Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:✅SQL-database in Microsoft Fabric
Controle voor SQL-databases in Fabric is een kritieke beveiligings- en nalevingsfunctie waarmee organisaties databaseactiviteiten kunnen bijhouden en registreren. Controle ondersteunt naleving, detectie van bedreigingen en forensisch onderzoek door vragen te beantwoorden, zoals wie toegang heeft tot welke gegevens, wanneer en hoe.
Wat is SQL-controle?
SQL-controle verwijst naar het proces van het vastleggen en opslaan van gebeurtenissen met betrekking tot databaseactiviteit. Deze gebeurtenissen omvatten gegevenstoegang, schemawijzigingen, machtigingswijzigingen en verificatiepogingen.
In Fabric werkt controle op databaseniveau en ondersteunt het volgende:
- Nalevingscontrole (bijvoorbeeld: HIPAA, SOX)
- Beveiligingsonderzoeken
- Operationele inzichten
Controledoel
Auditlogboeken worden geschreven naar een map met het kenmerk Alleen-lezen in OneLake en kunnen worden opgevraagd met behulp van de sys.fn_get_audit_file_v2 T-SQL-functie of de OneLake Explorer.
Voor SQL Database in Fabric worden auditlogboeken opgeslagen in OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/
Deze logboeken zijn onveranderbaar en toegankelijk voor gebruikers met de juiste machtigingen. Logboeken kunnen ook worden gedownload met OneLake Explorer of Azure Storage Explorer.
Billing
Op dit moment worden er geen extra kosten in rekening gebracht bij het schrijven van auditlogboeken naar Fabric OneLake en worden er geen opslagkosten in rekening gebracht als onderdeel van de OneLake-opslaglimieten van de capaciteit.
Configuratieopties
Standaard worden met de optie Alles controleren alle gebeurtenissen vastgelegd, inclusief batchvoltooiingen en geslaagde en mislukte verificatie.
Als u selectiever wilt zijn, kiest u uit vooraf geconfigureerde auditscenario's, bijvoorbeeld: Machtigingswijzigingen & aanmeldingspogingen, gegevenslees- en schrijfbewerkingen en/of schemawijzigingen.
Elk vooraf geconfigureerd scenario wordt toegewezen aan specifieke controleactiegroepen (bijvoorbeeld SCHEMA_OBJECT_ACCESS_GROUP). DATABASE_PRINCIPAL_CHANGE_GROUP U kunt ook kiezen welke gebeurtenissen moeten worden gecontroleerd onder Aangepaste gebeurtenissen. U kunt afzonderlijke actiegroepen selecteren om de controle aan te passen aan uw behoeften. Deze optie is ideaal voor organisaties met strikt intern beveiligingsbeleid.
Als u algemene of bekende toegangsquery's wilt filteren, kunt u predicaatexpressies opgeven in Transact-SQL (T-SQL) om controlegebeurtenissen uit te filteren op basis van voorwaarden (bijvoorbeeld om SELECT-instructies uit te sluiten): WHERE statement NOT LIKE '%select%'.
Permissions
Als u auditing wilt beheren met Fabric workspace-rollen (aanbevolen), moet u lid zijn van de rol Bijdrager voor Fabric workspaces of beschikken over hogere machtigingen.
Controle beheren met SQL-machtigingen:
- Als u de databasecontrole wilt configureren, moet u de machtiging ALTER ANY DATABASE AUDIT hebben.
- Als u auditlogboeken wilt weergeven met T-SQL, moet u de machtiging WEERGEVEN VAN DATABASEBEVEILIGINGSAUDIT hebben.
Retention
Standaard worden controlegegevens voor onbepaalde tijd bewaard, tenzij u een aangepaste bewaarperiode configureert om logboeken na deze duur automatisch te verwijderen.
Fabric slaat momenteel auditlogboeken op in de map van het item in OneLake en beperkt deze tot de levenscyclus van het item. Als u het item verwijdert, verwijdert Fabric ook de auditlogboeken. Als u retentie vereist onafhankelijk van de levenscyclus van het item, verplaatst u auditlogboeken naar een afzonderlijke opslaglocatie (bijvoorbeeld een ander Lakehouse- of Een Azure Storage-account) met behulp van hulpprogramma's zoals AzCopy of SSDT.
Controle voor SQL-database configureren vanuit de Fabric-portal
Om te beginnen met het uitvoeren van een controle voor een Fabric SQL-database:
- Navigeer naar de SQL-database en open deze in de Fabric-portal.
- Selecteer in het hoofdmenu het tabblad Beveiliging en selecteer vervolgens SQL-controle beheren.
- Het deelvenster SQL-controle beheren wordt geopend.
- Selecteer de knop Gebeurtenissen opslaan in SQL-auditlogboeken om controle in te schakelen.
- Configureer welke gebeurtenissen moeten worden vastgelegd in de sectie Database-gebeurtenissen . Kies Alles controleren (standaard) om alle gebeurtenissen vast te leggen.
- Configureer eventueel een bewaarbeleid onder Retentie.
- Configureer desgewenst een predicaatexpressie van T-SQL-opdrachten die moeten worden genegeerd in het veld Predicaatexpressie .
- Selecteer Opslaan.
Query's uitvoeren op auditlogboeken
Auditlogboeken kunnen worden opgevraagd met behulp van de T-SQL-functies sys.fn_get_audit_file en sys.fn_get_audit_file_v2.
In het volgende script moet u de werkruimte-id en database-id opgeven. Beide zijn te vinden via de URL van het Fabric-portaal. Voorbeeld: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. De eerste unieke identifier-string in de URL is de Fabric workspace ID, en de tweede unieke identifier-string is de SQL-database-ID.
- Vervang
<fabric_workspace_id>door de ID van uw Fabric-werkruimte. U vindt de id van een werkruimte in de URL. Dit is de unieke tekenreeks binnen twee/tekens na/groups/in het browservenster. - Vervang
<fabric sql database id>door uw SQL-database in Fabric-database-ID. U vindt de id van het database-item in de URL. Dit is de unieke tekenreeks binnen twee/tekens na/sqldatabases/in uw browservenster.
Voorbeeld:
SELECT * FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT, DEFAULT, DEFAULT, DEFAULT );
In dit voorbeeld worden auditlogboeken opgehaald tussen 2025-11-17T08:40:40Z en 2025-11-17T09:10:40Z.
SELECT *
FROM sys.fn_get_audit_file_v2(
'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
DEFAULT,
DEFAULT,
'2025-11-17T08:40:40Z',
'2025-11-17T09:10:40Z')
Zie sys.fn_get_audit_file en sys.fn_get_audit_file_v2 voor meer informatie.
Controle beheren met de REST API
U kunt de controle-instellingen voor SQL Database ook programmatisch weergeven en configureren met behulp van de Fabric REST API. Met de REST API kunt u de controle consistent beheren voor alle databases in een werkruimte met behulp van PowerShell-scripts.
Zie Sql Database-controle beheren met de REST API voor meer informatie.