Del via

Sporing av endringer

Gjelder for:SQL-database i Microsoft Fabric

Revisjon av SQL-databaser i Fabric er en kritisk sikkerhets- og samsvarsfunksjon som gjør det mulig for organisasjoner å spore og loggføre databaseaktiviteter. Revisjon støtter etterlevelse, trusseldeteksjon og rettsmedisinske undersøkelser ved å hjelpe til med å besvare spørsmål som hvem som fikk tilgang til hvilke data, når og hvordan.

Hva er SQL-revisjon?

SQL-revisjon refererer til prosessen med å fange og lagre hendelser knyttet til databaseaktivitet. Disse hendelsene inkluderer datatilgang, skjemaendringer, tillatelsesendringer og autentiseringsforsøk.

I Fabric implementeres revisjon på databasenivå og støtter:

  • Samsvarsovervåking (for eksempel: HIPAA, SOX)
  • Sikkerhetsundersøkelser
  • Operasjonelle innsikter

Revisjonsmål

Revisjonslogger skrives til en skrivebeskyttet mappe i OneLake og kan forespørres ved hjelp av sys.fn_get_audit_file_v2 T-SQL-funksjonen eller OneLake Explorer.

For SQL-databaser i Fabric lagres revisjonslogger i OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Disse loggene er uforanderlige og tilgjengelige for brukere med passende tillatelser. Logger kan også lastes ned ved hjelp av OneLake Explorer eller Azure Storage Explorer.

Alternativer for konfigurasjon

Som standard fanger Audit everything-alternativet opp alle hendelser, inkludert: batch-fullføringer og vellykket og mislykket autentisering.

For å være mer selektiv, velg blant forhåndskonfigurerte revisjonsscenarier, for eksempel: Tillatelsesendringer og innloggingsforsøk, datalesing og -skriving, og/eller skjemaendringer.

Hvert forhåndskonfigurert scenario kartlegges til spesifikke revisjonsaksjonsgrupper (for eksempel SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Du kan også velge hvilke hendelser du vil revidere under Egendefinerte hendelser. Avanserte brukere kan velge individuelle aksjonsgrupper for å tilpasse revisjonen til sine behov. Dette er ideelt for kunder med strenge interne sikkerhetspolicyer.

For å filtrere ut vanlige eller kjente tilgangsforespørsler kan du angi predikatuttrykk i Transact-SQL (T-SQL) for å filtrere ut revisjonshendelser basert på betingelser (for eksempel for å ekskludere SELECT-setninger): WHERE statement NOT LIKE '%select%'.

Tillatelser

For å administrere revisjon ved bruk av Fabric-arbeidsområderoller (anbefalt), må brukere ha medlemskap i Fabric workspace Contributor-rollen eller høyere tillatelser.

For å administrere revisjon med SQL-tillatelser:

  • For å konfigurere databaserevisjonen må brukere ha tillatelse til ENDRE ENHVER DATABASEREVISJON.
  • For å se revisjonslogger med T-SQL, må brukere ha tillatelsen VIEW DATABASE SECURITY AUDIT.

Oppbevaring

Som standard oppbevares revisjonsdata på ubestemt tid. Du kan konfigurere en tilpasset oppbevaringsperiode i seksjonen Automatisk slette logger etter denne perioden.

Konfigurer revisjon for SQL-databasen fra Fabric-portalen

For å begynne auditing for en Fabric SQL-database:

  1. Gå til og åpne SQL-databasen din i Fabric-portalen.
  2. Fra hovedmenyen, velg fanen Sikkerhet, og velg deretter Administrer SQL-revisjon. Skjermbilde fra Fabric-portalen, som viser Sikkerhetsfanen og knappen Administrer SQL-revisjon.
  3. Panelet Administrer SQL-revisjon åpnes.
  4. Velg knappen Save Events to SQL Audit Logs for å aktivere revisjon.
  5. Konfigurer hvilke hendelser som skal lagres i seksjonen Databasehendelser . Velg Revider alt (standard) for å fange opp alle hendelser.
  6. Eventuelt kan du konfigurere en oppbevaringspolicy under Retention.
  7. Eventuelt kan du konfigurere et predikatuttrykk av T-SQL-kommandoer som ignoreres i feltet Predicate Expression .
  8. Velg Lagre.

Overvåkingslogger for spørring

Revisjonslogger kan forespørres ved hjelp av T-SQL-funksjonene sys.fn_get_audit_file og sys.fn_get_audit_file_v2.

I skriptet nedenfor må du angi arbeidsområde-ID-en og database-ID-en. Begge kan finnes i URL-en fra Fabric-portalen. Eksempel: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Den første unike identifikatorstrengen i URL-en er Fabric workspace ID, og den andre unike identifikatorstrengen er SQL-database-ID.

  • Erstatt <fabric_workspace_id> med ID-en for Fabric-arbeidsområdet. Du kan enkelt finne ID-en for et arbeidsområde i nettadressen, det er den unike strengen i to / tegn etter /groups/ i nettleservinduet.
  • Erstatt <fabric sql database id> med SQL-databasen i Strukturdatabase-ID. Du kan enkelt finne ID-en til databaseelementet i URL-en, det er den unike strengen i to / tegn etter /sqldatabases/ i nettleservinduet.

Eksempler:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

Dette eksempelet henter revisjonslogger mellom 2025-11-17T08:40:40Z og 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

For mer informasjon, se sys.fn_get_audit_file og sys.fn_get_audit_file_v2.

Relatert innhold

  • Last updated on