적용 대상:✅ Microsoft Fabric의 SQL 분석 엔드포인트 및 웨어하우스
Fabric 데이터 웨어하우스의 감사 기능은 데이터베이스 이벤트를 추적하고 기록하여 보안 강화 및 규정 준수 기능을 제공합니다.
SQL 감사 로그를 사용하면 다음과 같은 주요 작업의 감사 내역을 유지 관리하여 데이터베이스 활동을 모니터링하고, 잠재적인 보안 위협을 감지하고, 규정 준수 요구 사항을 충족할 수 있습니다.
- 인증 시도 및 액세스 제어 변경
- 데이터 액세스 및 수정 작업
- 스키마 변경 및 관리 작업
- 권한 변경 및 보안 구성
중요합니다
기본적으로 SQL 감사 로그는 끄기입니다. 감사 쿼리 권한이 있는 사용자는 로그를 캡처하려면 이를 사용하도록 설정해야 합니다.
시작하려면 Fabric Data Warehouse에서 SQL 감사 로그를 구성하는 방법의 단계를 검토합니다.
스토리지
SQL 감사 로그는 미사용 시 암호화되고 OneLake에 저장됩니다.
패브릭 데이터 웨어하우스의 경우 감사 로그는 OneLake의 웨어하우스 .XEL에 저장된 파일에 기록 됩니다.
다음 역할을 가진 사용자는 감사 폴더에 액세스할 수 있습니다.
- 작업 영역 관리자
- 작업 영역 멤버
- 작업 영역 기여자
- 모두 읽기 권한이 있는 작업 영역 뷰어
이러한 사용자는 다음을 수행할 수 있습니다.
- 감사 폴더 탐색하기
- SQL 감사에서
.XEL생성된 감사 파일 보기 - 오프라인 분석을 위해 파일 복사
- SSMS(SQL Server Management Studio)와 같은 도구를 사용하여 파일 열기
sys.fn_get_audit_file_v2 통해 T-SQL을 사용하여 감사 로그를 쿼리할 수도 있습니다.
자세한 지침은 Fabric 데이터 웨어하우스에서 SQL 감사 로그를 구성하는 방법을 참조하세요.
팁 (조언)
Microsoft Fabric 데이터 웨어하우스에서 감사 로그를 구성하면 기록된 작업 그룹 및 이벤트에 따라 스토리지 비용이 증가할 수 있습니다. 불필요한 스토리지 비용을 피하려면 필요한 이벤트만 사용하도록 설정합니다.
Performance
SQL 감사 로그 기능은 감사 중인 데이터베이스의 가용성 및 성능에 최적화되어 있습니다. 작업이 매우 많거나 네트워크 부하가 높은 기간 동안 감사 기능을 사용하면 감사용으로 표시된 모든 이벤트를 기록하지 않고 트랜잭션을 진행할 수 있습니다.
권한
감사 로그를 구성하고 쿼리하려면 사용자에게 감사 쿼리(감사) 권한이 있어야 합니다.
- 기본적으로 작업 영역 관리자는 작업 영역의 모든 항목에 대한 쿼리 감사 권한을 갖습니다.
- 관리자는 공유 대화 상자를 통해 다른 사용자에게 항목에 대한 감사 쿼리 권한을 부여할 수 있습니다.
작업 영역 관리자는 Fabric 포털의 공유 메뉴 옵션을 사용하여 항목에 감사 쿼리 권한을 부여할 수 있습니다. 사용자에게 감사 쿼리 권한이 있는지 확인하려면 권한 관리 설정을 확인합니다.
웨어하우스 항목에서 공유 단추를 선택합니다.
또는 패브릭 포털의 사용자 작업 영역에 있습니다. 웨어하우스 항목의
...상황에 맞는 메뉴를 선택하고 권한 관리를 선택합니다.사용자에게 액세스 권한 부여 창에서 사용자에게 권한을 부여할 수 있습니다.
T-SQL 권한을 사용하여 감사 로그 쿼리
사용자에게 작업 영역 관리 역할이 없는 경우에도 권한을 부여하여 T-SQL 권한을 통해 감사 로그를 VIEW DATABASE SECURITY AUDIT 쿼리하는 기능을 부여할 수 있습니다.
다음 권한을 부여하면 사용자가 함수를 사용하여 sys.fn_get_audit_file_v2 감사 로그를 쿼리할 수 있습니다.
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
팁 (조언)
권한은 VIEW DATABASE SECURITY AUDIT 감사 로그를 쿼리하는 기능만 부여하며 , 파일 또는 사용자가 감사 구성을 수정할 수 있도록 허용하지 않습니다.
데이터베이스 수준 감사 작업 그룹 및 작업
감사 로그 구성에 더 쉽게 액세스할 수 있도록 Fabric 포털은 친숙한 이름을 사용하여 SQL이 아닌 관리자 및 다른 사용자가 캡처된 패브릭 데이터 웨어하우스 이벤트를 쉽게 이해할 수 있도록 지원합니다.
