Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:✅ endpoint di analisi SQL e magazzino dati in Microsoft Fabric
Il controllo nel Data Warehouse di Fabric offre funzionalità avanzate di sicurezza e conformità monitorando e registrando gli eventi del database.
Con i log di controllo SQL è possibile monitorare le attività del database, rilevare potenziali minacce alla sicurezza e soddisfare i requisiti di conformità mantenendo un audit trail delle azioni chiave, ad esempio:
- Tentativi di autenticazione e modifiche al controllo di accesso
- Operazioni di accesso e modifica dei dati
- Modifiche dello schema e attività amministrative
- Modifiche alle autorizzazioni e configurazioni di sicurezza
Importante
Per impostazione predefinita, i log di controllo SQL sono DISATTIVATI (OFF). Gli utenti con autorizzazioni di query di controllo devono abilitare questa funzionalità per acquisire i log.
Per iniziare, vedere la procedura descritta in Come configurare i log di controllo SQL in Fabric Data Warehouse.
Immagazzinamento
I log di controllo SQL vengono crittografati a riposo e archiviati in OneLake.
Per Fabric Data Warehouse, i log di controllo vengono scritti .XEL nei file archiviati nella cartella Audit in OneLake.
Gli utenti con i ruoli seguenti possono accedere alla cartella di controllo:
- Amministratori dello spazio di lavoro
- Membri dell'area di lavoro
- Workspace Collaboratori
- Visualizzatori dell'area di lavoro con autorizzazione Lettura completa
Questi utenti possono:
- Esplorare la cartella Audit
- Visualizzare i
.XELfile di controllo generati dal controllo SQL - Copiare i file per l'analisi offline
- Aprire i file con strumenti come SQL Server Management Studio (SSMS)
È anche possibile eseguire query sui log di controllo con T-SQL tramite sys.fn_get_audit_file_v2.
Per istruzioni, vedere Come configurare i log di controllo SQL nel Data Warehouse di Fabric.
Suggerimento
La configurazione dei log di controllo nel Data Warehouse di Microsoft Fabric può aumentare i costi di archiviazione a seconda dei gruppi di azioni e degli eventi registrati. Abilitare solo gli eventi necessari per evitare costi di archiviazione non necessari.
Performance
La funzionalità log di controllo SQL è ottimizzata per la disponibilità e le prestazioni del database controllato. Durante periodi di attività molto elevata o di carico di rete elevato la funzionalità di controllo potrebbe consentire alle transazioni di procedere senza registrare tutti gli eventi contrassegnati per il controllo.
Autorizzazioni
Gli utenti devono disporre dell'autorizzazione Audit queries (Audit) per configurare ed eseguire query sui log di controllo.
- Per impostazione predefinita, gli amministratori dell'area di lavoro dispongono del permesso di verifica delle query per tutti gli oggetti nell'area di lavoro.
- Gli amministratori possono concedere autorizzazioni per le verifiche delle query per gli elementi ad altri utenti tramite la finestra di dialogo Condividi.
Gli amministratori del workspace possono concedere autorizzazioni per le query di audit a un elemento utilizzando l'opzione di menu "condiviso" nel portale di Fabric. Per verificare se un utente dispone delle autorizzazioni per le query di audit, controllare le impostazioni di gestione delle autorizzazioni.
Nell'elemento Warehouse selezionare il pulsante Condividi .
Oppure, nel portale di Fabric, nel tuo spazio di lavoro. Seleziona il menu di scelta rapida per l'elemento
...Warehouse, seleziona Gestisci autorizzazioni.Nel riquadro Concedi l'accesso agli utenti è possibile concedere autorizzazioni a un utente.
Esecuzione di query sui log di controllo con autorizzazioni T-SQL
Agli utenti è anche possibile eseguire query sui log di controllo tramite autorizzazioni T-SQL concedendole l'autorizzazione, anche se non hanno ruoli amministrativi dell'area VIEW DATABASE SECURITY AUDIT di lavoro.
La concessione dell'autorizzazione seguente consente a un utente di eseguire query sui log di controllo usando la sys.fn_get_audit_file_v2 funzione :
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Suggerimento
L'autorizzazione VIEW DATABASE SECURITY AUDIT concede solo la possibilità di eseguire query sui log di controllo e non consente l'accesso ai file o all'utente per eseguire alcuna modifica della configurazione di controllo.
Azioni e gruppi di azioni di controllo a livello di database
Per rendere più accessibile la configurazione del log di controllo, il portale di Fabric usa nomi descrittivi per aiutare gli amministratori non SQL e altri utenti a comprendere facilmente gli eventi di Fabric Data Warehouse acquisiti.
