Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:✅ SQL-analysslutpunkt och lager i Microsoft Fabric
Granskning i Fabric Data Warehouse ger förbättrade säkerhets- och efterlevnadsfunktioner genom att spåra och registrera databashändelser.
Med SQL-granskningsloggar kan du övervaka databasaktiviteter, identifiera potentiella säkerhetshot och uppfylla efterlevnadskrav genom att upprätthålla en spårningslogg med viktiga åtgärder, till exempel:
- Autentiseringsförsök och ändringar i åtkomstkontroll
- Åtgärder för dataåtkomst och ändring
- Schemaändringar och administrativa aktiviteter
- Behörighetsändringar och säkerhetskonfigurationer
Viktigt!
Som standardinställning är SQL-granskningsloggar OFF. Användare med behörighet för granskningsfrågor måste aktivera det för att samla in loggarna.
Kom igång genom att läsa stegen i Konfigurera SQL-granskningsloggar i Fabric Data Warehouse.
Förvaring
SQL-granskningsloggar krypteras i vila och lagras i OneLake.
För Fabric Data Warehouse skrivs granskningsloggar till .XEL filer som lagras i mappen för lagergranskning i OneLake.
Användare med följande roller kan komma åt granskningsmappen:
- Arbetsyteadministratörer
- Arbetsyta Medlemmar
- Bidragsgivare arbetsyta
- Arbetsytevisare med läsbehörighet för alla
Dessa användare kan:
- Bläddra i mappen Granskning
- Visa granskningsfilerna
.XELsom genereras av SQL-granskning - Kopiera filerna för offlineanalys
- Öppna filerna med verktyg som SQL Server Management Studio (SSMS)
Du kan också köra en fråga mot granskningsloggar med T-SQL via sys.fn_get_audit_file_v2.
Se Hur du konfigurerar SQL-granskningsloggar i Fabric Data Warehouse för instruktioner.
Tips/Råd
Om du konfigurerar granskningsloggar i Microsoft Fabric Data Warehouse kan lagringskostnaderna öka beroende på vilka åtgärdsgrupper och händelser som registrerats. Aktivera endast nödvändiga händelser för att undvika onödiga lagringskostnader.
Prestanda
Funktionen SQL-granskningsloggar är optimerad för tillgänglighet och prestanda för databasen som granskas. Under perioder med mycket hög aktivitet eller hög nätverksbelastning kan granskningsfunktionen tillåta transaktioner att fortsätta utan att registrera alla händelser som markerats för granskning.
Behörigheter
Användarna måste ha behörigheten Granskningsfrågor (Granskning) för att kunna konfigurera och köra frågor mot granskningsloggar.
- Som standard har arbetsyteadministratörer behörigheten "Audit queries" till alla objekt i arbetsytan.
- Administratörer kan bevilja behörigheter för granskningsfrågor på objekt till andra användare via delningsdialogrutan.
Arbetsyteadministratörer kan bevilja granskningsfrågor behörigheter till ett objekt med hjälp av alternativet i den delade menyn i Fabric-portalen. För att verifiera om en användare har behörighet för Granskningsfrågor, kontrollera inställningarna för Hantera behörigheter.
I ditt lagerobjekt väljer du knappen Dela .
Eller i Fabricportalen, i din arbetsyta.
...Välj snabbmenyn för ditt lagerobjekt och välj Hantera behörigheter.I fönstret Bevilja personer åtkomst kan du bevilja behörigheter till en användare.
Köra frågor mot granskningsloggar med T-SQL-behörigheter
Användare kan också beviljas möjligheten att ställa frågor mot granskningsloggar via T-SQL-behörigheter genom att ge behörigheten VIEW DATABASE SECURITY AUDIT, även om de inte har administratörsroller i arbetsytan.
Om du beviljar följande behörighet kan en användare köra frågor mot granskningsloggar med hjälp av sys.fn_get_audit_file_v2 funktionen:
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Tips/Råd
Behörigheten VIEW DATABASE SECURITY AUDIT ger endast möjlighet att köra frågor mot granskningsloggar och tillåter inte åtkomst till filerna eller till användaren för att utföra någon ändring av granskningskonfigurationen.
Granskningsåtgärdsgrupper och åtgärder på databasnivå
För att göra konfigurationen av granskningsloggar mer tillgänglig använder Fabric-portalen egna namn för att hjälpa icke-SQL-administratörer och andra användare att enkelt förstå insamlade Fabric Data Warehouse-händelser.
