Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:✅ конечная точка аналитики SQL и хранилище в Microsoft Fabric
Аудит в хранилище данных Fabric обеспечивает расширенные возможности безопасности и соответствия требованиям путем отслеживания и записи событий базы данных.
С помощью журналов аудита SQL можно отслеживать действия базы данных, обнаруживать потенциальные угрозы безопасности и соответствовать требованиям соответствия, сохраняя путь аудита ключевых действий, таких как:
- Попытки проверки подлинности и изменения управления доступом
- Операции доступа к данным и изменения
- Изменения схемы и административные действия
- Изменения разрешений и конфигурации безопасности
Это важно
По умолчанию журналы аудита SQL выключены. Пользователи с разрешениями для запросов аудита должны включить функцию записи журналов.
Чтобы приступить к работе, ознакомьтесь с инструкциями по настройке журналов аудита SQL в хранилище данных Fabric.
Хранение
Журналы аудита SQL шифруются в состоянии покоя и хранятся в OneLake.
Для хранилища данных Fabric журналы аудита записываются в файлы, которые хранятся в папке Audit хранилища в OneLake.
Пользователи со следующими ролями могут получить доступ к папке аудита:
- Администраторы рабочей области
- Члены рабочей области
- Участники рабочей области
- Просмотрщики рабочих областей с разрешением "Чтение всех"
Эти пользователи могут:
- Обзор папки "Аудит"
- Просмотрите файлы аудита, созданные при помощи
.XELSQL-аудита - Скопируйте файлы для автономного анализа
- Откройте файлы с такими инструментами, как SQL Server Management Studio (SSMS)
Журналы аудита также можно запрашивать с помощью T-SQL с помощью sys.fn_get_audit_file_v2.
Инструкции см. в разделе Настройка журналов аудита SQL вхранилища данных Fabric.
Подсказка
Настройка журналов аудита в хранилище данных Microsoft Fabric может увеличить затраты на хранение в зависимости от групп действий и событий, записанных. Включите только необходимые события, чтобы избежать ненужных затрат на хранение.
Производительность
Функция журналов аудита SQL оптимизирована для доступности и производительности аудита базы данных. В периоды очень высокой активности или высокой сетевой нагрузки функция аудита может позволить транзакциям продолжаться без записи всех событий, помеченных для аудита.
Разрешения
У пользователей должно быть разрешение на запросы аудита (аудит) для настройки и запроса журналов аудита.
- По умолчанию администраторы пространства имеют разрешение на запросы аудита для всех элементов в рабочей области.
- Администраторы могут предоставлять разрешения на аудиторские запросы для элементов другим пользователям через диалоговое окно "Общий доступ."
Администраторы рабочей области могут предоставлять разрешения на запросы аудита для элемента с помощью опции общего меню на портале Fabric. Чтобы проверить, есть ли у пользователя разрешения на запросы аудита , проверьте настройки управления разрешениями .
В элементе "Склад" выберите кнопку Общий доступ.
Или на портале Fabric в вашей рабочей области. Выберите контекстное
...меню для элемента хранилища, выберите пункт "Управление разрешениями".В области предоставления доступа пользователям можно предоставить разрешения пользователю.
Запрос журналов аудита с помощью разрешений T-SQL
Пользователям также может быть предоставлена возможность запрашивать журналы аудита с помощью разрешений T-SQL, предоставив VIEW DATABASE SECURITY AUDIT разрешение, даже если у них нет административных ролей рабочей области.
Предоставление следующего разрешения позволяет пользователю запрашивать журналы аудита с помощью sys.fn_get_audit_file_v2 функции:
GRANT VIEW DATABASE SECURITY AUDIT TO [user];
Подсказка
Разрешение VIEW DATABASE SECURITY AUDIT предоставляет только возможность запрашивать журналы аудита и не разрешает доступ к файлам или пользователю для изменения конфигурации аудита.
Группы действий и действия аудита на уровне базы данных
Чтобы сделать конфигурацию журнала аудита более доступной, портал Fabric использует понятные имена, чтобы помочь администраторам без SQL и другим пользователям легко понять захваченные события хранилища данных Fabric.
