Udostępnij za pośrednictwem

Audyting (wersja zapoznawcza)

Dotyczy:Baza danych SQL w usłudze Microsoft Fabric

Inspekcja baz danych SQL w usłudze Fabric jest krytyczną funkcją zabezpieczeń i zgodności, która umożliwia organizacjom śledzenie i rejestrowanie działań bazy danych. Inspekcja obsługuje badania zgodności, wykrywania zagrożeń i śledcze, pomagając odpowiedzieć na pytania, takie jak kto uzyskiwał dostęp do danych, kiedy i jak.

Ważne

Ta funkcja jest dostępna w wersji zapoznawczej.

Co to jest inspekcja SQL?

Inspekcja SQL odnosi się do procesu przechwytywania i przechowywania zdarzeń związanych z działaniem bazy danych. Te zdarzenia obejmują dostęp do danych, zmiany schematu, modyfikacje uprawnień i próby uwierzytelniania.

W Fabric audyt jest implementowany na poziomie bazy danych i obsługuje:

  • Monitorowanie zgodności (na przykład HIPAA, SOX)
  • Badania zabezpieczeń
  • Szczegółowe informacje operacyjne

Cel inspekcji

Dzienniki inspekcji są zapisywane w folderze tylko do odczytu w OneLake i mogą być odczytywane za pomocą funkcji T-SQL sys.fn_get_audit_file_v2 lub OneLake Explorer.

W przypadku bazy danych SQL w usłudze Fabric dzienniki inspekcji są przechowywane w usłudze OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Te dzienniki są niezmienne i dostępne dla użytkowników z odpowiednimi uprawnieniami. Dzienniki można również pobrać przy użyciu Eksploratora usługi OneLake lub Eksploratora usługi Azure Storage.

Fakturowanie

Obecnie zapisywanie dzienników inspekcji w Fabric OneLake nie powoduje naliczania dodatkowych opłat, a pamięć masowa jest uwzględniana w ramach limitów pamięci masowej OneLake pojemności.

Opcje konfiguracji

Domyślnie opcja Inspekcja wszystkiego przechwytuje wszystkie zdarzenia, w tym: zakończenia zadań wsadowych oraz pomyślne i nieudane próby uwierzytelniania.

Aby być bardziej selektywnym, wybierz spośród wstępnie skonfigurowanych scenariuszy inspekcji, na przykład: Zmiany uprawnień i próby logowania, Odczyty i zapisy danych i/lub Zmiany schematu.

Każdy wstępnie skonfigurowany scenariusz jest mapowany na określone grupy akcji inspekcji (na przykład SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Możesz również wybrać zdarzenia do inspekcji w obszarze Zdarzenia niestandardowe. Zaawansowani użytkownicy mogą wybierać poszczególne grupy akcji, aby dostosować inspekcję do swoich potrzeb. Jest to idealne rozwiązanie dla klientów z rygorystycznymi zasadami zabezpieczeń wewnętrznych.

Aby odfiltrować typowe lub znane zapytania dostępu, możesz podać wyrażenia predykatu w Transact-SQL (T-SQL), aby odfiltrować zdarzenia inspekcji na podstawie warunków (na przykład w celu wykluczenia instrukcji SELECT): WHERE statement NOT LIKE '%select%'.

Permissions

Aby zarządzać inspekcją przy użyciu ról w obszarze roboczym Fabric (zalecane), użytkownicy muszą mieć członkostwo w roli Kontrybutor obszaru roboczego Fabric lub wyższe uprawnienia.

Aby zarządzać inspekcją przy użyciu uprawnień SQL:

  • Aby skonfigurować inspekcję bazy danych, użytkownicy muszą mieć uprawnienie ALTER ANY DATABASE AUDIT.
  • Aby wyświetlić dzienniki inspekcji przy użyciu T-SQL, użytkownicy muszą mieć uprawnienie WYŚWIETL AUDYT BEZPIECZEŃSTWA BAZY DANYCH.

Przechowywanie

Domyślnie dane inspekcji są zachowywane przez czas nieokreślony, chyba że po upływie tego czasu skonfigurujesz niestandardowy okres przechowywania, aby automatycznie usuwać dzienniki.

Dzienniki inspekcji są obecnie przechowywane w folderze elementu w usłudze OneLake i są ograniczone do cyklu życia elementu. Jeśli element zostanie usunięty, jego dzienniki inspekcji również zostaną usunięte. Jeśli potrzebujesz przechowywania niezależnie od cyklu życia elementu, przenieś dzienniki inspekcji do oddzielnej lokalizacji magazynu (na przykład innej usługi Lakehouse lub konta usługi Azure Storage) przy użyciu narzędzi takich jak AzCopy lub SSDT.

Konfigurowanie audytu dla bazy danych SQL z poziomu portalu Fabric

Aby rozpocząć inspekcję dla bazy danych SQL zgodnej z Azure Fabric:

  1. Przejdź do swojego portalu Fabric i otwórz bazę danych SQL.
  2. Z menu głównego wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zarządzaj inspekcją SQL. Zrzut ekranu z portalu Fabric przedstawiający zakładkę Zabezpieczenia i przycisk Zarządzaj audytem SQL.
  3. Zostanie otwarte okienko Zarządzanie inspekcją SQL .
  4. Wybierz przycisk Zapisz zdarzenia w dziennikach inspekcji SQL , aby włączyć inspekcję.
  5. Skonfiguruj zdarzenia, które mają być rejestrowane w sekcji Zdarzenia bazy danych . Wybierz pozycję Przeprowadź inspekcję wszystkich (ustawienie domyślne), aby przechwycić wszystkie zdarzenia.
  6. Opcjonalnie skonfiguruj zasady przechowywania w obszarze Przechowywanie.
  7. Opcjonalnie skonfiguruj wyrażenie predykatu poleceń języka T-SQL do ignorowania w polu Wyrażenie predykatu .
  8. Wybierz Zapisz.

Wykonywanie zapytań dotyczących dzienników inspekcji

Dzienniki inspekcji można przeszukiwać za pomocą zapytań, używając funkcji języka T-SQL sys.fn_get_audit_file i sys.fn_get_audit_file_v2.

W poniższym skrypsie należy podać identyfikator obszaru roboczego i identyfikator bazy danych. Oba można znaleźć w adresie URL portalu Fabric. Na przykład: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Pierwszym unikalnym ciągiem identyfikatora w URL jest identyfikator przestrzeni roboczej Fabric, a drugim unikalnym ciągiem identyfikatora jest identyfikator bazy danych SQL.

  • Zastąp <fabric_workspace_id> identyfikatorem obszaru roboczego Fabric. Identyfikator obszaru roboczego można łatwo znaleźć w adresie URL. Jest to unikatowy ciąg w dwóch / znakach po /groups/ w oknie przeglądarki.
  • Zastąp <fabric sql database id> swoją bazą danych SQL w identyfikatorze bazy danych Fabric. Identyfikator elementu bazy danych można łatwo znaleźć w adresie URL. Jest to unikatowy ciąg w dwóch / znakach po /sqldatabases/ w oknie przeglądarki.

Przykład:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

W tym przykładzie są pobierane dzienniki inspekcji między 2025-11-17T08:40:40Z a 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Aby uzyskać więcej informacji, zobacz sys.fn_get_audit_file i sys.fn_get_audit_file_v2.

Treści powiązane

  • Last updated on