Udostępnij przez

Auditing

Dotyczy:Baza danych SQL w usłudze Microsoft Fabric

Inspekcja baz danych SQL w usłudze Fabric jest krytyczną funkcją zabezpieczeń i zgodności, która umożliwia organizacjom śledzenie i rejestrowanie działań bazy danych. Inspekcja obsługuje badania zgodności, wykrywania zagrożeń i śledcze, pomagając odpowiedzieć na pytania, takie jak kto uzyskiwał dostęp do danych, kiedy i jak.

Co to jest inspekcja SQL?

Inspekcja SQL odnosi się do procesu przechwytywania i przechowywania zdarzeń związanych z działaniem bazy danych. Te zdarzenia obejmują dostęp do danych, zmiany schematu, modyfikacje uprawnień i próby uwierzytelniania.

W Fabric audyt jest implementowany na poziomie bazy danych i obsługuje:

  • Monitorowanie zgodności (na przykład HIPAA, SOX)
  • Badania zabezpieczeń
  • Szczegółowe informacje operacyjne

Cel inspekcji

Dzienniki inspekcji są zapisywane w folderze tylko do odczytu w OneLake i mogą być odczytywane za pomocą funkcji T-SQL sys.fn_get_audit_file_v2 lub OneLake Explorer.

W przypadku bazy danych SQL w usłudze Fabric dzienniki inspekcji są przechowywane w usłudze OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Te dzienniki są niezmienne i dostępne dla użytkowników z odpowiednimi uprawnieniami. Dzienniki można również pobrać przy użyciu Eksploratora usługi OneLake lub Eksploratora usługi Azure Storage.

Opcje konfiguracji

Domyślnie opcja Inspekcja wszystkiego przechwytuje wszystkie zdarzenia, w tym: zakończenia zadań wsadowych oraz pomyślne i nieudane próby uwierzytelniania.

Aby być bardziej selektywnym, wybierz spośród wstępnie skonfigurowanych scenariuszy inspekcji, na przykład: Zmiany uprawnień i próby logowania, Odczyty i zapisy danych i/lub Zmiany schematu.

Każdy wstępnie skonfigurowany scenariusz jest mapowany na określone grupy akcji inspekcji (na przykład SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Możesz również wybrać zdarzenia do inspekcji w obszarze Zdarzenia niestandardowe. Zaawansowani użytkownicy mogą wybierać poszczególne grupy akcji, aby dostosować inspekcję do swoich potrzeb. Jest to idealne rozwiązanie dla klientów z rygorystycznymi zasadami zabezpieczeń wewnętrznych.

Aby odfiltrować typowe lub znane zapytania dostępu, możesz podać wyrażenia predykatu w Transact-SQL (T-SQL), aby odfiltrować zdarzenia inspekcji na podstawie warunków (na przykład w celu wykluczenia instrukcji SELECT): WHERE statement NOT LIKE '%select%'.

Permissions

Aby zarządzać inspekcją przy użyciu ról w obszarze roboczym Fabric (zalecane), użytkownicy muszą mieć członkostwo w roli Kontrybutor obszaru roboczego Fabric lub wyższe uprawnienia.

Aby zarządzać inspekcją przy użyciu uprawnień SQL:

  • Aby skonfigurować inspekcję bazy danych, użytkownicy muszą mieć uprawnienie ALTER ANY DATABASE AUDIT.
  • Aby wyświetlić dzienniki inspekcji przy użyciu T-SQL, użytkownicy muszą mieć uprawnienie WYŚWIETL AUDYT BEZPIECZEŃSTWA BAZY DANYCH.

Przechowywanie

Domyślnie dane inspekcji są przechowywane przez czas nieokreślony. Niestandardowy okres przechowywania można skonfigurować w sekcji Automatyczne usuwanie dzienników po tym czasie.

Konfigurowanie audytu dla bazy danych SQL z poziomu portalu Fabric

Aby rozpocząć inspekcję dla bazy danych SQL zgodnej z Azure Fabric:

  1. Przejdź do swojego portalu Fabric i otwórz bazę danych SQL.
  2. Z menu głównego wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zarządzaj inspekcją SQL. Zrzut ekranu z portalu Fabric przedstawiający zakładkę Zabezpieczenia i przycisk Zarządzaj audytem SQL.
  3. Zostanie otwarte okienko Zarządzanie inspekcją SQL .
  4. Wybierz przycisk Zapisz zdarzenia w dziennikach inspekcji SQL , aby włączyć inspekcję.
  5. Skonfiguruj zdarzenia, które mają być rejestrowane w sekcji Zdarzenia bazy danych . Wybierz pozycję Przeprowadź inspekcję wszystkich (ustawienie domyślne), aby przechwycić wszystkie zdarzenia.
  6. Opcjonalnie skonfiguruj zasady przechowywania w obszarze Przechowywanie.
  7. Opcjonalnie skonfiguruj wyrażenie predykatu poleceń języka T-SQL do ignorowania w polu Wyrażenie predykatu .
  8. Wybierz Zapisz.

Wykonywanie zapytań dotyczących dzienników inspekcji

Dzienniki inspekcji można przeszukiwać za pomocą zapytań, używając funkcji języka T-SQL sys.fn_get_audit_file i sys.fn_get_audit_file_v2.

W poniższym skrypsie należy podać identyfikator obszaru roboczego i identyfikator bazy danych. Oba można znaleźć w adresie URL portalu Fabric. Na przykład: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Pierwszym unikalnym ciągiem identyfikatora w URL jest identyfikator przestrzeni roboczej Fabric, a drugim unikalnym ciągiem identyfikatora jest identyfikator bazy danych SQL.

  • Zastąp <fabric_workspace_id> identyfikatorem obszaru roboczego Fabric. Identyfikator obszaru roboczego można łatwo znaleźć w adresie URL. Jest to unikatowy ciąg w dwóch / znakach po /groups/ w oknie przeglądarki.
  • Zastąp <fabric sql database id> swoją bazą danych SQL w identyfikatorze bazy danych Fabric. Identyfikator elementu bazy danych można łatwo znaleźć w adresie URL. Jest to unikatowy ciąg w dwóch / znakach po /sqldatabases/ w oknie przeglądarki.

Przykład:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

W tym przykładzie są pobierane dzienniki inspekcji między 2025-11-17T08:40:40Z a 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Aby uzyskać więcej informacji, zobacz sys.fn_get_audit_file i sys.fn_get_audit_file_v2.

Treści powiązane

  • Last updated on