Структура сопоставляет эти понятные имена с базовыми группами действий аудита SQL. Используйте следующую таблицу для справки.
| Дружественное имя | Имя группы действий | Описание |
|---|---|---|
| Объект был доступен | DATABASE_OBJECT_ACCESS_GROUP |
Регистрирует доступ к объектам базы данных, таким как типы сообщений, сборки или контракты. |
| Объект был изменен | DATABASE_OBJECT_CHANGE_GROUP |
Регистрирует операции CREATE, ALTERили DROP с объектами базы данных. |
| Изменен владелец объекта | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Регистрирует изменения владения объектами базы данных. |
| Изменено разрешение объекта | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Журналирует действия GRANT, REVOKEили DENY на объектах базы данных. |
| Пользователь был изменен | DATABASE_PRINCIPAL_CHANGE_GROUP |
Журналы создания, изменения или удаления субъектов базы данных (пользователи, роли). |
| Пользователь был выдан за другого | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Регистрирует операции имперсонации (например, EXECUTE AS). |
| Участник роли был изменен | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Выполняется журналирование добавления или удаления учётных записей к роли базы данных. |
| Пользователь не удалось войти в систему | FAILED_DATABASE_AUTHENTICATION_GROUP |
Фиксирует неудачные попытки проверки подлинности в базе данных. |
| Было использовано разрешение схемы | SCHEMA_OBJECT_ACCESS_GROUP |
Регистрирует доступ к объектам схемы. |
| Изменена схема | SCHEMA_OBJECT_CHANGE_GROUP |
Осуществляется логирование операций CREATE, ALTERили DROP по схемам. |
| Проверено разрешение объекта схемы | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Записывает изменения в отношении владения объектами схемы. |
| Изменено разрешение объекта схемы | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Журналы действий GRANT, REVOKEили DENY на объектах схемы. |
| Пакет был завершен | BATCH_COMPLETED_GROUP |
Это событие возникает каждый раз, когда завершается выполнение любой операции текстового пакета, хранимой процедуры или управления транзакциями. |
| Партия была запущена | BATCH_STARTED_GROUP |
Это событие возникает каждый раз, когда запускается выполнение любого пакетного текстового задания, хранимой процедуры или операции управления транзакциями. |
| Аудит был изменен | AUDIT_CHANGE_GROUP |
Это событие возникает при каждом создании, изменении или удалении любого аудита. |
| Пользователь вышел из системы | DATABASE_LOGOUT_GROUP |
Это событие возникает, когда пользователь базы данных выходит из базы данных. |
| Вход пользователя | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Указывает, что пользователь успешно вошел в базу данных. |
Действия аудита на уровне базы данных
Помимо групп действий можно настроить отдельные действия аудита для регистрации определенных событий базы данных:
| Действие аудита | Описание |
|---|---|
SELECT |
Регистрирует выражения SELECT для указанного объекта. |
INSERT |
Регистрирует операции INSERT на указанном объекте. |
UPDATE |
Регистрирует операции UPDATE на указанном объекте. |
DELETE |
Регистрирует операции DELETE на указанном объекте. |
EXECUTE |
Регистрирует выполнение хранимых процедур или функций. |
RECEIVE |
Журнализирует RECEIVE операцию в очередях Service Broker. |
REFERENCES |
Ведёт журналы проверок разрешений, связанных с ограничениями внешнего ключа. |
Ограничения
- Рабочая область по умолчанию не поддерживает журналы аудита SQL.
- Журналы аудита SQL не поддерживаются для моментальных снимков хранилища.
Это важно
Журналы аудита хранятся в элементе 'Хранилище' в OneLake. Если удалить хранилище, вы также удалите связанные файлы журнала аудита и больше не сможете получить к ним доступ.
Чтобы сохранить журналы аудита в целях соответствия требованиям или исследования, скопируйте .XEL файлы в другое место хранения перед удалением хранилища.
Ограничения конечных точек аналитики SQL
Следующие ограничения применяются при аудите конечных точек аналитики SQL:
- Операции DML не записываются. Аудит не записывает такие операции, как
INSERT,UPDATEDELETEиMERGEпоскольку обработка данных для таблиц Lakehouse происходит через среду выполнения Lakehouse, а не через конечную точку аналитики SQL. - Прямой доступ к папке аудита в настоящее время не поддерживается. Пользователи не могут просматривать или скачивать базовые
.XELфайлы аудита из папки аудита Lakehouse.
Вы по-прежнему можете запрашивать события аудита для конечных точек аналитики SQL с помощью функции sys.fn_get_audit_file_v2T-SQL.