Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Koskee:✅ SQL-analytiikan päätepiste ja Microsoft Fabric -varasto
Valvonta Fabric Data Warehousessa tarjoaa parannettuja suojaus- ja yhteensopivuusominaisuuksia seuraamalla ja tallentamalla tietokantatapahtumia.
SQL-auditointilokien avulla voit seurata tietokantatoimintoja, havaita mahdollisia tietoturvauhkia ja täyttää vaatimustenmukaisuusvaatimukset ylläpitämällä tarkastusjälkiä keskeisistä toiminnoista, kuten:
- Todennusyritykset ja käyttöoikeuksien valvonnan muutokset
- Tietojen käyttö- ja muokkaustoiminnot
- Rakenteen muutokset ja järjestelmänvalvojan toiminnot
- Käyttöoikeuksien muutokset ja suojausmääritykset
Tärkeää
SQL-valvontalokit ovat oletusarvoisesti OFF. Käyttäjien, joilla on Valvontakyselyt -käyttöoikeuksia, on otettava se käyttöön lokien sieppaamiseksi.
Aloittaaksesi tutustumalla ohjeeseen Kuinka konfiguroida SQL-auditointilokit Fabric Data Warehousessa.
Tallennus
SQL-auditointilokit on salattu lepotilassa ja tallennetaan OneLakeen.
Fabric Data Warehousessa auditointilokit kirjoitetaan tiedostoihin .XEL , jotka on tallennettu OneLake-varaston Audit-kansioon .
Seuraavat roolit omaavat käyttäjät voivat käyttää auditointikansiota:
- Työtilan ylläpitäjät
- Työtilan jäsenet
- Työtilan avustajat
- Työtilan katseluohjelmat, joissa on Lue kaikki -oikeus
Nämä käyttäjät voivat:
- Selaa Audit-kansiota
- Katso SQL-auditoinnin tuottamat
.XELauditointitiedostot - Kopioi tiedostot offline-analyysiä varten
- Avaa tiedostot työkaluilla kuten SQL Server Management Studio (SSMS).
Voit myös kysyä auditointilokkeja T-SQL:llä sys.fn_get_audit_file_v2:n kautta.
Katso ohjeet artikkelista SQL-valvontalokien määrittäminen Fabric Data Warehouse.
Vihje
Valvontalokien määrittäminen Microsoft Fabric Data Warehousessa voi kasvattaa tallennuskuluja tallennettujen toimintoryhmien ja tapahtumien mukaan. Ota käyttöön vain tarvittavat tapahtumat tarpeettomien tallennuskustannusten välttämiseksi.
Suorituskyky
SQL-auditointilokit on optimoitu auditoitavan tietokannan saatavuuden ja suorituskyvyn kannalta. Erittäin korkean aktiivisuuden tai korkean verkon kuormituksen aikana auditointiominaisuus voi mahdollistaa tapahtumien etenemisen ilman, että kaikki auditointiin merkityt tapahtumat tallennetaan.
Käyttöoikeudet
Käyttäjillä on oltava Audit Queries (Audit) -oikeus konfigurointiin ja kyselyihin.
- Oletusarvoisesti Työtilan järjestelmänvalvojilla on Audit queries oikeus kaikkiin työtilan kohteisiin.
- Järjestelmänvalvojat voivat jaa-valintaikkunan kautta myöntää Valvontakyselyt kohteiden käyttöoikeudet muille käyttäjille.
Työtilan järjestelmänvalvojat voivat myöntää Valvontakyselyt käyttöoikeudet kohteelle Fabric-portaalin jaetun valikkovaihtoehdon avulla. Jos haluat tarkistaa, onko käyttäjällä Audit queries -käyttöoikeudet, tarkista Käyttöoikeuksien -asetukset.
Valitse Varasto-tuotteestasi Jaa-painike.
Tai Fabric-portaalissa työtilassasi. Valitse
...Varasto-tuotteen kontekstivalikko, valitse Hallinnoi käyttöoikeuksia.Myönnä ihmisille pääsy -paneelissa voit myöntää käyttäjälle oikeuksia.
Audit-lokien kyselyt T-SQL-käyttöoikeuksilla
Käyttäjille voidaan myös myöntää oikeus kysyä auditointilokeja T-SQL-käyttöoikeuksien kautta VIEW DATABASE SECURITY AUDIT , vaikka heillä ei olisi työtilan ylläpitäjätehtäviä.
Seuraavan oikeuden myöntäminen mahdollistaa auditointilokien kyselyn toiminnon sys.fn_get_audit_file_v2 avulla:
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Vihje
Lupa VIEW DATABASE SECURITY AUDIT antaa vain mahdollisuuden kysellä auditointilokeja, eikä se salli tiedostojen tai käyttäjän tehdä muutoksia auditointikonfiguraatioon.
Tietokantatason valvontatoiminnot ja toiminnot
Jotta valvontalokin määritykset olisivat helpommin käytettävissä, Fabric-portaali käyttää kutsumanimiä, joiden avulla muut kuin SQL-järjestelmänvalvojat ja muut käyttäjät ymmärtävät helposti siepatut Fabric Data Warehouse -tapahtumat.