Nätverket mappar dessa vänliga namn till de underliggande SQL Audit-åtgärdsgrupperna. Använd följande tabell som referens.
| Vänligt namn | Namn på åtgärdsgrupp | Beskrivning |
|---|---|---|
| Objektet åtkomstdes | DATABASE_OBJECT_ACCESS_GROUP |
Loggar åtkomst till databasobjekt som meddelandetyper, sammansättningar eller kontrakt. |
| Objektet har ändrats | DATABASE_OBJECT_CHANGE_GROUP |
Loggar CREATE, ALTER eller DROP-åtgärder på databasobjekt. |
| Objektets ägare har ändrats | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Loggar ägarskapsändringar för databasobjekt. |
| Objektbehörigheten har ändrats | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Loggar GRANT, REVOKE eller DENY åtgärder på databasobjekt. |
| Användaren har ändrats | DATABASE_PRINCIPAL_CHANGE_GROUP |
Loggar skapande, ändring eller borttagning av databasprincipaler (användare, roller). |
| Användaren efterliknades | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Loggar personifieringsåtgärder (till exempel EXECUTE AS). |
| Rollmedlemmen har ändrats | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Loggar tillägg eller borttagning av inloggningar från en databasroll. |
| Användaren kunde inte logga in | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registrerar misslyckade autentiseringsförsök i databasen. |
| Schemabehörighet användes | SCHEMA_OBJECT_ACCESS_GROUP |
Loggar åtkomst till schemaobjekt. |
| Schemat har ändrats | SCHEMA_OBJECT_CHANGE_GROUP |
Loggar CREATE, ALTER, eller DROP åtgärder på schemor. |
| Schemaobjektbehörigheten har kontrollerats | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Loggar ändringar i schemaobjektägarskap. |
| Behörigheten för schemaobjekt ändrades | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Loggar GRANT, REVOKE eller DENY åtgärder på schemaobjekt. |
| Batchen slutfördes | BATCH_COMPLETED_GROUP |
Den här händelsen utlöses när någon batchtext, lagrad procedur eller transaktionshanteringsåtgärd slutförs. |
| Batch startades | BATCH_STARTED_GROUP |
Den här händelsen utlöses när någon batchtext, lagrad procedur eller transaktionshanteringsåtgärd börjar köras. |
| Granskning har ändrats | AUDIT_CHANGE_GROUP |
Den här händelsen utlöses när någon granskning skapas, ändras eller tas bort. |
| Utloggad användare | DATABASE_LOGOUT_GROUP |
Den här händelsen utlöses när en databasanvändare loggar ut från en databas. |
| Användare som är inloggad | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indikerar att en huvudanvändare framgångsrikt har loggat in på en databas. |
Granskningsåtgärder på databasnivå
Förutom åtgärdsgrupper kan du konfigurera enskilda granskningsåtgärder för att logga specifika databashändelser:
| Granskningsåtgärd | Beskrivning |
|---|---|
SELECT |
Loggar uttalanden på ett angivet objekt. |
INSERT |
Loggar INSERT åtgärder på ett angivet objekt. |
UPDATE |
Loggar UPDATE åtgärder på ett angivet objekt. |
DELETE |
Loggar DELETE åtgärder på ett angivet objekt. |
EXECUTE |
Loggar körning av lagrade procedurer eller funktioner. |
RECEIVE |
Loggar RECEIVE åtgärder i Service Broker-köer. |
REFERENCES |
Loggar behörighetskontroller som inbegriper begränsningar för främmande nyckel. |
Begränsningar
- Standardarbetsytan stöder inte SQL-granskningsloggar.
- SQL-granskningsloggar stöds inte för ögonblicksbilder av lager.
Viktigt!
Granskningsloggar lagras i lagerobjektet i OneLake. Om du tar bort förrådet tas även de associerade granskningsloggfilerna bort, och du kan inte längre komma åt dem.
Om du vill behålla granskningsloggar i efterlevnads- eller undersökningssyfte kopierar .XEL du filerna till en annan lagringsplats innan du tar bort lagret.
Begränsningar för SQL-analysslutpunkter
Följande begränsningar gäller vid granskning av SQL-analysslutpunkter:
- DML-åtgärder registreras inte. Granskningen registrerar inte åtgärder som
INSERT,UPDATE,DELETEochMERGEeftersom datamanipulering för Lakehouse-tabeller sker via Lakehouse-körningen i stället för via SQL-analysslutpunkten. - Direkt åtkomst till granskningsmappen stöds inte för närvarande. Användare kan inte bläddra eller ladda ned de underliggande
.XELgranskningsfilerna från lakehouse-granskningsmappen.
Du kan fortfarande ställa frågor om granskningshändelser för SQL-analysslutpunkter med T-SQL-funktionen sys.fn_get_audit_file_v2.
Nästa steg
Konfigurera SQL-granskningsloggar i Fabric Data Warehouse