Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a :✅base de datos SQL en Microsoft Fabric
La auditoría de bases de datos SQL en Fabric es una característica crítica de seguridad y cumplimiento que permite a las organizaciones realizar un seguimiento de las actividades de base de datos y registrarlas. La auditoría facilita el cumplimiento, la detección de amenazas y las investigaciones forenses al ayudar a responder a preguntas como quién, cuándo y cómo se accedieron los datos.
¿Qué es la auditoría de SQL?
La auditoría de SQL hace referencia al proceso de captura y almacenamiento de eventos relacionados con la actividad de la base de datos. Estos eventos incluyen el acceso a datos, los cambios de esquema, las modificaciones de permisos y los intentos de autenticación.
En Fabric, la auditoría se implementa en el nivel de base de datos y admite:
- Supervisión del cumplimiento (por ejemplo: HIPAA, SOX)
- Investigaciones de seguridad
- Información operativa
Objetivo de auditoría
Los registros de auditoría se escriben en una carpeta de solo lectura en OneLake y se pueden consultar mediante la sys.fn_get_audit_file_v2 función T-SQL o oneLake Explorer.
Para SQL Database en Fabric, los registros de auditoría se almacenan en OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/
Estos registros son inmutables y accesibles para los usuarios con los permisos adecuados. Los registros también se pueden descargar mediante el Explorador de OneLake o el Explorador de Azure Storage.
Opciones de configuración
De forma predeterminada, la opción Auditar todo captura todos los eventos, incluidas las finalizaciones por lotes y la autenticación correcta y errónea.
Para ser más selectivo, elija entre escenarios de auditoría preconfigurados, por ejemplo: Cambios de permisos e intentos de inicio de sesión, Lecturas y escrituras de datos, o Cambios de esquema.
Cada escenario preconfigurado se asigna a grupos de acciones de auditoría específicos (por ejemplo, SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). También puede elegir qué eventos auditar en Eventos personalizados. Los usuarios avanzados pueden seleccionar grupos de acciones individuales para adaptar la auditoría a sus necesidades. Esto es ideal para los clientes con directivas de seguridad internas estrictas.
Para filtrar las consultas de acceso comunes o conocidas, puede proporcionar expresiones de predicado en Transact-SQL (T-SQL) para filtrar los eventos de auditoría en función de las condiciones (por ejemplo, para excluir instrucciones SELECT): WHERE statement NOT LIKE '%select%'.
Permissions
Para administrar la auditoría mediante roles de área de trabajo de Fabric (recomendado), los usuarios deben tener pertenencia al rol Colaborador del área de trabajo de Fabric o permisos superiores.
Para administrar la auditoría con permisos de SQL:
- Para configurar la auditoría de base de datos, los usuarios deben tener el permiso ALTER ANY DATABASE AUDIT.
- Para ver los registros de auditoría mediante T-SQL, los usuarios deben tener el permiso VIEW DATABASE SECURITY AUDIT.
Retention
De forma predeterminada, los datos de auditoría se mantienen indefinidamente. Puede configurar un período de retención personalizado en la sección Eliminación automática de registros después de esta duración.
Configurar la auditoría para SQL Database en el portal Fabric
Para empezar a auditar una base de datos SQL de Fabric:
- Vaya a y abra la base de datos SQL en el portal de Fabric.
- En el menú principal, seleccione la pestaña Seguridad y, a continuación, seleccione Administrar auditoría de SQL.
- Se abre el panel Administrar auditoría de SQL .
- Seleccione el botón Guardar eventos en registros de auditoría de SQL para habilitar la auditoría.
- Configure los eventos que se van a registrar en la sección Eventos de base de datos . Elija Auditar todo (valor predeterminado) para capturar todos los eventos.
- Opcionalmente, configure una directiva de retención en Retención.
- Opcionalmente, configure una expresión de predicado de comandos T-SQL para omitir en el campo Expresión de predicado .
- Haga clic en Guardar.
Registros de auditoría de consultas
Los registros de auditoría se pueden consultar mediante las funciones de T-SQL sys.fn_get_audit_file y sys.fn_get_audit_file_v2.
En el script siguiente, debe proporcionar el identificador del área de trabajo y el identificador de base de datos. Ambos se pueden encontrar en la URL del portal Fabric. Por ejemplo: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. La primera cadena de identificadores únicos en la URL es el ID del espacio de trabajo de Fabric, y la segunda cadena de identificador único es el ID de la base de datos SQL.
- Reemplace por
<fabric_workspace_id>el identificador del área de trabajo de Fabric. Puede encontrar fácilmente el identificador de un área de trabajo en la dirección URL, es la cadena única dentro de dos/caracteres después/groups/en la ventana del explorador. - Reemplace
<fabric sql database id>con la base de datos SQL en el identificador de base de datos de Fabric. Puede encontrar fácilmente el identificador del elemento de la base de datos en la dirección URL, es la cadena única entre dos caracteres/después de/sqldatabases/en la ventana del navegador.
Por ejemplo:
SELECT * FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT, DEFAULT, DEFAULT, DEFAULT );
En este ejemplo se recuperan los registros de auditoría entre 2025-11-17T08:40:40Z y 2025-11-17T09:10:40Z.
SELECT *
FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT,
DEFAULT,
'2025-11-17T08:40:40Z',
'2025-11-17T09:10:40Z')
Para obtener más información, consulte sys.fn_get_audit_file y sys.fn_get_audit_file_v2.