Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:✅ SQL Analytics-endepunkt og Warehouse i Microsoft Fabric
Overvåking i Fabric Data Warehouse gir forbedrede sikkerhets- og samsvarsfunksjoner ved å spore og registrere databasehendelser.
Med SQL-revisjonslogger kan du overvåke databaseaktiviteter, oppdage potensielle sikkerhetstrusler og oppfylle samsvarskrav ved å opprettholde en revisjonsspor av viktige handlinger, som for eksempel:
- Godkjenningsforsøk og tilgangskontrollendringer
- Datatilgangs- og endringsoperasjoner
- Skjemaendringer og administrative aktiviteter
- Tillatelsesendringer og sikkerhetskonfigurasjoner
Important
Som standard er SQL-overvåkingslogger AV. Brukere med tillatelser for overvåkingsspørringer må aktivere den for å registrere loggene.
For å komme i gang, se gjennom trinnene i Hvordan konfigurere SQL-revisjonslogger i Fabric Data Warehouse.
Storage
SQL-revisjonslogger krypteres i ro og lagres i OneLake.
For Fabric Data Warehouse skrives revisjonslogger til .XEL filer lagret i mappen Warehouse Audit i OneLake.
Brukere med følgende roller kan få tilgang til revisjonsmappen:
- Workspace-administratorer
- Workspace-medlemmer
- Workspace-bidragsytere
- Arbeidsområdevisere med tillatelse til å lese alle
Disse brukerne kan:
- Bla gjennom revisjonsmappen
- Se revisjonsfilene
.XELgenerert av SQL-revisjon - Kopier filene for offline analyse
- Åpne filene med verktøy som SQL Server Management Studio (SSMS)
Du kan også søke i revisjonslogger med T-SQL via sys.fn_get_audit_file_v2.
Hvis du vil ha instruksjoner, kan du se Slik konfigurerer du SQL-overvåkingslogger i Fabric Data Warehouse.
Tip
Konfigurering av overvåkingslogger i Microsoft Fabric Data Warehouse kan øke lagringskostnadene avhengig av handlingsgrupper og hendelser som er registrert. Aktiver bare de nødvendige hendelsene for å unngå unødvendige lagringskostnader.
Ytelse
SQL-funksjonen for revisjonslogger er optimalisert for tilgjengelighet og ytelse til databasen som revideres. I perioder med svært høy aktivitet eller høy nettverksbelastning kan revisjonsfunksjonen tillate transaksjoner å fortsette uten å registrere alle hendelsene som er merket for revisjon.
Permissions
Brukere må ha tillatelse til revisjonsspørringer (revisjon) for å konfigurere og spørre i revisjonslogger.
- Som standard har administratorer for arbeidsområder tillatelsen Overvåkingsspørringer til alle elementer i arbeidsområdet.
- Administratorer kan gi tillatelser til overvåkingsspørringer på elementer til andre brukere via delingsdialogboksen.
Administratorer for arbeidsområder kan gi tillatelser til overvåkingsspørringer til et element ved hjelp av det delte menyalternativet i Fabric-portalen. Hvis du vil kontrollere om en bruker har tillatelser for overvåkingsspørringer , kontrollerer du innstillingene for Administrer tillatelser .
I lagervaren din, velg Del-knappen .
Eller, i Fabric-portalen, i arbeidsområdet ditt. Velg kontekstmenyen
...for lagervaren din, velg Administrer tillatelser.I panelet Gi folk tilgang kan du gi tillatelser til en bruker.
Spørring av revisjonslogger ved bruk av T-SQL-tillatelser
Brukere kan også få mulighet til å spørre i revisjonslogger gjennom T-SQL-tillatelser ved å gi tillatelsen VIEW DATABASE SECURITY AUDIT , selv om de ikke har administrative roller i arbeidsområdet.
Ved å gi følgende tillatelse kan en bruker spørre i revisjonslogger ved hjelp av funksjonen sys.fn_get_audit_file_v2 :
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Tip
Tillatelsen VIEW DATABASE SECURITY AUDIT gir kun mulighet til å spørre i revisjonslogger og gir ikke tilgang til filene eller brukeren til å utføre noen endring av revisjonskonfigurasjonen.
Overvåkingshandlingsgrupper og handlinger på databasenivå
For å gjøre konfigurasjonen av overvåkingsloggen mer tilgjengelig bruker Fabric-portalen egendefinerte navn for å hjelpe ikke-SQL-administratorer og andre brukere med å enkelt forstå registrerte Fabric Data Warehouse-hendelser.
