Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:✅ ponto de extremidade de análise SQL e Warehouse no Microsoft Fabric
A auditoria no Data Warehouse do Fabric fornece recursos aprimorados de segurança e conformidade acompanhando e registrando eventos de banco de dados.
Esse recurso permite que as organizações monitorem atividades de banco de dados, detectem possíveis ameaças à segurança e atendam aos requisitos de conformidade mantendo uma trilha de auditoria das principais ações:
- Tentativas de autenticação e alterações de controle de acesso
- Operações de acesso e modificação de dados
- Alterações de esquema e atividades administrativas
- Alterações de permissão e configurações de segurança
Importante
Por padrão, os logs de auditoria do SQL estão DESATIVADOS. Os usuários com permissões de consultas de auditoria devem habilitá-lo para capturar os logs.
O recurso de logs de auditoria do SQL está atualmente em versão prévia.
Para começar, examine as etapas em Como configurar logs de auditoria do SQL no Fabric Data Warehouse (versão prévia).
Armazenamento
Todos os logs são criptografados em repouso, armazenados no OneLake e não diretamente visíveis aos usuários.
Os arquivos de log de auditoria não podem ser acessados diretamente do OneLake, mas podem ser consultados com o T-SQL por meio de sys.fn_get_audit_file_v2. Para obter instruções, consulte Como configurar logs de auditoria do SQL no Data Warehouse do Fabric.
Dica
Configurar logs de auditoria no Data Warehouse do Microsoft Fabric pode aumentar os custos de armazenamento dependendo dos grupos de ações e eventos registrados. Habilite apenas os eventos necessários para evitar custos de armazenamento desnecessários.
Permissões
Os usuários devem ter a permissão de Auditoria para configurar e consultar logs de auditoria.
- Por padrão, os Administradores do Workspace têm a permissão consultas de Auditoria para todos os itens no workspace.
- Os administradores podem conceder permissões de consultas de Auditoria em itens para outros usuários por meio da caixa de diálogo de compartilhamento.
Os administradores do workspace podem conceder permissões de consultas de Auditoria a um item usando a opção de menu compartilhado no portal do Fabric. Para verificar se um usuário tem permissões de consultas de Auditoria, verifique as configurações para Gerenciar Permissões.
Grupos e ações de auditoria em nível de banco de dados
Para tornar a configuração de log de auditoria mais acessível, o portal do Fabric usa nomes amigáveis para ajudar administradores não SQL e outros usuários a entender facilmente os eventos capturados do Fabric Data Warehouse.
Esses nomes amigáveis são mapeados para os grupos de ação de Auditoria sql subjacentes. A tabela a seguir serve como uma referência.
| Nome amigável | Nome do Grupo de Ações | Descrição |
|---|---|---|
| O objeto foi acessado | DATABASE_OBJECT_ACCESS_GROUP |
Registra o acesso a objetos de banco de dados, como tipos de mensagens, assemblies ou contratos. |
| O objeto foi alterado | DATABASE_OBJECT_CHANGE_GROUP |
Registra as operações CREATE, ALTER ou DROP em objetos de banco de dados. |
| Proprietário do objeto alterado | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra alterações de propriedade de objetos de banco de dados. |
| A permissão do objeto foi alterada | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra as ações GRANT, REVOKE ou DENY em objetos de banco de dados. |
| O usuário foi alterado | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra a criação, alteração ou exclusão de entidades de banco de dados (usuários, funções). |
| O usuário foi representado | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra operações de impersonificação (como EXECUTE AS). |
| O membro da função foi alterado | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra a adição ou remoção de logons de uma função de banco de dados. |
| Falha do usuário ao fazer logon | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra falhas nas tentativas de autenticação no banco de dados. |
| A permissão de esquema foi usada | SCHEMA_OBJECT_ACCESS_GROUP |
Registra o acesso a objetos de esquema. |
| O esquema foi alterado | SCHEMA_OBJECT_CHANGE_GROUP |
Registra as operações CREATE, ALTER ou DROP em esquemas. |
| A permissão do objeto schema foi verificada | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra alterações na propriedade do objeto de esquema. |
| A permissão do objeto schema foi alterada | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra as ações GRANT, REVOKE ou DENY em objetos de esquema. |
| O lote foi concluído | BATCH_COMPLETED_GROUP |
Esse evento é gerado sempre que qualquer operação de lote de texto, procedimento armazenado ou de gerenciamento de transações conclui a execução. |
| O lote foi iniciado | BATCH_STARTED_GROUP |
Esse evento é gerado sempre que qualquer operação de lote de texto, procedimento armazenado ou gerenciamento de transações começa a ser executada. |
| A auditoria foi alterada | AUDIT_CHANGE_GROUP |
Esse evento é gerado sempre que uma auditoria for criada, modificada ou excluída. |
| Logon do usuário | DATABASE_LOGOUT_GROUP |
Esse evento é gerado quando um usuário de banco de dados sai de um banco de dados. |
| Usuário conectado | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica que uma entidade de segurança fez logon com êxito em um banco de dados. |
Ações de auditoria no nível do banco de dados
Além dos grupos de ações, ações de auditoria individuais podem ser configuradas para registrar eventos específicos do banco de dados:
| Ação de Auditoria | Descrição |
|---|---|
SELECT |
Registra declarações SELECT em um objeto especificado. |
INSERT |
Registra operações INSERT em um objeto especificado. |
UPDATE |
Registra operações UPDATE em um objeto especificado. |
DELETE |
Registra operações DELETE em um objeto especificado. |
EXECUTE |
Registra a execução de procedimentos ou funções armazenados. |
RECEIVE |
Registra operações RECEIVE nas filas do Service Broker. |
REFERENCES |
Registra verificações de permissão envolvendo restrições de chave estrangeira. |
Limitações
- Se os logs de auditoria estiverem desabilitados, todos os grupos de ações deverão ser reconfigurados ao habilitar novamente.
- Atualmente, Auditoria SQL para Fabric Data Warehouse não é suportada no workspace padrão.
- Logs de auditoria SQL não são suportados para Instantâneos de Armazém.