Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:✅ SQL-Analyseendpunkt und Warehouse in Microsoft Fabric
Die Überwachung in Fabric Data Warehouse bietet erweiterte Sicherheits- und Compliancefunktionen durch Nachverfolgen und Aufzeichnen von Datenbankereignissen.
Mit SQL-Überwachungsprotokollen können Sie Datenbankaktivitäten überwachen, potenzielle Sicherheitsbedrohungen erkennen und Complianceanforderungen erfüllen, indem Sie einen Überwachungspfad mit wichtigen Aktionen verwalten, z. B.:
- Authentifizierungsversuche und Zugriffssteuerungsänderungen
- Datenzugriffs- und Änderungsvorgänge
- Schemaänderungen und administrative Aktivitäten
- Berechtigungsänderungen und Sicherheitskonfigurationen
Wichtig
SQL-Überwachungsprotokolle sind standardmäßig AUS. Benutzer mit der Berechtigung Überwachen von Abfragen müssen sie aktivieren, um die Protokolle zu erfassen.
Lesen Sie zunächst die Schritte zum Konfigurieren von SQL-Überwachungsprotokollen in Fabric Data Warehouse.
Lagerung
SQL-Überwachungsprotokolle werden im Ruhezustand verschlüsselt und in OneLake gespeichert.
Für Fabric Data Warehouse werden Überwachungsprotokolle in .XEL Dateien geschrieben, die im Lagerüberwachungsordner in OneLake gespeichert sind.
Benutzer mit den folgenden Rollen können auf den Überwachungsordner zugreifen:
- Arbeitsbereichsadministratoren
- Arbeitsbereichsmitglieder
- Mitwirkende im Arbeitsbereich
- Arbeitsbereichsbetrachter mit Leseberechtigung für alles
Diese Benutzer können:
- Durchsuchen Sie den Überwachungsordner
- Anzeigen der
.XELvon der SQL-Überwachung generierten Überwachungsdateien - Kopieren der Dateien für die Offlineanalyse
- Öffnen der Dateien mit Tools wie SQL Server Management Studio (SSMS)
Sie können auch Überwachungsprotokolle mit T-SQL über sys.fn_get_audit_file_v2 abfragen.
Anweisungen finden Sie unter So konfigurieren Sie SQL-Überwachungsprotokolle in Fabric Data Warehouse.
Tipp
Das Konfigurieren von Überwachungsprotokollen in Microsoft Fabric Data Warehouse kann die Speicherkosten abhängig von den aufgezeichneten Aktionsgruppen und Ereignissen erhöhen. Aktivieren Sie nur die erforderlichen Ereignisse, um unnötige Speicherkosten zu vermeiden.
Leistung
Das Feature für SQL-Überwachungsprotokolle ist für die Verfügbarkeit und Leistung der überwachten Datenbank optimiert. Während Zeiträumen mit sehr hoher Aktivität oder hoher Netzwerklast lässt das Überwachungsfeature möglicherweise die Durchführung von Transaktionen zu, ohne alle zur Überwachung markierten Ereignisse aufzuzeichnen.
Erlaubnisse
Benutzer müssen über die Berechtigung "Überwachungsabfragen" verfügen , um Überwachungsprotokolle zu konfigurieren und abzufragen.
- Standardmäßig verfügen Arbeitsbereichsadministratoren über die Berechtigung Überwachen von Abfragen für alle Elemente im Arbeitsbereich.
- Administratoren können die Berechtigung Überwachen von Abfragen für Elemente anderen Benutzern über das Freigabedialogfeld gewähren.
Die für die Arbeitsbereichsadministration zuständigen Personen können die Berechtigung Überwachen von Abfragen für ein Element mithilfe der Freigabemenüoption im Fabric-Portal erteilen. Um zu überprüfen, ob ein Benutzer über die Berechtigung Überwachen von Abfragen verfügt, überprüfen Sie die Einstellungen unter Berechtigungen verwalten.
Wählen Sie in Ihrem Lagerartikel die Schaltfläche " Freigeben " aus.
Oder, im Fabric-Portal, in Ihrem Arbeitsbereich. Wählen Sie das
...Kontextmenü für Ihr Warehouse-Element aus, und wählen Sie "Berechtigungen verwalten" aus.Im Bereich "Personenzugriff gewähren" können Sie einem Benutzer Berechtigungen erteilen.
Abfragen von Überwachungsprotokollen mit T-SQL-Berechtigungen
Benutzern kann auch die Möglichkeit gewährt werden, Überwachungsprotokolle über T-SQL-Berechtigungen abzufragen, indem sie die VIEW DATABASE SECURITY AUDIT Berechtigung erteilen, auch wenn sie keine Arbeitsbereichsverwaltungsrollen besitzen.
Die Gewährung der folgenden Berechtigung ermöglicht es einem Benutzer, Überwachungsprotokolle mithilfe der sys.fn_get_audit_file_v2 Funktion abzufragen:
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Tipp
Die VIEW DATABASE SECURITY AUDIT Berechtigung gewährt nur die Möglichkeit, Überwachungsprotokolle abzufragen und den Zugriff auf die Dateien oder den Benutzer nicht zuzulassen, um eine Änderung der Überwachungskonfiguration durchzuführen.
Überwachungsaktionsgruppen und -aktionen auf Datenbankebene
Um die Konfiguration von Überwachungsprotokollen zugänglicher zu gestalten, verwendet das Fabric-Portal benutzerfreundliche Namen, damit Nicht-SQL-Administratoren und andere Benutzer die erfassten Ereignisse im Fabric Data Warehouse leicht verstehen können.
