Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:✅ SQL Analytics-eindpunt en -magazijn in Microsoft Fabric
Auditing in Fabric Data Warehouse biedt verbeterde beveiligings- en nalevingsfuncties door databasegebeurtenissen bij te houden en vast te leggen.
Met SQL-auditlogboeken kunt u databaseactiviteiten bewaken, potentiële beveiligingsrisico's detecteren en voldoen aan nalevingsvereisten door een audittrail van belangrijke acties te onderhouden, zoals:
- Wijzigingen in verificatiepogingen en toegangsbeheer
- Bewerkingen voor gegevenstoegang en -wijziging
- Schemawijzigingen en beheeractiviteiten
- Machtigingswijzigingen en beveiligingsconfiguraties
Belangrijk
SQL-auditlogs zijn standaard UIT. Gebruikers met Audit queries machtigingen moeten het inschakelen om de logbestanden vast te leggen.
Raadpleeg de stappen in SQL-auditlogboeken configureren in Fabric Data Warehouse om aan de slag te gaan.
Opslag
SQL-auditlogboeken worden in rust versleuteld en opgeslagen in OneLake.
Voor Fabric Data Warehouse worden auditlogboeken geschreven naar .XEL bestanden die zijn opgeslagen in de map Audit van het magazijn in OneLake.
Gebruikers met de volgende rollen hebben toegang tot de auditmap:
- Werkruimtebeheerders
- Leden van de Werkruimte
- Bijdragers voor werkruimte
- Werkruimteviewers met de machtiging Volledige Leestoegang
Deze gebruikers kunnen:
- Bladeren in de map Audit
- De
.XELcontrolebestanden weergeven die zijn gegenereerd door SQL-controle - De bestanden voor offlineanalyse kopiëren
- Open de bestanden met hulpprogramma's zoals SQL Server Management Studio (SSMS)
U kunt ook query's uitvoeren op auditlogboeken met T-SQL via sys.fn_get_audit_file_v2.
Voor instructies, zie Hoe u SQL-auditlogboeken configureert in Fabric Data Warehouse.
Hint
Het configureren van auditlogboeken in Microsoft Fabric Data Warehouse kan de opslagkosten verhogen, afhankelijk van de actiegroepen en gebeurtenissen die zijn vastgelegd. Schakel alleen de vereiste gebeurtenissen in om onnodige opslagkosten te voorkomen.
Performance
De functie SQL-auditlogboeken is geoptimaliseerd voor beschikbaarheid en prestaties van de database die wordt gecontroleerd. Tijdens perioden van zeer hoge activiteit of een hoge netwerkbelasting kan de controlefunctie transacties toestaan zonder alle gebeurtenissen die zijn gemarkeerd voor controle op te nemen.
Machtigingen
Gebruikers moeten de machtiging Auditquery's (Audit) hebben om auditlogboeken te configureren en op te vragen.
- Standaard hebben werkruimtebeheerders toestemming voor Controlequery's op alle items in de werkruimte.
- Beheerders kunnen machtigingen voor auditqueries aan andere gebruikers verlenen via het dialoogvenster voor delen.
Werkruimtebeheerders kunnen auditquery's-machtigingen verlenen aan een item via de optie "gedeeld menu" in de Fabric-portal. Als u wilt controleren of een gebruiker auditvragen machtigingen heeft, controleert u de Machtigingen beheren instellingen.
Selecteer in uw magazijnitem de knop Delen .
Of, in de Fabric-portal, in uw werkruimte. Selecteer het
...contextmenu voor uw magazijnitem en selecteer Machtigingen beheren.In het deelvenster Personen toegang verlenen kunt u machtigingen verlenen aan een gebruiker.
Query's uitvoeren op auditlogboeken met T-SQL-machtigingen
Gebruikers kunnen ook de mogelijkheid krijgen om auditlogboeken op te vragen via T-SQL-machtigingen door de VIEW DATABASE SECURITY AUDIT machtiging te verlenen, zelfs als ze geen beheerdersrollen voor werkruimten hebben.
Door de volgende machtiging te verlenen, kan een gebruiker query's uitvoeren op auditlogboeken met behulp van de sys.fn_get_audit_file_v2 functie:
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Hint
De VIEW DATABASE SECURITY AUDIT machtiging verleent alleen de mogelijkheid om auditlogboeken op te vragen en staat geen toegang toe tot de bestanden of de gebruiker om een wijziging van de controleconfiguratie uit te voeren.
Controleactiegroepen en -acties op databaseniveau
Om de configuratie van auditlogboeken toegankelijker te maken, gebruikt de Fabric-portal beschrijvende namen om niet-SQL-beheerders en andere gebruikers gemakkelijk inzicht te geven in vastgelegde Fabric Data Warehouse-gebeurtenissen.
