grupos de acciones y acciones de auditoría de nivel de base de datos
Para que la configuración del registro de auditoría sea más accesible, el portal de Fabric usa nombres descriptivos para ayudar a los administradores que no son de SQL y a otros usuarios a comprender fácilmente los eventos capturados de Fabric Data Warehouse.
Estos nombres amigables se asignan a los grupos de acciones subyacentes de SQL Audit. La tabla siguiente sirve como referencia.
| Nombre amigable | Nombre del grupo de acciones | Descripción |
|---|---|---|
| Se ha accedido al objeto | DATABASE_OBJECT_ACCESS_GROUP |
Registra el acceso a objetos de base de datos como tipos de mensajes, ensamblados o contratos. |
| Se cambió el objeto | DATABASE_OBJECT_CHANGE_GROUP |
Registra operaciones CREATE, ALTER o DROP en objetos de base de datos. |
| Se ha cambiado el propietario del objeto | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra los cambios de propiedad de los objetos de base de datos. |
| Se cambió el permiso de objeto | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra acciones GRANT, REVOKE o DENY en objetos de base de datos. |
| Se cambió el usuario | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra la creación, modificación o eliminación de entidades de seguridad de base de datos (usuarios, roles). |
| El usuario fue suplantado | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra operaciones de suplantación (como EXECUTE AS). |
| El rol del miembro fue cambiado | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra la adición o eliminación de inicios de sesión de un rol de base de datos. |
| El usuario no pudo iniciar sesión | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra los intentos de autenticación con errores en la base de datos. |
| Se usó el permiso de esquema | SCHEMA_OBJECT_ACCESS_GROUP |
Registra el acceso a objetos de esquema. |
| Se cambió el esquema | SCHEMA_OBJECT_CHANGE_GROUP |
Registra operaciones CREATE, ALTER o DROP en esquemas. |
| Se ha comprobado el permiso del objeto del esquema | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra los cambios en la propiedad del objeto de esquema. |
| Se cambió el permiso de objeto de esquema | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra acciones GRANT, REVOKE o DENY en objetos de esquema. |
| El lote se completó | BATCH_COMPLETED_GROUP |
Este evento se desencadena cuando una operación de administración de transacciones, procedimiento almacenado o texto por lotes termina de ejecutarse. |
| Se inició Batch | BATCH_STARTED_GROUP |
Este evento se desencadena cuando una operación de administración de transacciones, procedimiento almacenado o texto por lotes empieza a ejecutarse. |
| Se cambió la auditoría | AUDIT_CHANGE_GROUP |
Este evento se desencadena al crear, modificar o eliminar una auditoría. |
| Usuario desconectado | DATABASE_LOGOUT_GROUP |
Este evento se genera cuando un usuario de base de datos cierra la sesión de una base de datos. |
| Usuario conectado | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica que un principal ha iniciado sesión correctamente en una base de datos. |
Acciones de auditoría de nivel de base de datos
Además de los grupos de acciones, se pueden configurar acciones de auditoría individuales para registrar eventos de base de datos específicos:
| Accion de auditoría | Descripción |
|---|---|
SELECT |
Registra instrucciones SELECT en un objeto especificado. |
INSERT |
Registra operaciones INSERT en un objeto especificado. |
UPDATE |
Registra operaciones UPDATE en un objeto especificado. |
DELETE |
Registra operaciones DELETE en un objeto especificado. |
EXECUTE |
Registra la ejecución de procedimientos almacenados o funciones. |
RECEIVE |
Registra operaciones RECEIVE en colas de Service Broker. |
REFERENCES |
Registra comprobaciones de permisos que implican restricciones de clave externa. |
Limitaciones
- Si los registros de auditoría están deshabilitados, todos los grupos de acciones deben volver a configurarse al volver a habilitar.
- Actualmente, la auditoría de SQL para Fabric Data Warehouse no se admite en el área de trabajo predeterminada.
- Los registros de auditoría de SQL no se admiten para instantáneas de almacén.