Fabric kartoittaa nämä ystävälliset nimet taustalla oleviin SQL Audit -toimintaryhmiin. Käytä seuraavaa taulukkoa viitteenä.
| Kutsumanimi | Toimintoryhmän nimi | Kuvaus |
|---|---|---|
| Objektia käytettiin | DATABASE_OBJECT_ACCESS_GROUP |
Kirjaa käyttöoikeuden tietokantaobjekteihin, kuten sanomatyyppeihin, kokoonpanoihin tai sopimuksiin. |
| Objekti on muutettu | DATABASE_OBJECT_CHANGE_GROUP |
Lokit, CREATE, ALTER- tai DROP toiminnot tietokantaobjekteissa. |
| Objektin omistaja vaihtunut | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Kirjaa tietokantaobjektien omistajuuden muutokset. |
| Objektin käyttöoikeutta on muutettu | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Lokit, GRANT, REVOKE- tai DENY toiminnot tietokantaobjekteissa. |
| Käyttäjä on vaihtunut | DATABASE_PRINCIPAL_CHANGE_GROUP |
Kirjaa tietokannan päänimien (käyttäjät, roolit) luomisen, muuttamisen tai poistamisen. |
| Käyttäjä tekeytyi toisena henkilönä | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Kirjaa tekeytymistoiminnot (esimerkiksi EXECUTE AS). |
| Rooli Jäsen on muutettu | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Kirjautuu yhteen tai poistetaan tietokantaroolista. |
| Käyttäjä ei pystynyt kirjautumaan sisään | FAILED_DATABASE_AUTHENTICATION_GROUP |
Lokit epäonnistuivat todennusyrityksissä tietokannan sisällä. |
| Kaavion käyttöoikeutta käytettiin | SCHEMA_OBJECT_ACCESS_GROUP |
Kirjaa rakenneobjektien käytön. |
| Skeemaa on muutettu | SCHEMA_OBJECT_CHANGE_GROUP |
Lokit, CREATE, ALTER, tai DROP toimintoja rakenteet. |
| Rakenneobjektin käyttöoikeus tarkistettiin | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Kirjaa objektin omistajuuden rakenteen muutokset. |
| Rakenneobjektin käyttöoikeutta muutettiin | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Lokit, GRANT, REVOKE, tai DENY rakenneobjekteissa. |
| Erä valmistui | BATCH_COMPLETED_GROUP |
Tämä tapahtuma syntyy aina, kun eräteksti, tallennettu toimintosarja tai tapahtumanhallintatoiminto suoritetaan loppuun. |
| Erä aloitettiin | BATCH_STARTED_GROUP |
Tämä tapahtuma syntyy aina, kun erätekstiä, tallennettua toimintosarjaa tai tapahtumanhallintatoimintoa aletaan suorittaa. |
| Tilintarkastusta muutettiin | AUDIT_CHANGE_GROUP |
Tämä tapahtuma käynnistetään aina, kun valvonta luodaan, sitä muokataan tai poistetaan. |
| Käyttäjä kirjautunut ulos | DATABASE_LOGOUT_GROUP |
Tämä tapahtuma ilmenee, kun tietokannan käyttäjä kirjautuu ulos tietokannasta. |
| Käyttäjä kirjautunut sisään | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Ilmaisee, että pääkäyttäjä on kirjautunut tietokantaan onnistuneesti. |
Tietokantatason valvontatoimet
Toimintaryhmien lisäksi voit konfiguroida yksittäisiä auditointitoimintoja kirjaamaan tiettyjä tietokantatapahtumia:
| Valvontatoimi | Kuvaus |
|---|---|
SELECT |
Lokit SELECT määritetyn objektin lausekkeet. |
INSERT |
Lokit INSERT määritetyn objektin toimintoja. |
UPDATE |
Lokit UPDATE määritetyn objektin toimintoja. |
DELETE |
Lokit DELETE määritetyn objektin toimintoja. |
EXECUTE |
Kirjaa tallennettujen toimintosarjojen tai funktioiden suorittamisen. |
RECEIVE |
Lokit RECEIVE Service Broker -jonoissa. |
REFERENCES |
Lokien käyttöoikeuksien tarkistus, joka koskee viiteavaimen rajoituksia. |
Rajoitukset
- Oletustyötilasi ei tue SQL-auditointilokeja.
- SQL-auditointilokit eivät ole tuettuja varaston snapshoteille.
Tärkeää
Auditointilokit tallennetaan OneLaken varastokohteeseen. Jos poistat Varaston, poistat myös siihen liittyvät auditointilokitiedostot etkä pääse niihin enää käsiksi.
Auditointilokien säilyttämiseksi vaatimustenmukaisuutta tai tutkintatarkoituksia varten kopioi tiedostot .XEL toiseen tallennuspaikkaan ennen varaston poistamista.
SQL-analytiikan päätepisteiden rajoitukset
Seuraavat rajoitukset koskevat SQL-analytiikan päätepisteiden auditointia:
- DML-operaatioita ei tallenneta. Auditointi ei tallenna operaatioita kuten
INSERT,UPDATE,DELETE, , jaMERGEkoska Lakehouse-taulukoiden tietojen käsittely tapahtuu Lakehouse-ajontimen kautta eikä SQL-analytiikan päätepisteen kautta. - Suora pääsy auditointikansioon ei tällä hetkellä ole tuettu. Käyttäjät eivät voi selata tai ladata taustalla
.XELolevia auditointitiedostoja Lakehouse-audit-kansiosta.
Voit edelleen kysyä auditointitapahtumia SQL-analytiikan päätepisteille T-SQL-funktiolla sys.fn_get_audit_file_v2.