패브릭은 이러한 친숙한 이름을 기본 SQL 감사 작업 그룹에 매핑합니다. 다음 표를 참조로 사용합니다.
| 친숙한 이름 | 작업 그룹 이름 | 설명 |
|---|---|---|
| 개체가 액세스되었습니다. | DATABASE_OBJECT_ACCESS_GROUP |
메시지 유형, 어셈블리 또는 계약과 같은 데이터베이스 개체에 대한 액세스를 기록합니다. |
| 개체가 변경되었습니다. | DATABASE_OBJECT_CHANGE_GROUP |
데이터베이스 개체에 대한 CREATE, ALTER 또는 DROP 작업을 기록합니다. |
| 개체 소유자 변경됨 | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
데이터베이스 개체의 소유권 변경을 기록합니다. |
| 개체 사용 권한이 변경되었습니다. | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
데이터베이스 개체에 대한 GRANT, REVOKE 또는 DENY 작업을 기록합니다. |
| 사용자가 변경되었습니다. | DATABASE_PRINCIPAL_CHANGE_GROUP |
데이터베이스 주체(사용자, 역할)의 만들기, 변경 또는 삭제를 기록합니다. |
| 사용자가 도용되었습니다. | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
가장하기 작업(예: EXECUTE AS)을 기록합니다. |
| 역할 멤버가 변경되었습니다. | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
데이터베이스 역할에 로그인 추가 또는 제거를 기록합니다. |
| 사용자가 로그인하지 못했습니다. | FAILED_DATABASE_AUTHENTICATION_GROUP |
데이터베이스 내에서 실패한 인증 시도를 기록합니다. |
| 스키마 권한이 사용됨 | SCHEMA_OBJECT_ACCESS_GROUP |
스키마 개체에 대한 액세스를 기록합니다. |
| 스키마가 변경되었습니다. | SCHEMA_OBJECT_CHANGE_GROUP |
스키마에 CREATE, ALTER 또는 DROP 작업을 기록합니다. |
| 스키마 개체 사용 권한이 확인되었습니다. | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
스키마 개체 소유권에 대한 변경 내용을 기록합니다. |
| 스키마 개체 사용 권한이 변경되었습니다. | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
스키마 개체에 GRANT, REVOKE 또는 DENY 작업을 기록합니다. |
| 일괄 처리가 완료되었습니다. | BATCH_COMPLETED_GROUP |
이 이벤트는 일괄 처리 텍스트, 저장 프로시저 또는 트랜잭션 관리 작업의 실행이 완료될 때마다 발생합니다. |
| Batch가 시작되었습니다. | BATCH_STARTED_GROUP |
이 이벤트는 일괄 처리 텍스트, 저장 프로시저 또는 트랜잭션 관리 작업의 실행이 시작될 때마다 발생합니다. |
| 감사가 변경되었습니다. | AUDIT_CHANGE_GROUP |
이 이벤트는 감사가 생성, 수정 또는 삭제될 때마다 발생됩니다. |
| 사용자가 로그아웃했습니다. | DATABASE_LOGOUT_GROUP |
이 이벤트는 데이터베이스 사용자가 데이터베이스에서 로그아웃할 때 발생합니다. |
| 로그인한 사용자 | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
보안 주체가 데이터베이스에 성공적으로 로그인했음을 나타냅니다. |
데이터베이스 수준 감사 작업
작업 그룹 외에도 개별 감사 작업을 구성하여 특정 데이터베이스 이벤트를 기록할 수 있습니다.
| 감사 작업 | 설명 |
|---|---|
SELECT |
지정된 개체에 SELECT 문을 기록합니다. |
INSERT |
지정된 개체에 대한 INSERT 작업을 기록합니다. |
UPDATE |
지정된 개체에 대한 UPDATE 작업을 기록합니다. |
DELETE |
지정된 개체에 대한 DELETE 작업을 기록합니다. |
EXECUTE |
저장 프로시저나 함수의 실행을 기록합니다. |
RECEIVE |
Service Broker 큐에서 RECEIVE 작업을 기록합니다. |
REFERENCES |
외래 키 제약 조건과 관련된 권한 검사를 기록합니다. |
제한점
- 기본 작업 영역은 SQL 감사 로그를 지원하지 않습니다.
- SQL 감사 로그는 웨어하우스 스냅샷에 대해 지원되지 않습니다.
중요합니다
감사 로그는 OneLake의 웨어하우스 항목 내에 저장됩니다. 웨어하우스를 삭제하는 경우 연결된 감사 로그 파일도 삭제하고 더 이상 액세스할 수 없습니다.
준수 또는 조사 목적으로 감사 로그를 유지하려면 웨어하우스를 .XEL 삭제하기 전에 파일을 다른 스토리지 위치에 복사합니다.
SQL 분석 엔드포인트 제한 사항
SQL 분석 엔드포인트를 감사할 때 적용되는 제한 사항은 다음과 같습니다.
- DML 작업은 캡처되지 않습니다. 감사는
INSERT,UPDATE,DELETE,MERGE와 같은 작업을 기록하지 않고, Lakehouse 테이블에 대한 데이터 조작은 SQL 분석 엔드포인트가 아닌 Lakehouse 런타임에서 수행되기 때문입니다. - 감사 폴더에 대한 직접 액세스는 현재 지원되지 않습니다. 사용자는 Lakehouse 감사 폴더에서 기본
.XEL감사 파일을 찾아보거나 다운로드할 수 없습니다.
T-SQL 함수를 사용하여 SQL 분석 엔드포인트에 대한 감사 이벤트를 쿼리할 수 있습니다 sys.fn_get_audit_file_v2.