Auditing

S’applique à :✅Base de données SQL dans Microsoft Fabric

L’audit des bases de données SQL dans Fabric est une fonctionnalité de sécurité et de conformité critique qui permet aux organisations de suivre et de journaliser les activités de base de données. L’audit prend en charge la conformité, la détection des menaces et les enquêtes judiciaires en aidant à répondre à des questions telles que les personnes ayant accédé aux données, quand et comment.

Qu’est-ce que l’audit SQL ?

L’audit SQL fait référence au processus de capture et de stockage d’événements liés à l’activité de base de données. Ces événements incluent l’accès aux données, les modifications de schéma, les modifications d’autorisation et les tentatives d’authentification.

Dans Fabric, l’audit est implémenté au niveau de la base de données et prend en charge :

Surveillance de la conformité (par exemple : HIPAA, SOX)
Enquêtes de sécurité
Insights opérationnels

Cible d’audit

Les journaux d’audit sont écrits dans un dossier en lecture seule dans OneLake et peuvent être interrogés à l’aide de la sys.fn_get_audit_file_v2 fonction T-SQL ou de l’Explorateur OneLake.

Pour la base de données SQL dans Fabric, les journaux d’audit sont stockés dans OneLake : https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Ces journaux sont immuables et accessibles aux utilisateurs disposant des autorisations appropriées. Les journaux peuvent également être téléchargés à l’aide de l’Explorateur OneLake ou de l’Explorateur Stockage Azure.

Options de configuration

Par défaut, l’option Audit tout capture tous les événements, y compris les achèvements de lots et les authentifications réussies et échouées.

Pour être plus sélectif, choisissez parmi les scénarios d’audit préconfigurés, par exemple : Modifications d’autorisation et tentatives de connexion, lectures de données et écritures et/ou modifications de schéma.

Chaque scénario préconfiguré correspond à des groupes d’actions d’audit spécifiques (par exemple, SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Vous pouvez également choisir les événements à auditer sous Événements personnalisés. Les utilisateurs avancés peuvent sélectionner des groupes d’actions individuels pour adapter l’audit à leurs besoins. Cela est idéal pour les clients disposant de stratégies de sécurité internes strictes.

Pour filtrer les requêtes d’accès courantes ou connues, vous pouvez fournir des expressions de prédicat dans Transact-SQL (T-SQL) pour filtrer les événements d’audit en fonction de conditions (par exemple, pour exclure des instructions SELECT) : WHERE statement NOT LIKE '%select%'.

Permissions

Pour gérer l’audit à l’aide de rôles d’espace de travail Fabric (recommandé), les utilisateurs doivent avoir une appartenance au rôle Contributeur d’espace de travail Fabric ou à des autorisations supérieures.

Pour gérer l’audit avec les autorisations SQL :

Pour configurer l’audit de base de données, les utilisateurs doivent disposer de l’autorisation ALTER ANY DATABASE AUDIT.
Pour afficher les journaux d’audit à l’aide de T-SQL, les utilisateurs doivent disposer de l’autorisation VIEW DATABASE SECURITY AUDIT.

Retention

Par défaut, les données d’audit sont conservées indéfiniment. Vous pouvez configurer une période de rétention personnalisée dans la section Supprimer automatiquement les journaux après cette durée.

Configurer l’audit pour la base de données SQL à partir du portail Fabric

Pour commencer l’audit pour une base de données SQL Fabric :

Accédez à votre base de données SQL dans le portail Fabric et ouvrez-la.
Dans le menu principal, sélectionnez l’onglet Sécurité , puis sélectionnez Gérer l’audit SQL.
Le volet Gérer l’audit SQL s’ouvre.
Sélectionnez le bouton Enregistrer des événements dans les journaux d’audit SQL pour activer l’audit.
Configurez les événements à enregistrer dans la section Événements de base de données . Choisissez Auditer tout (par défaut) pour capturer tous les événements.
Si vous le souhaitez, configurez une stratégie de rétention sous Rétention.
Si vous le souhaitez, configurez une expression de prédicat des commandes T-SQL à ignorer dans le champ Expression de prédicat .
Cliquez sur Enregistrer.

Interroger les journaux d’audit

Les journaux d’audit peuvent être interrogés à l’aide des fonctions T-SQL sys.fn_get_audit_file et sys.fn_get_audit_file_v2.

Dans le script suivant, vous devez fournir l’ID d’espace de travail et l’ID de base de données. Les deux peuvent être trouvés dans l’URL du portail Fabric. Par exemple : https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. La première chaîne d’identifiants unique dans l’URL est l’ID de l’espace de travail Fabric, et la deuxième chaîne d’identifiants unique est l’ID de la base de données SQL.

Remplacez <fabric_workspace_id> par votre ID d’espace de travail Fabric. Vous pouvez trouver l’ID d’un espace de travail facilement dans l’URL. En effet, il s’agit de la chaîne unique comprise entre deux caractères / après /groups/ dans votre fenêtre de navigateur.
Remplacez <fabric sql database id> par votre base de données SQL dans l’ID de base de données Fabric. Vous trouverez facilement l’ID de l’élément de base de données dans l’URL, il s’agit de la chaîne unique à l’intérieur de deux / caractères après /sqldatabases/ la fenêtre de votre navigateur.

Par exemple:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

Cet exemple récupère les journaux d’audit entre 2025-11-17T08:40:40Z et 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Pour plus d’informations, consultez sys.fn_get_audit_file et sys.fn_get_audit_file_v2.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-11-19