Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:✅ ponto de extremidade de análise SQL e Warehouse no Microsoft Fabric
A auditoria no Data Warehouse do Fabric fornece recursos aprimorados de segurança e conformidade acompanhando e registrando eventos de banco de dados.
Com os logs de auditoria do SQL, você pode monitorar as atividades do banco de dados, detectar possíveis ameaças à segurança e atender aos requisitos de conformidade mantendo uma trilha de auditoria das principais ações, como:
- Tentativas de autenticação e alterações de controle de acesso
- Operações de acesso e modificação de dados
- Alterações de esquema e atividades administrativas
- Alterações de permissão e configurações de segurança
Importante
Por padrão, os logs de auditoria do SQL estão DESATIVADOS. Os usuários com permissões de consultas de auditoria devem habilitá-lo para capturar os logs.
Para começar, examine as etapas em Como configurar logs de auditoria do SQL no Fabric Data Warehouse.
Armazenamento
Os logs de auditoria do SQL são criptografados em repouso e armazenados no OneLake.
Para o Fabric Data Warehouse, os logs de auditoria são gravados em arquivos .XEL armazenados na Pasta de Auditoria do armazém no OneLake.
Os usuários com as seguintes funções podem acessar a pasta de auditoria:
- Administradores do workspace
- Membros do workspace
- Workspace Colaboradores
- Visualizadores da área de trabalho com permissão de leitura completa
Esses usuários podem:
- Navegar na pasta Auditoria
- Exibir os
.XELarquivos de auditoria gerados pela auditoria do SQL - Copiar os arquivos para análise offline
- Abra os arquivos com ferramentas como o SSMS (SQL Server Management Studio)
Você também pode consultar logs de auditoria com o T-SQL por meio de sys.fn_get_audit_file_v2.
Para obter instruções, consulte Como configurar logs de auditoria do SQL no Data Warehouse do Fabric.
Dica
Configurar logs de auditoria no Data Warehouse do Microsoft Fabric pode aumentar os custos de armazenamento dependendo dos grupos de ações e eventos registrados. Habilite apenas os eventos necessários para evitar custos de armazenamento desnecessários.
Performance
O recurso de logs de auditoria do SQL é otimizado para disponibilidade e desempenho do banco de dados que está sendo auditado. Em momentos de atividade muito intensa ou de grande carga na rede, o recurso de auditoria pode permitir que as transações prossigam sem efetuar o registro de todos os eventos marcados para auditoria.
Permissões
Os usuários devem ter a permissão Audit queries (Auditoria) para configurar e consultar os logs de auditoria.
- Por padrão, os Administradores do Workspace têm a permissão consultas de Auditoria para todos os itens no workspace.
- Os administradores podem conceder permissões de consultas de Auditoria em itens para outros usuários por meio da caixa de diálogo de compartilhamento.
Os administradores do workspace podem conceder permissões de consultas de Auditoria a um item usando a opção de menu compartilhado no portal do Fabric. Para verificar se um usuário tem permissões de consultas de Auditoria, verifique as configurações para Gerenciar Permissões.
No item do Warehouse, selecione o botão Compartilhar .
Ou, no portal do Fabric, em seu espaço de trabalho. Selecione o
...menu de contexto do item warehouse, selecione Gerenciar permissões.No painel Conceder acesso às pessoas , você pode conceder permissões a um usuário.
Consultando logs de auditoria usando permissões T-SQL
Os usuários também podem receber a capacidade de consultar registros de auditoria por meio de permissões T-SQL ao conceder a permissão VIEW DATABASE SECURITY AUDIT, mesmo que não tenham funções administrativas de espaço de trabalho.
A concessão da seguinte permissão permite que um usuário consulte logs de auditoria usando a sys.fn_get_audit_file_v2 função:
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Dica
A VIEW DATABASE SECURITY AUDIT permissão concede apenas a capacidade de consultar logs de auditoria e não permite o acesso aos arquivos ou ao usuário para executar qualquer modificação da configuração de auditoria.
Grupos e ações de auditoria em nível de banco de dados
Para tornar a configuração de log de auditoria mais acessível, o portal do Fabric usa nomes amigáveis para ajudar administradores não SQL e outros usuários a entender facilmente os eventos capturados do Fabric Data Warehouse.