Fabric kobler disse vennlige navnene til de underliggende SQL Audit-handlingsgruppene. Bruk tabellen nedenfor som referanse.
| Egendefinert navn | Handlingsgruppenavn | Description |
|---|---|---|
| Objektet ble åpnet | DATABASE_OBJECT_ACCESS_GROUP |
Logger tilgang til databaseobjekter som meldingstyper, samlinger eller kontrakter. |
| Objektet ble endret | DATABASE_OBJECT_CHANGE_GROUP |
Logger CREATE, ALTEReller DROP operasjoner på databaseobjekter. |
| Objekteier endret | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Logger eierskapsendringer for databaseobjekter. |
| Objekttillatelse ble endret | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Logger GRANT, REVOKEeller DENY handlinger på databaseobjekter. |
| Brukeren ble endret | DATABASE_PRINCIPAL_CHANGE_GROUP |
Logger oppretting, endring eller sletting av databasekontohavere (brukere, roller). |
| Brukeren ble etterlignet | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Logger representasjonsoperasjoner (for eksempel EXECUTE AS). |
| Rollemedlem ble endret | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Logger tillegg eller fjerning av pålogginger fra en databaserolle. |
| Brukeren kunne ikke logge på | FAILED_DATABASE_AUTHENTICATION_GROUP |
Logger mislyktes godkjenningsforsøk i databasen. |
| Skjematillatelse ble brukt | SCHEMA_OBJECT_ACCESS_GROUP |
Logger tilgang til skjemaobjekter. |
| Skjemaet ble endret | SCHEMA_OBJECT_CHANGE_GROUP |
Logger CREATE, ALTEReller DROP operasjoner på skjemaer. |
| Tillatelse for skjemaobjekt ble kontrollert | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Logger endringer i eierskap av skjemaobjekter. |
| Tillatelsen for skjemaobjekt ble endret | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Logger GRANT, REVOKEeller DENY handlinger på skjemaobjekter. |
| Batchen ble fullført | BATCH_COMPLETED_GROUP |
Denne hendelsen utløses når en satsvis tekst, lagret prosedyre eller transaksjonsbehandlingsoperasjon fullfører kjøringen. |
| Batch ble startet | BATCH_STARTED_GROUP |
Denne hendelsen utløses når en satsvis tekst, lagret prosedyre eller transaksjonsbehandlingsoperasjon begynner å kjøre. |
| Revisjonen ble endret | AUDIT_CHANGE_GROUP |
Denne hendelsen utløses hver gang en overvåking opprettes, endres eller slettes. |
| Bruker logget av | DATABASE_LOGOUT_GROUP |
Denne hendelsen utløses når en databasebruker logger av en database. |
| Bruker logget inn | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Angir at en kontohaver logget på en database. |
Overvåkingshandlinger på databasenivå
I tillegg til handlingsgrupper kan du konfigurere individuelle revisjonshandlinger for å logge spesifikke databasehendelser:
| Revisjon handling | Description |
|---|---|
SELECT |
Logger SELECT setninger på et angitt objekt. |
INSERT |
Logger INSERT operasjoner på et angitt objekt. |
UPDATE |
Logger UPDATE operasjoner på et angitt objekt. |
DELETE |
Logger DELETE operasjoner på et angitt objekt. |
EXECUTE |
Logger kjøring av lagrede prosedyrer eller funksjoner. |
RECEIVE |
Logger RECEIVE operasjoner i Service Broker-køer. |
REFERENCES |
Logger tillatelseskontroller som involverer sekundærnøkkelbetingelser. |
Limitations
- Ditt standard arbeidsområde støtter ikke SQL-revisjonslogger.
- SQL-revisjonslogger støttes ikke for warehouse-snapshots.
Important
Revisjonslogger lagres i varelageret i OneLake. Hvis du sletter Warehouse, sletter du også de tilhørende revisjonsloggfilene og får ikke tilgang til dem lenger.
For å beholde revisjonslogger for overholdelse eller undersøkelse, kopier filene .XEL til et annet lagringssted før du sletter lageret.
Begrensninger for SQL Analytics-endepunkt
Følgende begrensninger gjelder ved revisjon av SQL-analyseendepunkter:
- DML-operasjoner blir ikke fanget opp. Revisjonen registrerer ikke operasjoner som
INSERT,UPDATE, ,DELETEogMERGEfordi datamanipulering for Lakehouse-tabeller skjer gjennom Lakehouse-kjøretiden i stedet for gjennom SQL-analyse-endepunktet. - Direkte tilgang til revisjonsmappen støttes ikke for øyeblikket. Brukere kan ikke bla gjennom eller laste ned de underliggende
.XELrevisjonsfilene fra Lakehouse-revisjonsmappen.
Du kan fortsatt spørre revisjonshendelser for SQL-analyseendepunkter med T-SQL-funksjonen sys.fn_get_audit_file_v2.