Auditing

Gäller för:✅SQL-databas i Microsoft Fabric

Granskning för SQL-databaser i Fabric är en viktig säkerhets- och efterlevnadsfunktion som gör det möjligt för organisationer att spåra och logga databasaktiviteter. Granskning stöder efterlevnad, hotidentifiering och kriminaltekniska undersökningar genom att hjälpa till att besvara frågor som vem som har åtkomst till vilka data, när och hur.

Vad är SQL-granskning?

SQL-granskning refererar till processen för att samla in och lagra händelser relaterade till databasaktivitet. Dessa händelser omfattar dataåtkomst, schemaändringar, behörighetsändringar och autentiseringsförsök.

I Fabric implementeras granskning på databasnivå och stöder:

• Efterlevnadsövervakning (till exempel HIPAA, SOX)
• Säkerhetsutredningar
• Driftinsikter

Granskningsmål

Granskningsloggar skrivs till en skrivskyddad mapp i OneLake och kan efterfrågas med hjälp av sys.fn_get_audit_file_v2 T-SQL-funktionen eller OneLake Explorer.

För SQL Database i Fabric lagras granskningsloggar i OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Dessa loggar är oföränderliga och tillgängliga för användare med lämpliga behörigheter. Loggar kan också laddas ned med OneLake Explorer eller Azure Storage Explorer.

Konfigurationsalternativ

Som standard registrerar alternativet Granska allt granskning alla händelser, inklusive: batchslutningar och lyckad och misslyckad autentisering.

Om du vill vara mer selektiv väljer du bland förkonfigurerade granskningsscenarier, till exempel: Behörighetsändringar och inloggningsförsök, dataläsningar och skrivningar och/eller schemaändringar.

Varje förkonfigurerat scenario mappar till specifika granskningsåtgärdsgrupper (till exempel SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Du kan också välja vilka händelser som ska granskas under Anpassade händelser. Avancerade användare kan välja enskilda åtgärdsgrupper för att skräddarsy granskning efter deras behov. Detta är idealiskt för kunder med strikta interna säkerhetsprinciper.

Om du vill filtrera bort vanliga eller kända åtkomstfrågor kan du ange predikatuttryck i Transact-SQL (T-SQL) för att filtrera bort granskningshändelser baserat på villkor (till exempel för att exkludera SELECT-instruktioner): WHERE statement NOT LIKE '%select%'.

Permissions

Om du vill hantera revision med hjälp av Fabric arbetsyteroller (rekommenderas) måste användarna ha medlemskap i rollen Deltagare i Fabric-arbetsytan eller högre behörigheter.

Så här hanterar du granskning med SQL-behörigheter:

• För att konfigurera databaskontroll behöver användarna ha behörigheten ÄNDRA ALLA DATABASAUDITS.
• Om du vill visa granskningsloggar med hjälp av T-SQL måste användarna ha behörigheten VIEW DATABASE SECURITY AUDIT.

Retention

Som standard sparas granskningsdata på obestämd tid. Du kan konfigurera en anpassad kvarhållningsperiod i avsnittet Ta bort loggar automatiskt efter den här varaktigheten.

Konfigurera granskning för SQL-databas från Fabric-portalen

Så här börjar du att granska en Fabric SQL-databas:

1. Gå till och öppna DIN SQL-databas i Fabric-portalen.
2. Välj fliken Säkerhet på huvudmenyn och välj sedan Hantera SQL-granskning.
3. Fönstret Hantera SQL-granskning öppnas.
4. Välj knappen Spara händelser till SQL-granskningsloggar för att aktivera granskning.
5. Konfigurera vilka händelser som ska registreras i avsnittet Databashändelser . Välj Granska allt (standard) för att samla in alla händelser.
6. Du kan också konfigurera en kvarhållningsprincip under Kvarhållning.
7. Du kan också konfigurera ett predikatuttryck för T-SQL-kommandon att ignorera i fältet Predikatuttryck .
8. Välj Spara.

Förfråga granskningsloggar

Granskningsloggar kan efterfrågas med hjälp av T-SQL-funktionerna sys.fn_get_audit_file och sys.fn_get_audit_file_v2.

I följande skript måste du ange arbetsytans ID och databas-ID. Båda kan hittas i URL:en från Fabric-portalen. Till exempel: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. Den första unika identifieringssträngen i URL:en är Fabric workspace ID, och den andra unika identifieringssträngen är SQL-databasens ID.

• Ersätt <fabric_workspace_id> med ditt Fabric arbetsyte-ID. Du hittar enkelt ID:t för en arbetsyta i URL:en, det är den unika strängen inuti två / tecken efter /groups/ i webbläsarfönstret.
• Ersätt <fabric sql database id> med din SQL-databas i Fabric-databas-ID. Du hittar enkelt ID:t för databasobjektet i URL:en, det är den unika strängen inuti två / tecken efter /sqldatabases/ i webbläsarfönstret.

Till exempel:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

Det här exemplet hämtar granskningsloggar mellan 2025-11-17T08:40:40Z och 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Mer information finns i sys.fn_get_audit_file och sys.fn_get_audit_file_v2.

Relaterat innehåll

• Säkerhet i SQL-databas i Microsoft Fabric
• Granskningsschema för domäner i Fabric