O Fabric mapeia esses nomes amigáveis para os grupos de ações de Auditoria SQL subjacentes. Use a tabela a seguir como referência.
| Nome amigável | Nome do Grupo de Ações | Descrição |
|---|---|---|
| O objeto foi acessado | DATABASE_OBJECT_ACCESS_GROUP |
Registra o acesso a objetos de banco de dados, como tipos de mensagens, assemblies ou contratos. |
| O objeto foi alterado | DATABASE_OBJECT_CHANGE_GROUP |
Registra as operações CREATE, ALTER ou DROP em objetos de banco de dados. |
| Proprietário do objeto alterado | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra alterações de propriedade de objetos de banco de dados. |
| A permissão do objeto foi alterada | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra as ações GRANT, REVOKE ou DENY em objetos de banco de dados. |
| O usuário foi alterado | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra a criação, alteração ou exclusão de entidades de banco de dados (usuários, funções). |
| O usuário foi personificado | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra operações de impersonificação (como EXECUTE AS). |
| O membro da função foi alterado | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra a adição ou remoção de logons de uma função de banco de dados. |
| Falha do usuário ao fazer logon | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra falhas nas tentativas de autenticação no banco de dados. |
| A permissão de esquema foi usada | SCHEMA_OBJECT_ACCESS_GROUP |
Registra o acesso a objetos de esquema. |
| O esquema foi alterado | SCHEMA_OBJECT_CHANGE_GROUP |
Registra as operações CREATE, ALTER ou DROP em esquemas. |
| A permissão do objeto schema foi verificada | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra alterações na propriedade do objeto de esquema. |
| A permissão do objeto schema foi alterada | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra as ações GRANT, REVOKE ou DENY em objetos de esquema. |
| O lote foi concluído | BATCH_COMPLETED_GROUP |
Esse evento é gerado sempre que qualquer operação de lote de texto, procedimento armazenado ou de gerenciamento de transações conclui a execução. |
| O lote foi iniciado | BATCH_STARTED_GROUP |
Esse evento é gerado sempre que qualquer operação de lote de texto, procedimento armazenado ou gerenciamento de transações começa a ser executada. |
| A auditoria foi alterada | AUDIT_CHANGE_GROUP |
Esse evento é gerado sempre que uma auditoria for criada, modificada ou excluída. |
| Usuário deslogado | DATABASE_LOGOUT_GROUP |
Esse evento é gerado quando um usuário de banco de dados sai de um banco de dados. |
| Usuário conectado | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica que um principal acessou com sucesso um banco de dados. |
Ações de auditoria no nível do banco de dados
Além dos grupos de ações, você pode configurar ações de auditoria individuais para registrar eventos específicos do banco de dados:
| Ação de Auditoria | Descrição |
|---|---|
SELECT |
Registra declarações SELECT em um objeto especificado. |
INSERT |
Registra operações INSERT em um objeto especificado. |
UPDATE |
Registra operações UPDATE em um objeto especificado. |
DELETE |
Registra operações DELETE em um objeto especificado. |
EXECUTE |
Registra a execução de procedimentos ou funções armazenados. |
RECEIVE |
Registra operações RECEIVE nas filas do Service Broker. |
REFERENCES |
Registra verificações de permissão envolvendo restrições de chave estrangeira. |
Limitações
- Seu workspace padrão não dá suporte a logs de auditoria do SQL.
- Não há suporte para logs de auditoria do SQL para instantâneos de armazém.
Importante
Os logs de auditoria são armazenados no item Armazém no OneLake. Se você excluir o Warehouse, exclua também os arquivos de log de auditoria associados e não poderá mais acessá-los.
Para reter logs de auditoria para fins de conformidade ou investigação, copie os .XEL arquivos para outro local de armazenamento antes de excluir o Warehouse.
Limitações dos endpoints de análises do SQL
As seguintes limitações se aplicam na auditoria de endpoints de análise do SQL:
- As operações DML não são capturadas. A auditoria não registra operações como
INSERT,UPDATE,DELETE, eMERGEporque a manipulação de dados para tabelas Lakehouse ocorre por meio do runtime do Lakehouse e não pelo ponto de extremidade de análise do SQL. - No momento, não há suporte para acesso direto à pasta de auditoria. Os usuários não podem procurar ou baixar os arquivos de auditoria relacionados da pasta de auditoria Lakehouse.
Você ainda pode consultar eventos de auditoria para endpoints de analytics SQL com a função T-SQL sys.fn_get_audit_file_v2.