Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:✅banco de dados SQL do Microsoft Fabric
Você pode usar a API REST do Fabric para exibir e definir as configurações de auditoria do banco de dados SQL programaticamente. A API de configurações de auditoria do SQL é uma API no nível do banco de dados que opera em bancos de dados SQL individuais. Combinando a API com scripts do PowerShell, você pode gerenciar a auditoria consistentemente em todos os bancos de dados em um workspace.
Este artigo demonstra como usar o PowerShell e a API REST de configurações de auditoria do SQL no nível do banco de dados para recuperar e atualizar as configurações de auditoria para bancos de dados SQL em um workspace do Fabric.
Pré-requisitos
- Você precisa de uma capacidade existente no Fabric. Se não, inicie uma avaliação do Fabric.
- Você pode usar um workspace existente ou criar um novo workspace do Fabric com um ou mais bancos de dados SQL.
- Você deve ser membro das funções Administrador, Membro ou Colaborador do workspace para gerenciar as configurações de auditoria.
- PowerShell 5.1 ou PowerShell 7.4 e superior.
- O módulo Az PowerShell. Para instalar, execute o comando
Install-Module azno PowerShell.
Auditoria de endpoints da API REST
A API de configurações de auditoria do SQL fornece duas operações para gerenciar a auditoria em bancos de dados SQL individuais:
| Operação | Método | URI |
|---|---|---|
| Obter configurações de auditoria do SQL | GET |
https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/sqlDatabases/{sqlDatabaseId}/settings/sqlAudit |
| Atualizar as configurações de auditoria do SQL | PATCH |
https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/sqlDatabases/{sqlDatabaseId}/settings/sqlAudit |
A operação Get requer SQLDatabase.Read.All, SQLDatabase.ReadWrite.All, Item.Read.Allou Item.ReadWrite.All escopo delegado. A operação Atualização requer SQLDatabase.ReadWrite.All ou Item.ReadWrite.All escopo delegado. Ambas as operações dão suporte a identidades de usuário, entidades de serviço e identidades gerenciadas.
Propriedades de configurações de auditoria
O objeto de configurações de auditoria inclui as seguintes propriedades:
| Propriedade | Tipo | Descrição |
|---|---|---|
auditActionsAndGroups |
cadeia de caracteres[] | Auditar ações e grupos a serem capturados. Padrão: BATCH_COMPLETED_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP. |
predicateExpression |
cadeia | Uma expressão de predicado T-SQL usada para filtrar eventos de auditoria. Por exemplo, statement not like '[select ]%' exclui instruções SELECT. |
retentionDays |
inteiro | Número de dias para reter registros de auditoria.
0 indica retenção indefinida. |
state |
cadeia | Estado de auditoria: Enabled ou Disabled. Quando você habilita a auditoria pela primeira vez sem especificar outras propriedades, o sistema usa valores padrão. |
storageEndpoint |
cadeia | (Somente leitura) O endpoint de armazenamento do OneLake que armazena logs de auditoria. |
Exibir configurações de auditoria para todos os bancos de dados em um workspace
O script do PowerShell a seguir lista todos os bancos de dados SQL em um workspace e recupera a configuração de auditoria para cada banco de dados.
No script a seguir, substitua <your workspace id> pela ID do workspace do Fabric. Você pode encontrar o ID de um workspace na URL, é a cadeia de caracteres exclusiva dentro de dois caracteres / após /groups/, na janela do seu navegador. Por exemplo, 00001111-aaaa-2222-bbbb-3333cccc4444 em https://fabric.microsoft.com/groups/00001111-aaaa-2222-bbbb-3333cccc4444/.
Import-Module Az.Accounts
Connect-AzAccount
$workspaceId = '<your workspace id>'
$baseUri = "https://api.fabric.microsoft.com"
# Obtain an access token
$token = (Get-AzAccessToken -ResourceUrl "https://api.fabric.microsoft.com")
$secureToken = $token.Token | ConvertFrom-SecureString -AsPlainText
$headers = @{
"Authorization" = "Bearer $secureToken"
"Content-Type" = "application/json"
}
# List all SQL databases in the workspace
$databasesUri = "$baseUri/v1/workspaces/$workspaceId/sqlDatabases"
$databases = @()
$continuationToken = $null
do {
$url = $databasesUri
if ($continuationToken) {
$encoded = [System.Web.HttpUtility]::UrlEncode($continuationToken)
$url = "$url`?continuationToken=$encoded"
}
$response = Invoke-RestMethod -Method GET -Uri $url -Headers $headers
if ($response.value) { $databases += $response.value }
$continuationToken = $response.continuationToken
} while ($continuationToken)
Write-Host "Found $($databases.Count) SQL databases."