Fabric ordnet diese freundlichen Namen den zugrunde liegenden SQL-Überwachungsaktionsgruppen zu. Verwenden Sie die folgende Tabelle als Referenz.
| Freundlicher Name | Name der Aktionsgruppe | BESCHREIBUNG |
|---|---|---|
| Auf das Objekt wurde zugegriffen | DATABASE_OBJECT_ACCESS_GROUP |
Protokolliert den Zugriff auf Datenbankobjekte wie Nachrichtentypen, Assemblys oder Verträge. |
| Objekt wurde geändert | DATABASE_OBJECT_CHANGE_GROUP |
Protokolliert CREATE-, ALTER- oder DROP-Vorgänge für Datenbankobjekte. |
| Objektbesitzer geändert | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Protokolliert Besitzeränderungen von Datenbankobjekten. |
| Objektberechtigung wurde geändert | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Protokolliert GRANT-, REVOKE- oder DENY-Aktionen für Datenbankobjekte. |
| Der Benutzer wurde geändert. | DATABASE_PRINCIPAL_CHANGE_GROUP |
Protokolliert das Erstellen, Ändern oder Löschen von Datenbankprinzipalen (Benutzer, Rollen). |
| Der Benutzer wurde imitiert. | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Protokolliert Identitätswechselvorgänge (z. B. EXECUTE AS). |
| Das Rollenmitglied wurde geändert | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Protokolliert das Hinzufügen oder Entfernen von Anmeldungen aus einer Datenbankrolle. |
| Fehler beim Anmelden des Benutzers. | FAILED_DATABASE_AUTHENTICATION_GROUP |
Protokolliert fehlgeschlagene Authentifizierungsversuche innerhalb der Datenbank. |
| Die Schema-Berechtigung wurde verwendet | SCHEMA_OBJECT_ACCESS_GROUP |
Protokolliert den Zugriff auf Schemaobjekte. |
| Schema wurde geändert | SCHEMA_OBJECT_CHANGE_GROUP |
Protokolliert CREATE-, ALTER- oder DROP-Vorgänge in Schemas. |
| Schemaobjektberechtigung wurde überprüft | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Protokolliert Änderungen des Schemaobjektbesitzes. |
| Schemaobjektberechtigung wurde geändert | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Protokolliert GRANT-, REVOKE- oder DENY-Aktionen für Schemaobjekte. |
| Batch wurde abgeschlossen | BATCH_COMPLETED_GROUP |
Dieses Ereignis wird ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgänge abgeschlossen wird. |
| Batch wurde gestartet | BATCH_STARTED_GROUP |
Dieses Ereignis wird ausgelöst, wenn die Ausführung von Batchtexten, gespeicherten Prozeduren oder Transaktionverwaltungsvorgänge begonnen wird. |
| Die Überwachung wurde geändert. | AUDIT_CHANGE_GROUP |
Das Ereignis wird ausgelöst, wenn eine Prüfung erstellt, geändert oder gelöscht wird. |
| Benutzer abgemeldet | DATABASE_LOGOUT_GROUP |
Dieses Ereignis wird ausgelöst, wenn sich ein Datenbankbenutzer bei einer Datenbank abmeldet. |
| Angemeldeter Benutzer | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Gibt an, dass ein Prinzipal erfolgreich bei einer Datenbank angemeldet wurde. |
Überwachungsaktionen auf Datenbankebene
Zusätzlich zu Aktionsgruppen können Sie einzelne Überwachungsaktionen so konfigurieren, dass bestimmte Datenbankereignisse protokolliert werden:
| Überwachungsaktion | BESCHREIBUNG |
|---|---|
SELECT |
Protokolliert SELECT-Anweisungen für ein angegebenes Objekt. |
INSERT |
Protokolliert INSERT-Vorgänge für ein angegebenes Objekt. |
UPDATE |
Protokolliert UPDATE-Vorgänge für ein angegebenes Objekt. |
DELETE |
Protokolliert DELETE-Vorgänge für ein angegebenes Objekt. |
EXECUTE |
Protokolliert die Ausführung gespeicherter Prozeduren oder Funktionen. |
RECEIVE |
Protokolliert RECEIVE-Vorgänge in Service Broker-Warteschlangen. |
REFERENCES |
Protokolliert Berechtigungsprüfungen mit Fremdschlüsseleinschränkungen. |
Einschränkungen
- Ihr Standardarbeitsbereich unterstützt keine SQL-Überwachungsprotokolle.
- SQL-Überwachungsprotokolle werden für Lagermomentaufnahmen nicht unterstützt.
Wichtig
Überwachungsprotokolle werden innerhalb des Lagerelements in OneLake gespeichert. Wenn Sie das Warehouse löschen, löschen Sie auch die zugehörigen Überwachungsprotokolldateien und können nicht mehr darauf zugreifen.
Um Überwachungsprotokolle für Compliance- oder Untersuchungszwecke aufzubewahren, kopieren Sie die .XEL Dateien an einen anderen Speicherort, bevor Sie das Warehouse löschen.
Einschränkungen bei Endpunkten der SQL-Analyse
Die folgenden Einschränkungen gelten beim Überwachen von SQL-Analyseendpunkten:
- DML-Vorgänge werden nicht erfasst. Das Audit zeichnet keine Vorgänge wie
INSERT,UPDATE,DELETEundMERGEauf, da die Datenmanipulation für Lakehouse-Tabellen über die Lakehouse-Laufzeitumgebung und nicht über den SQL-Analyseendpunkt erfolgt. - Der direkte Zugriff auf den Überwachungsordner wird derzeit nicht unterstützt. Benutzer können die zugrunde liegenden
.XELÜberwachungsdateien nicht aus dem Lakehouse-Überwachungsordner durchsuchen oder herunterladen.
Sie können weiterhin Überwachungsereignisse für SQL-Analyseendpunkte mit der T-SQL-Funktion sys.fn_get_audit_file_v2abfragen.