Fabric wijst deze gebruiksvriendelijke namen toe aan de onderliggende SQL Audit actiegroepen. Gebruik de volgende tabel als referentie.
| Vriendelijke naam | Naam van actiegroep | Beschrijving |
|---|---|---|
| Toegang verkregen tot object | DATABASE_OBJECT_ACCESS_GROUP |
Registreert toegang tot databaseobjecten, zoals berichttypen, assemblages of contracten. |
| Object is veranderd | DATABASE_OBJECT_CHANGE_GROUP |
Registreert CREATE, ALTER, of DROP operaties op databaseobjecten. |
| Objecteigenaar gewijzigd | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registreert eigendomswijzigingen van databaseobjecten. |
| Objecttoestemming is gewijzigd | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registreert GRANT, REVOKE, of DENY acties voor databaseobjecten. |
| Gebruiker is gewijzigd | DATABASE_PRINCIPAL_CHANGE_GROUP |
Logboeken maken, wijzigen of verwijderen van database-principals (gebruikers, rollen). |
| Gebruiker is geïmiteerd | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registreert imitatiebewerkingen (zoals EXECUTE AS). |
| Rolleden is gewijzigd | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registreert het toevoegen of verwijderen van aanmeldingen uit een databaserol. |
| Gebruiker kan zich niet aanmelden | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registreert mislukte verificatiepogingen in de database. |
| Schemamachtiging is gebruikt | SCHEMA_OBJECT_ACCESS_GROUP |
Registreert toegang tot schemaobjecten. |
| Schema is gewijzigd | SCHEMA_OBJECT_CHANGE_GROUP |
Registreert CREATE, ALTER of DROP bewerkingen op schema's. |
| Machtiging voor schemaobject is gecontroleerd | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registreert wijzigingen in het eigendom van schemaobjecten. |
| Machtiging voor schemaobject is gewijzigd | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Logt GRANT, REVOKE, of DENY acties op schemaobjecten. |
| Batch is voltooid | BATCH_COMPLETED_GROUP |
Deze gebeurtenis wordt gegenereerd wanneer een batchtekst, opgeslagen procedure of transactiebeheerbewerking wordt uitgevoerd. |
| De batch is gestart | BATCH_STARTED_GROUP |
Deze gebeurtenis wordt gegenereerd wanneer een batchtekst, opgeslagen procedure of transactiebeheerbewerking wordt uitgevoerd. |
| De audit is gewijzigd | AUDIT_CHANGE_GROUP |
Deze gebeurtenis wordt gegenereerd wanneer een controle wordt gemaakt, gewijzigd of verwijderd. |
| Gebruiker afgemeld | DATABASE_LOGOUT_GROUP |
Deze gebeurtenis wordt gegenereerd wanneer een databasegebruiker zich afmeldt bij een database. |
| Gebruiker ingelogd | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Geeft aan dat een principal is aangemeld bij een database. |
Controleacties op databaseniveau
Naast actiegroepen kunt u afzonderlijke controleacties configureren om specifieke databasegebeurtenissen te registreren:
| Controleactie | Beschrijving |
|---|---|
SELECT |
Registreert SELECT verklaringen op een opgegeven object. |
INSERT |
Registreert INSERT bewerkingen op een opgegeven object. |
UPDATE |
Registreert UPDATE bewerkingen op een opgegeven object. |
DELETE |
Registreert DELETE bewerkingen op een opgegeven object. |
EXECUTE |
Registreert de uitvoering van opgeslagen procedures of functies. |
RECEIVE |
Registreert RECEIVE bewerkingen op Service Broker-wachtrijen. |
REFERENCES |
Registreert machtigingscontroles met betrekking tot vreemde-sleutelbeperkingen. |
Beperkingen
- Uw standaardwerkruimte biedt geen ondersteuning voor SQL-auditlogboeken.
- SQL-auditlogboeken worden niet ondersteund voor momentopnamen van het magazijn.
Belangrijk
Auditlogboeken worden opgeslagen in het magazijnitem in OneLake. Als u het magazijn verwijdert, verwijdert u ook de bijbehorende auditlogboekbestanden en hebt u er geen toegang meer toe.
Als u auditlogboeken wilt bewaren voor nalevings- of onderzoeksdoeleinden, kopieert u de .XEL bestanden naar een andere opslaglocatie voordat u het magazijn verwijdert.
Beperkingen voor SQL Analytics-eindpunten
De volgende beperkingen gelden voor het controleren van SQL Analytics-eindpunten:
- DML-bewerkingen worden niet vastgelegd. De audit registreert geen bewerkingen zoals
INSERT,UPDATE,DELETE, enMERGEomdat gegevensbewerkingen voor Lakehouse-tabellen plaatsvinden via de Lakehouse-runtime in plaats van via het SQL-analyse-eindpunt. - Directe toegang tot de auditmap wordt momenteel niet ondersteund. Gebruikers kunnen de onderliggende
.XELauditbestanden niet uit de Lakehouse-auditmap doorzoeken of downloaden.
U kunt nog steeds query's uitvoeren op controlegebeurtenissen voor SQL-analyse-eindpunten met de T-SQL-functie sys.fn_get_audit_file_v2.
Volgende stap
SQL-auditlogs configureren in Fabric Data Warehouse