Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:✅ endpoint di analisi SQL e magazzino dati in Microsoft Fabric
Il controllo nel Data Warehouse di Fabric offre funzionalità avanzate di sicurezza e conformità monitorando e registrando gli eventi del database.
Questa funzionalità consente alle organizzazioni di monitorare le attività del database, rilevare potenziali minacce alla sicurezza e soddisfare i requisiti di conformità mantenendo un audit trail delle azioni chiave:
- Tentativi di autenticazione e modifiche al controllo di accesso
- Operazioni di accesso e modifica dei dati
- Modifiche dello schema e attività amministrative
- Modifiche alle autorizzazioni e configurazioni di sicurezza
Importante
Per impostazione predefinita, i log di controllo SQL sono DISATTIVATI (OFF). Gli utenti con autorizzazioni di query di controllo devono abilitare questa funzionalità per acquisire i log.
La funzionalità dei log di controllo SQL è in anteprima attualmente.
Per iniziare, vedere la procedura descritta in Come configurare i log di controllo SQL in Fabric Data Warehouse (anteprima).To get started, review the steps in How to configure SQL audit logs in Fabric Data Warehouse (Preview).
Immagazzinamento
Tutti i log vengono crittografati inattivi, archiviati in OneLake e non sono direttamente visibili agli utenti.
Non è possibile accedere ai file di log di controllo direttamente da OneLake, ma possono essere sottoposti a query con T-SQL tramite sys.fn_get_audit_file_v2. Per istruzioni, vedere Come configurare i log di controllo SQL nel Data Warehouse di Fabric.
Suggerimento
La configurazione dei log di controllo nel Data Warehouse di Microsoft Fabric può aumentare i costi di archiviazione a seconda dei gruppi di azioni e degli eventi registrati. Abilitare solo gli eventi necessari per evitare costi di archiviazione non necessari.
Autorizzazioni
Gli utenti devono disporre dell'autorizzazione al controllo (audit) per configurare ed eseguire query sui log di controllo.
- Per impostazione predefinita, gli amministratori dell'area di lavoro dispongono del permesso di verifica delle query per tutti gli oggetti nell'area di lavoro.
- Gli amministratori possono concedere autorizzazioni per le verifiche delle query per gli elementi ad altri utenti tramite la finestra di dialogo Condividi.
Gli amministratori del workspace possono concedere autorizzazioni per le query di audit a un elemento utilizzando l'opzione di menu "condiviso" nel portale di Fabric. Per verificare se un utente dispone delle autorizzazioni per le query di audit, controllare le impostazioni di gestione delle autorizzazioni.
Azioni e gruppi di azioni di controllo a livello di database
Per rendere più accessibile la configurazione del log di controllo, il portale di Fabric usa nomi descrittivi per aiutare gli amministratori non SQL e altri utenti a comprendere facilmente gli eventi di Fabric Data Warehouse acquisiti.
Questi nomi descrittivi vengono mappati ai gruppi di azioni di controllo SQL sottostanti. La tabella seguente funge da riferimento.
| Nome amichevole | Nome gruppo di azioni | Descrizione |
|---|---|---|
| Accesso all'oggetto | DATABASE_OBJECT_ACCESS_GROUP |
Registra l'accesso a oggetti di database come tipi di messaggi, assembly o contratti. |
| L'oggetto è stato modificato | DATABASE_OBJECT_CHANGE_GROUP |
Registra le operazioni CREATE, ALTER o DROP sugli oggetti di database. |
| Proprietario oggetto modificato | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra le modifiche di proprietà degli oggetti di database. |
| Autorizzazione oggetto modificata | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra le azioni GRANT, REVOKE o DENY sugli oggetti di database. |
| L'utente è stato modificato | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra la creazione, la modifica o l'eliminazione di entità di database (utenti, ruoli). |
| L'utente è stato rappresentato | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra le operazioni di impersonificazione, ad esempio EXECUTE AS. |
| Membro ruolo modificato | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra l'aggiunta o la rimozione di account di accesso da un ruolo del database. |
| L'utente non è riuscito ad accedere | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra tentativi di autenticazione non riusciti all'interno del database. |
| È stata usata l'autorizzazione dello schema | SCHEMA_OBJECT_ACCESS_GROUP |
Registra l'accesso agli oggetti dello schema. |
| Schema modificato | SCHEMA_OBJECT_CHANGE_GROUP |
Registra le operazioni CREATE, ALTER o DROP sugli schemi. |
| Autorizzazione dell'oggetto schema selezionata | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra le modifiche apportate alla proprietà dell'oggetto schema. |
| Autorizzazione oggetto schema modificata | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra le azioni GRANT, REVOKE o DENY sugli oggetti dello schema. |
| Batch completato | BATCH_COMPLETED_GROUP |
Questo evento viene generato ogni volta che viene completata l'esecuzione di qualsiasi operazione di gestione di testo, stored procedure o transazione in batch. |
| Batch è stato avviato | BATCH_STARTED_GROUP |
Questo evento viene generato ogni volta che viene avviata l'esecuzione di qualsiasi operazione di gestione di testo, stored procedure o transazione in batch. |
| Controllo modificato | AUDIT_CHANGE_GROUP |
Questo evento viene generato ogni volta che un controllo viene creato, modificato o eliminato. |
| Utente disconnesso | DATABASE_LOGOUT_GROUP |
Questo evento viene generato quando un utente del database si disconnette da un database. |
| Utente connesso | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica che un'entità è stata eseguita correttamente l'accesso a un database. |
Azioni di controllo a livello di database
Oltre ai gruppi di azioni, è possibile configurare singole azioni di controllo per registrare eventi di database specifici:
| Azione di controllo | Descrizione |
|---|---|
SELECT |
Registra le istruzioni SELECT su un oggetto specificato. |
INSERT |
Registra le istruzioni INSERT su un oggetto specificato. |
UPDATE |
Registra le istruzioni UPDATE su un oggetto specificato. |
DELETE |
Registra le istruzioni DELETE su un oggetto specificato. |
EXECUTE |
Registra l'esecuzione di stored procedure o funzioni. |
RECEIVE |
Registra le operazioni effettuate su RECEIVE nelle code di Service Broker. |
REFERENCES |
Registra i controlli delle autorizzazioni che coinvolgono vincoli della chiave esterna. |
Limitazioni
- Se i log di controllo sono disabilitati, tutti i gruppi di azioni devono essere riconfigurati al momento della riattivazione.
- Attualmente SQL Audit per il Data Warehouse di Fabric non è supportato nell'area di lavoro predefinita.
- I log di controllo SQL non sono supportati per le istantanee del magazzino.