Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Se aplica a:✅ punto de conexión de análisis SQL y Almacenamiento de datos en Microsoft Fabric
La auditoría en Fabric Data Warehouse proporciona funcionalidades de seguridad y cumplimiento mejoradas mediante el seguimiento y el registro de eventos de base de datos.
Con los registros de auditoría de SQL, puede supervisar las actividades de la base de datos, detectar posibles amenazas de seguridad y cumplir los requisitos de cumplimiento manteniendo una pista de auditoría de las acciones clave, como:
- Intentos de autenticación y cambios de control de acceso
- Operaciones de acceso y modificación de datos
- Cambios de esquema y actividades administrativas
- Cambios de permisos y configuraciones de seguridad
Importante
De forma predeterminada, los registros de auditoría de SQL están DESACTIVADOS. Los usuarios con permisos de consultas de auditoría deben habilitarlo para capturar los registros.
Para empezar, revise los pasos descritos en Configuración de registros de auditoría de SQL en Fabric Data Warehouse.
Almacenamiento
Los registros de auditoría de SQL se cifran en reposo y se almacenan en OneLake.
Para el almacén de datos de Fabric, los registros de auditoría se escriben en los archivos almacenados en la carpeta de Auditoría en OneLake.
Los usuarios con los siguientes roles pueden acceder a la carpeta de auditoría:
- Administradores de Workspace
- Miembros del espacio de trabajo
- Colaboradores del espacio de trabajo
- Visores de áreas de trabajo con permiso Leer todo
Estos usuarios pueden:
- Examinar la carpeta Auditoría
- Visualización de los
.XELarchivos de auditoría generados por la auditoría de SQL - Copia de los archivos para el análisis sin conexión
- Abra los archivos con herramientas como SQL Server Management Studio (SSMS)
También puede consultar los registros de auditoría con T-SQL a través de sys.fn_get_audit_file_v2.
Para obtener instrucciones, consulte Cómo configurar registros de auditoría de SQL en Fabric Data Warehouse.
Sugerencia
La configuración de registros de auditoría en Microsoft Fabric Data Warehouse puede aumentar los costos de almacenamiento en función de los grupos de acciones y eventos registrados. Habilite solo los eventos necesarios para evitar costos de almacenamiento innecesarios.
Rendimiento
La función de registros de auditoría de SQL está optimizada para la disponibilidad y el rendimiento de la base de datos que se está auditando. Durante períodos de actividad muy alta o carga de red alta, la característica de auditoría puede permitir que las transacciones continúen sin registrar todos los eventos marcados para la auditoría.
Permisos
Los usuarios deben tener el permiso Audit queries (Audit) para configurar y consultar los registros de auditoría.
- De forma predeterminada, los Administradores del área de trabajo tienen el permiso de consultas de auditoría para todos los elementos del área de trabajo.
- Los administradores pueden conceder el permiso de consultas de auditoría en elementos para otros usuarios a través del cuadro de diálogo Compartir.
Los Administradores del área de trabajo pueden conceder el permiso de consultas de auditoría a un elemento mediante la opción de menú compartido en el portal de Fabric. Para comprobar si un usuario tiene el permiso consultas de auditoría, compruebe la configuración de Administrar permisos.
En el elemento del almacén, seleccione el botón Compartir.
O bien, en el portal de Fabric, en tu área de trabajo. Seleccione el
...menú contextual del elemento Warehouse y seleccione Administrar permisos.En el panel Conceder acceso a personas , puede conceder permisos a un usuario.
Consulta de registros de auditoría mediante permisos de T-SQL
También se puede conceder a los usuarios la capacidad de consultar los registros de auditoría mediante permisos de T-SQL concediéndoles el VIEW DATABASE SECURITY AUDIT permiso, incluso si no tienen roles administrativos del área de trabajo.
Conceder el siguiente permiso permite a un usuario consultar los registros de auditoría mediante la sys.fn_get_audit_file_v2 función :
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Sugerencia
El VIEW DATABASE SECURITY AUDIT permiso solo concede la capacidad de consultar los registros de auditoría y no permite el acceso a los archivos ni al usuario para realizar ninguna modificación de la configuración de auditoría.
Grupos de acción y acciones de auditoría a nivel de base de datos
Para que la configuración del registro de auditoría sea más accesible, el portal de Fabric usa nombres descriptivos para ayudar a los administradores que no son de SQL y a otros usuarios a comprender fácilmente los eventos capturados de Fabric Data Warehouse.