Fabric esegue il mapping di questi nomi descrittivi ai gruppi di azioni di Controllo SQL sottostanti. Usare la tabella seguente come riferimento.
| Nome amichevole | Nome gruppo di azioni | Descrizione |
|---|---|---|
| Accesso all'oggetto | DATABASE_OBJECT_ACCESS_GROUP |
Registra l'accesso a oggetti di database come tipi di messaggi, assembly o contratti. |
| L'oggetto è stato modificato | DATABASE_OBJECT_CHANGE_GROUP |
Registra le operazioni CREATE, ALTER o DROP sugli oggetti di database. |
| Proprietario dell'oggetto modificato | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra le modifiche di proprietà degli oggetti di database. |
| Autorizzazione oggetto modificata | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra le azioni GRANT, REVOKE o DENY sugli oggetti di database. |
| L'utente è stato modificato | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra la creazione, la modifica o l'eliminazione di entità di database (utenti, ruoli). |
| L'utente è stato impersonato | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra le operazioni di impersonificazione, ad esempio EXECUTE AS. |
| Il membro del ruolo è stato cambiato | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra l'aggiunta o la rimozione di account di accesso da un ruolo del database. |
| L'utente non è riuscito ad accedere | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra tentativi di autenticazione non riusciti all'interno del database. |
| È stato utilizzato il permesso dello schema | SCHEMA_OBJECT_ACCESS_GROUP |
Registra l'accesso agli oggetti dello schema. |
| Schema modificato | SCHEMA_OBJECT_CHANGE_GROUP |
Registra le operazioni CREATE, ALTER o DROP sugli schemi. |
| Autorizzazione dell'oggetto dello schema verificata | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra le modifiche apportate alla proprietà dell'oggetto schema. |
| È stata modificata l'autorizzazione dell'oggetto dello schema | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra le azioni GRANT, REVOKE o DENY sugli oggetti dello schema. |
| Il batch è stato completato | BATCH_COMPLETED_GROUP |
Questo evento viene generato ogni volta che viene completata l'esecuzione di qualsiasi operazione di testo in batch, stored procedure o gestione delle transazioni. |
| Il batch è stato avviato. | BATCH_STARTED_GROUP |
Questo evento viene generato ogni volta che viene avviata l'esecuzione di qualsiasi operazione di gestione di testo, stored procedure o transazione in batch. |
| L'audit è stato modificato | AUDIT_CHANGE_GROUP |
Questo evento viene generato ogni volta che un controllo viene creato, modificato o eliminato. |
| Utente disconnesso | DATABASE_LOGOUT_GROUP |
Questo evento viene generato quando un utente del database si disconnette da un database. |
| Utente autenticato | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica che un'entità principale ha effettuato correttamente l'accesso a un database. |
Azioni di controllo a livello di database
Oltre ai gruppi di azioni, è possibile configurare singole azioni di controllo per registrare eventi di database specifici:
| Azione di controllo | Descrizione |
|---|---|
SELECT |
Registra le istruzioni SELECT su un oggetto specificato. |
INSERT |
Registra le istruzioni INSERT su un oggetto specificato. |
UPDATE |
Registra le istruzioni UPDATE su un oggetto specificato. |
DELETE |
Registra le istruzioni DELETE su un oggetto specificato. |
EXECUTE |
Registra l'esecuzione di stored procedure o funzioni. |
RECEIVE |
Registra le operazioni effettuate su RECEIVE nelle code di Service Broker. |
REFERENCES |
Registra i controlli delle autorizzazioni che coinvolgono vincoli della chiave esterna. |
Limitazioni
- L'area di lavoro predefinita non supporta i log di controllo SQL.
- I log di controllo SQL non sono supportati per gli snapshot del warehouse.
Importante
I log di controllo vengono archiviati all'interno dell'elemento Warehouse in OneLake. Se si elimina il warehouse, si eliminano anche i file di log di controllo associati e non è più possibile accedervi.
Per conservare i log di controllo a scopo di conformità o indagine, copiare i .XEL file in un altro percorso di archiviazione prima di eliminare il warehouse.
Limitazioni degli endpoint di analisi SQL
Quando si controllano gli endpoint di analisi SQL, si applicano le limitazioni seguenti:
- Le operazioni DML non vengono acquisite. Il controllo non registra operazioni come
INSERT,UPDATE,DELETEeMERGEperché la manipolazione dei dati per le tabelle Lakehouse avviene tramite il runtime Lakehouse anziché tramite l'endpoint di analisi SQL. - L'accesso diretto alla cartella di controllo non è attualmente supportato. Gli utenti non possono esplorare o scaricare i file di controllo sottostanti
.XELdalla cartella di controllo Lakehouse.
È comunque possibile eseguire query per gli eventi di controllo sugli endpoint di analisi SQL utilizzando la funzione T-SQL sys.fn_get_audit_file_v2.