แชร์ผ่าน

การตรวจสอบ

นําไปใช้กับ:ฐานข้อมูล SQL ใน Microsoft Fabric

การตรวจสอบฐานข้อมูล SQL ใน Fabric เป็นคุณลักษณะด้านความปลอดภัยและการปฏิบัติตามข้อกําหนดที่สําคัญที่ช่วยให้องค์กรสามารถติดตามและบันทึกกิจกรรมฐานข้อมูลได้ การตรวจสอบสนับสนุนการปฏิบัติตามข้อกําหนด การตรวจจับภัยคุกคาม และการสืบสวนทางนิติวิทยาศาสตร์ โดยช่วยตอบคําถาม เช่น ใครเข้าถึงข้อมูลใด เมื่อใด และอย่างไร

การตรวจสอบ SQL คืออะไร?

การตรวจสอบ SQL หมายถึงกระบวนการจับภาพและจัดเก็บเหตุการณ์ที่เกี่ยวข้องกับกิจกรรมฐานข้อมูล เหตุการณ์เหล่านี้รวมถึงการเข้าถึงข้อมูล การเปลี่ยนแปลงสคีมา การแก้ไขสิทธิ์ และความพยายามในการรับรองความถูกต้อง

ใน Fabric การตรวจสอบจะถูกนําไปใช้ในระดับฐานข้อมูลและรองรับ:

  • การตรวจสอบการปฏิบัติตามข้อกําหนด (เช่น HIPAA, SOX)
  • การตรวจสอบความปลอดภัย
  • ข้อมูลเชิงลึกด้านการดําเนินงาน

เป้าหมายการตรวจสอบ

บันทึกการตรวจสอบจะถูกเขียนลงในโฟลเดอร์แบบอ่านอย่างเดียวใน OneLake และสามารถคิวรีได้โดยใช้ sys.fn_get_audit_file_v2 ฟังก์ชัน T-SQL หรือ OneLake Explorer

สําหรับฐานข้อมูล SQL ใน Fabric บันทึกการตรวจสอบจะถูกเก็บไว้ใน OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

บันทึกเหล่านี้ไม่สามารถเปลี่ยนแปลงได้และเข้าถึงได้โดยผู้ใช้ที่มีสิทธิ์ที่เหมาะสม นอกจากนี้ยังสามารถดาวน์โหลดบันทึกโดยใช้ OneLake Explorer หรือ Azure Storage Explorer

ตัวเลือกการกําหนดค่า

ตามค่าเริ่มต้น การตรวจสอบ ตัวเลือก ตรวจสอบทุกอย่าง จะบันทึกเหตุการณ์ทั้งหมด รวมถึง: การเสร็จสิ้นเป็นชุดงานและการรับรองความถูกต้องที่สําเร็จและล้มเหลว

หากต้องการเลือกมากขึ้น ให้เลือกจากสถานการณ์การตรวจสอบที่กําหนดค่าไว้ล่วงหน้า เช่น การเปลี่ยนแปลงสิทธิ์ & ความพยายามในการเข้าสู่ระบบ การอ่านและเขียนข้อมูล และ/หรือการเปลี่ยนแปลง Schema

สถานการณ์ที่กําหนดค่าไว้ล่วงหน้าแต่ละสถานการณ์จะแมปกับกลุ่มการดําเนินการตรวจสอบที่เฉพาะเจาะจง (ตัวอย่างเช่น SCHEMA_OBJECT_ACCESS_GROUP, , ) DATABASE_PRINCIPAL_CHANGE_GROUP คุณยังสามารถเลือกเหตุการณ์ที่จะตรวจสอบได้ภายใต้เหตุการณ์ที่กําหนดเอง ผู้ใช้ขั้นสูงสามารถเลือกกลุ่มการดําเนินการแต่ละกลุ่มเพื่อปรับแต่งการตรวจสอบตามความต้องการของตนได้ เหมาะสําหรับลูกค้าที่มีนโยบายความปลอดภัยภายในที่เข้มงวด

หากต้องการกรองคิวรีการเข้าถึงทั่วไปหรือที่รู้จัก คุณสามารถระบุนิพจน์เพรดิเคตใน Transact-SQL (T-SQL) เพื่อกรองเหตุการณ์การตรวจสอบตามเงื่อนไข (ตัวอย่างเช่น เพื่อยกเว้นคําสั่ง SELECT): WHERE statement NOT LIKE '%select%'

การอนุญาต

ในการจัดการการตรวจสอบโดยใช้บทบาทพื้นที่ทํางาน Fabric (แนะนํา) ผู้ใช้ต้องมีการเป็นสมาชิกในบทบาท ผู้สนับสนุน พื้นที่ทํางาน Fabric หรือสิทธิ์ที่สูงกว่า

