Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Van toepassing op:✅SQL-database in Microsoft Fabric
Controle voor SQL-databases in Fabric is een kritieke beveiligings- en nalevingsfunctie waarmee organisaties databaseactiviteiten kunnen bijhouden en registreren. Controle ondersteunt naleving, detectie van bedreigingen en forensisch onderzoek door vragen te beantwoorden, zoals wie toegang heeft tot welke gegevens, wanneer en hoe.
Wat is SQL-controle?
SQL-controle verwijst naar het proces van het vastleggen en opslaan van gebeurtenissen met betrekking tot databaseactiviteit. Deze gebeurtenissen omvatten gegevenstoegang, schemawijzigingen, machtigingswijzigingen en verificatiepogingen.
In Fabric wordt controle geïmplementeerd op databaseniveau en biedt ondersteuning voor:
- Nalevingscontrole (bijvoorbeeld: HIPAA, SOX)
- Beveiligingsonderzoeken
- Operationele inzichten
Controledoel
Auditlogboeken worden geschreven naar een map met het kenmerk Alleen-lezen in OneLake en kunnen worden opgevraagd met behulp van de sys.fn_get_audit_file_v2 T-SQL-functie of de OneLake Explorer.
Voor SQL Database in Fabric worden auditlogboeken opgeslagen in OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/
Deze logboeken zijn onveranderbaar en toegankelijk voor gebruikers met de juiste machtigingen. Logboeken kunnen ook worden gedownload met OneLake Explorer of Azure Storage Explorer.
Configuratieopties
Standaard legt de optie Audit everything alle gebeurtenissen vast, waaronder: batchvoltooiingen en geslaagde en mislukte authenticatie.
Als u selectiever wilt zijn, kiest u uit vooraf geconfigureerde auditscenario's, bijvoorbeeld: Machtigingswijzigingen & aanmeldingspogingen, gegevenslees- en schrijfbewerkingen en/of schemawijzigingen.
Elk vooraf geconfigureerd scenario wordt toegewezen aan specifieke controleactiegroepen (bijvoorbeeld SCHEMA_OBJECT_ACCESS_GROUP). DATABASE_PRINCIPAL_CHANGE_GROUP U kunt ook kiezen welke gebeurtenissen moeten worden gecontroleerd onder Aangepaste gebeurtenissen. Geavanceerde gebruikers kunnen afzonderlijke actiegroepen selecteren om de controle aan te passen aan hun behoeften. Dit is ideaal voor klanten met strikt intern beveiligingsbeleid.
Als u algemene of bekende toegangsquery's wilt filteren, kunt u predicaatexpressies opgeven in Transact-SQL (T-SQL) om controlegebeurtenissen uit te filteren op basis van voorwaarden (bijvoorbeeld om SELECT-instructies uit te sluiten): WHERE statement NOT LIKE '%select%'.
Permissions
Als u auditing wilt beheren met Fabric-werkruimterollen (aanbevolen), moeten gebruikers lid zijn van de Fabric-werkruimte Contributor rol of hogere machtigingen.
Controle beheren met SQL-machtigingen:
- Als u de databasecontrole wilt configureren, moeten gebruikers de machtiging ALTER ANY DATABASE AUDIT hebben.
- Als u auditlogboeken wilt weergeven met T-SQL, moeten gebruikers de machtiging VIEW DATABASE SECURITY AUDIT hebben.
Retention
Standaard worden controlegegevens voor onbepaalde tijd bewaard. U kunt een aangepaste bewaarperiode configureren in de sectie Logboeken automatisch verwijderen na deze duur.
Controle voor SQL-database configureren vanuit de Fabric-portal
Om te beginnen met het uitvoeren van een controle voor een Fabric SQL-database:
- Navigeer naar de SQL-database en open deze in de Fabric-portal.
- Selecteer in het hoofdmenu het tabblad Beveiliging en selecteer vervolgens SQL-controle beheren.
- Het deelvenster SQL-controle beheren wordt geopend.
- Selecteer de knop Gebeurtenissen opslaan in SQL-auditlogboeken om controle in te schakelen.
- Configureer welke gebeurtenissen moeten worden vastgelegd in de sectie Database-gebeurtenissen . Kies Alles controleren (standaard) om alle gebeurtenissen vast te leggen.
- Configureer eventueel een bewaarbeleid onder Retentie.
- Configureer desgewenst een predicaatexpressie van T-SQL-opdrachten die moeten worden genegeerd in het veld Predicaatexpressie .
- Selecteer Opslaan.
Query's uitvoeren op auditlogboeken
Auditlogboeken kunnen worden opgevraagd met behulp van de T-SQL-functies sys.fn_get_audit_file en sys.fn_get_audit_file_v2.
In het volgende script moet u de werkruimte-id en database-id opgeven. Beide zijn te vinden via de URL van het Fabric-portaal. Voorbeeld: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. De eerste unieke identifier-string in de URL is de Fabric workspace ID, en de tweede unieke identifier-string is de SQL-database-ID.
- Vervang
<fabric_workspace_id>door de ID van uw Fabric-werkruimte. U kunt de id van een werkruimte gemakkelijk vinden in de URL. Dit is de unieke tekenreeks binnen twee/tekens na/groups/in uw browservenster. - Vervang
<fabric sql database id>door uw SQL-database in Fabric-database-ID. U kunt de id van het database-item gemakkelijk vinden in de URL. Dit is de unieke tekenreeks binnen twee/tekens na/sqldatabases/in uw browservenster.
Voorbeeld:
SELECT * FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT, DEFAULT, DEFAULT, DEFAULT );
In dit voorbeeld worden auditlogboeken opgehaald tussen 2025-11-17T08:40:40Z en 2025-11-17T09:10:40Z.
SELECT *
FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT,
DEFAULT,
'2025-11-17T08:40:40Z',
'2025-11-17T09:10:40Z')
Zie sys.fn_get_audit_file en sys.fn_get_audit_file_v2 voor meer informatie.