Fabric asigna estos nombres amigables a los grupos de acciones de SQL Audit subyacentes. Use la tabla siguiente como referencia.
| Nombre amigable | Nombre del grupo de acciones | Descripción |
|---|---|---|
| Se ha accedido al objeto | DATABASE_OBJECT_ACCESS_GROUP |
Registra el acceso a objetos de base de datos como tipos de mensajes, ensamblados o contratos. |
| Se cambió el objeto | DATABASE_OBJECT_CHANGE_GROUP |
Registra operaciones CREATE, ALTER o DROP en objetos de base de datos. |
| Se ha cambiado el propietario del objeto | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra los cambios de propiedad de los objetos de base de datos. |
| Se cambió el permiso de objeto | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra acciones GRANT, REVOKE o DENY en objetos de base de datos. |
| Se cambió el usuario | DATABASE_PRINCIPAL_CHANGE_GROUP |
Audita la creación, modificación o eliminación de principales de base de datos (usuarios, roles). |
| El usuario fue suplantado | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra operaciones de suplantación (como EXECUTE AS). |
| El rol del miembro fue cambiado | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra la adición o eliminación de inicios de sesión de un rol de base de datos. |
| El usuario no pudo iniciar sesión | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra los intentos de autenticación con errores en la base de datos. |
| Se usó el permiso de esquema | SCHEMA_OBJECT_ACCESS_GROUP |
Registra el acceso a objetos de esquema. |
| Se cambió el esquema | SCHEMA_OBJECT_CHANGE_GROUP |
Registra operaciones CREATE, ALTER o DROP en esquemas. |
| Se ha comprobado el permiso del objeto del esquema | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra los cambios en la propiedad del objeto de esquema. |
| Se cambió el permiso de objeto de esquema | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra acciones GRANT, REVOKE o DENY en objetos de esquema. |
| El lote se completó | BATCH_COMPLETED_GROUP |
Este evento se desencadena cuando una operación de administración de transacciones, procedimiento almacenado o texto por lotes termina de ejecutarse. |
| Se inició Batch | BATCH_STARTED_GROUP |
Este evento se desencadena cuando una operación de administración de transacciones, procedimiento almacenado o texto por lotes empieza a ejecutarse. |
| Se cambió la auditoría | AUDIT_CHANGE_GROUP |
Este evento se desencadena al crear, modificar o eliminar una auditoría. |
| Usuario desconectado | DATABASE_LOGOUT_GROUP |
Este evento se genera cuando un usuario de base de datos cierra la sesión de una base de datos. |
| Usuario conectado | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica que un principal ha iniciado sesión correctamente en una base de datos. |
Acciones de auditoría de nivel de base de datos
Además de los grupos de acciones, puede configurar acciones de auditoría individuales para registrar eventos de base de datos específicos:
| Acción de auditoría | Descripción |
|---|---|
SELECT |
Registra instrucciones SELECT en un objeto especificado. |
INSERT |
Registra operaciones INSERT en un objeto especificado. |
UPDATE |
Registra operaciones UPDATE en un objeto especificado. |
DELETE |
Registra operaciones DELETE en un objeto especificado. |
EXECUTE |
Registra la ejecución de procedimientos almacenados o funciones. |
RECEIVE |
Registra operaciones RECEIVE en las colas de Service Broker. |
REFERENCES |
Registra comprobaciones de permisos que implican restricciones de clave externa. |
Limitaciones
- El área de trabajo predeterminada no admite registros de auditoría de SQL.
- Los registros de auditoría de SQL no se admiten para las instantáneas del almacén de datos.
Importante
Los registros de auditoría se almacenan en el elemento Warehouse de OneLake. Si elimina warehouse, también elimina los archivos de registro de auditoría asociados y ya no puede acceder a ellos.
Para conservar los registros de auditoría con fines de cumplimiento o investigación, copie los .XEL archivos en otra ubicación de almacenamiento antes de eliminar el almacén.
Limitaciones del punto de conexión de análisis SQL
Se aplican las siguientes limitaciones al auditar los puntos de conexión de SQL Analytics:
- Las operaciones DML no se capturan. La auditoría no registra operaciones como
INSERT,UPDATE,DELETEyMERGEporque la manipulación de datos para las tablas de Lakehouse se produce a través del entorno de ejecución de Lakehouse en lugar de a través del punto de conexión de SQL Analytics. - Actualmente no se admite el acceso directo a la carpeta de auditoría. Los usuarios no pueden examinar ni descargar los archivos de auditoría subyacentes
.XELdesde la carpeta de auditoría de Lakehouse.
Todavía puede consultar eventos de auditoría para los puntos de conexión de SQL Analytics con la función sys.fn_get_audit_file_v2 T-SQL.