# Retrieve audit settings for each database
$results = @()
foreach ($db in $databases) {
try {
$auditUri = "$baseUri/v1/workspaces/$workspaceId/sqlDatabases/$($db.id)/settings/sqlAudit"
$audit = Invoke-RestMethod -Method GET -Uri $auditUri -Headers $headers
$results += [PSCustomObject]@{
DatabaseName = $db.displayName
DatabaseId = $db.id
State = $audit.state
RetentionDays = $audit.retentionDays
AuditActionsAndGroups = ($audit.auditActionsAndGroups -join "; ")
PredicateExpression = $audit.predicateExpression
}
}
catch {
$results += [PSCustomObject]@{
DatabaseName = $db.displayName
DatabaseId = $db.id
State = "ERROR"
RetentionDays = ""
AuditActionsAndGroups = ""
PredicateExpression = $_.Exception.Message
}
}
}
$results | Format-Table -AutoSize
Configurar a auditoria para todos os bancos de dados em um workspace
Depois de examinar o estado de auditoria atual, use o script a seguir para configurar a auditoria consistentemente em todos os bancos de dados em um workspace.
Substitua <your workspace id> pela ID do espaço de trabalho do Fabric. Modifique o $auditPayload objeto para corresponder à configuração de auditoria desejada.
Import-Module Az.Accounts
Connect-AzAccount
$workspaceId = '<your workspace id>'
$baseUri = "https://api.fabric.microsoft.com"
# Obtain an access token
$token = (Get-AzAccessToken -ResourceUrl "https://api.fabric.microsoft.com")
$secureToken = $token.Token | ConvertFrom-SecureString -AsPlainText
$headers = @{
"Authorization" = "Bearer $secureToken"
"Content-Type" = "application/json"
}
# Define the audit configuration to apply
$auditPayload = @{
state = "Enabled"
auditActionsAndGroups = @(
"BATCH_COMPLETED_GROUP",
"FAILED_DATABASE_AUTHENTICATION_GROUP",
"SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP"
)
retentionDays = 10
predicateExpression = "statement not like '[select ]%'"
} | ConvertTo-Json -Depth 5
# List all SQL databases in the workspace
$databasesUri = "$baseUri/v1/workspaces/$workspaceId/sqlDatabases"
$databases = @()
$continuationToken = $null
do {
$url = $databasesUri
if ($continuationToken) {
$encoded = [System.Web.HttpUtility]::UrlEncode($continuationToken)
$url = "$url`?continuationToken=$encoded"
}
$response = Invoke-RestMethod -Method GET -Uri $url -Headers $headers
if ($response.value) { $databases += $response.value }
$continuationToken = $response.continuationToken
} while ($continuationToken)
Write-Host "Configuring auditing for $($databases.Count) SQL databases..."
foreach ($db in $databases) {
try {
$auditUri = "$baseUri/v1/workspaces/$workspaceId/sqlDatabases/$($db.id)/settings/sqlAudit"
Invoke-RestMethod -Method PATCH -Uri $auditUri -Headers $headers -Body $auditPayload | Out-Null
Write-Host "[OK] Updated auditing for: $($db.displayName)"
}
catch {
Write-Host "[FAIL] $($db.displayName): $($_.Exception.Message)"
}
}
Práticas recomendadas
- Sempre recupere as configurações de auditoria atuais com uma
GETrequisição antes de atualizar comPATCH, para entender a configuração existente. - Lidar com falhas em cada banco de dados. Se uma atualização de banco de dados falhar, continue processando os bancos de dados restantes.
- Tente novamente falhas transitórias individualmente em vez de executar novamente todo o script de atualização em massa.
- Use um principal de serviço ou identidade gerenciada para configurar a auditoria automatizada ou agendada em ambientes de produção.