วิธีจัดการการตรวจสอบด้วยสิทธิ์ SQL

  • ในการกําหนดค่าการตรวจสอบฐานข้อมูล ผู้ใช้ต้องมีสิทธิ์ ALTER ANY DATABASE AUDIT
  • เมื่อต้องการดูบันทึกการตรวจสอบโดยใช้ T-SQL ผู้ใช้ต้องมีสิทธิ์ VIEW DATABASE SECURITY AUDIT

Retention

โดยค่าเริ่มต้น ข้อมูลการตรวจสอบจะถูกเก็บไว้อย่างไม่มีกําหนด คุณสามารถกําหนดค่าระยะเวลาการเก็บรักษาที่กําหนดเองได้ในส่วนลบบันทึกโดยอัตโนมัติหลังจากระยะเวลานี้

กําหนดค่าการตรวจสอบสําหรับฐานข้อมูล SQL จากพอร์ทัล Fabric

ในการเริ่มต้นการตรวจสอบฐานข้อมูล Fabric SQL:

  1. นําทางไปยังและเปิดฐานข้อมูล SQL ของคุณในพอร์ทัล Fabric
  2. จากเมนูหลัก ให้เลือกแท็บ ความปลอดภัย จากนั้นเลือก จัดการการตรวจสอบ SQL สกรีนช็อตจากพอร์ทัล Fabric ที่แสดงแท็บ ความปลอดภัย และปุ่ม จัดการการตรวจสอบ SQL
  3. บานหน้าต่าง จัดการการตรวจสอบ SQL จะเปิดขึ้น
  4. เลือกปุ่ม บันทึกเหตุการณ์ไปยังบันทึกการตรวจสอบ SQL เพื่อเปิดใช้งานการตรวจสอบ
  5. กําหนดค่าเหตุการณ์ที่จะบันทึกในส่วนเหตุการณ์ฐานข้อมูล เลือก ตรวจสอบทุกอย่าง (ค่าเริ่มต้น) เพื่อบันทึกเหตุการณ์ทั้งหมด
  6. หรือกําหนดค่านโยบายการเก็บรักษาในส่วนการเก็บรักษา
  7. หรือกําหนดค่านิพจน์เพรดิเคตของคําสั่ง T-SQL เพื่อละเว้นในฟิลด์นิพจน์เพรดิเคต
  8. เลือก บันทึก

บันทึกการตรวจสอบคิวรี

บันทึกการตรวจสอบสามารถสืบค้นได้โดยใช้ฟังก์ชัน T-SQL sys.fn_get_audit_file และ sys.fn_get_audit_file_v2

ในสคริปต์ต่อไปนี้ คุณต้องระบุรหัสพื้นที่ทํางานและรหัสฐานข้อมูล ทั้งสองสามารถพบได้ใน URL จากพอร์ทัล Fabric ตัวอย่างเช่น: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id> สตริงตัวระบุที่ไม่ซ้ํากันแรกใน URL คือ ID พื้นที่ทํางาน Fabric และสตริงตัวระบุที่ไม่ซ้ํากันที่สองคือ ID ฐานข้อมูล SQL

  • แทนที่ <fabric_workspace_id> ด้วยรหัสพื้นที่ทํางาน Fabric ของคุณ คุณสามารถ ค้นหา ID ของพื้นที่ทํางาน ได้อย่างง่ายดายใน URL ซึ่งเป็นสตริงที่ไม่ซ้ํากันภายในสอง / อักขระหลังจาก /groups/ ในหน้าต่างเบราว์เซอร์ของคุณ
  • แทนที่ <fabric sql database id> ด้วยฐานข้อมูล SQL ของคุณในรหัสฐานข้อมูล Fabric คุณสามารถค้นหา ID ของรายการฐานข้อมูลได้อย่างง่ายดายใน URL ซึ่งเป็นสตริงที่ไม่ซ้ํากันภายในอักขระสอง / ตัวหลังจาก /sqldatabases/ ในหน้าต่างเบราว์เซอร์ของคุณ

เช่น:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

ตัวอย่างนี้ดึงข้อมูลบันทึกการตรวจสอบระหว่าง 2025-11-17T08:40:40Z และ2025-11-17T09:10:40Z

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

สําหรับข้อมูลเพิ่มเติม โปรดดู sys.fn_get_audit_file และ sys.fn_get_audit_file_v2

เนื้อหาที่เกี่ยวข้อง

  • Last updated on