Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:✅ endpoint di analisi SQL e magazzino dati in Microsoft Fabric
Il controllo nel Data Warehouse di Fabric offre funzionalità avanzate di sicurezza e conformità monitorando e registrando gli eventi del database. La funzionalità dei log di controllo SQL è in anteprima attualmente.
Questa funzionalità consente alle organizzazioni di monitorare le attività del database, rilevare potenziali minacce alla sicurezza e soddisfare i requisiti di conformità mantenendo un audit trail delle azioni chiave:
- Tentativi di autenticazione e modifiche al controllo di accesso
- Operazioni di accesso e modifica dei dati
- Modifiche dello schema e attività amministrative
- Modifiche alle autorizzazioni e configurazioni di sicurezza
Importante
Per impostazione predefinita, i log di controllo SQL sono DISATTIVATI (OFF). Gli utenti con autorizzazioni di query di controllo devono abilitare questa funzionalità per acquisire i log.
Per iniziare, vedere la procedura descritta in Come configurare i log di controllo SQL in Fabric Data Warehouse (anteprima).To get started, review the steps in How to configure SQL audit logs in Fabric Data Warehouse (Preview).
Immagazzinamento
Tutti i log vengono crittografati inattivi, archiviati in OneLake e non sono direttamente visibili agli utenti.
Non è possibile accedere ai file di log di controllo direttamente da OneLake, ma possono essere sottoposti a query con T-SQL tramite sys.fn_get_audit_file_v2. Per istruzioni, vedere Come configurare i log di controllo SQL nel Data Warehouse di Fabric.
Suggerimento
La configurazione dei log di controllo nel Data Warehouse di Microsoft Fabric può aumentare i costi di archiviazione a seconda dei gruppi di azioni e degli eventi registrati. Abilitare solo gli eventi necessari per evitare costi di archiviazione non necessari.
Performance
La funzionalità log di controllo SQL è ottimizzata per la disponibilità e le prestazioni del database controllato. Durante periodi di attività molto elevata o di carico di rete elevato la funzionalità di controllo potrebbe consentire alle transazioni di procedere senza registrare tutti gli eventi contrassegnati per il controllo.
Autorizzazioni
Gli utenti devono disporre dell'autorizzazione al controllo (audit) per configurare ed eseguire query sui log di controllo.
- Per impostazione predefinita, gli amministratori dell'area di lavoro dispongono del permesso di verifica delle query per tutti gli oggetti nell'area di lavoro.
- Gli amministratori possono concedere autorizzazioni per le verifiche delle query per gli elementi ad altri utenti tramite la finestra di dialogo Condividi.
Gli amministratori del workspace possono concedere autorizzazioni per le query di audit a un elemento utilizzando l'opzione di menu "condiviso" nel portale di Fabric. Per verificare se un utente dispone delle autorizzazioni per le query di audit, controllare le impostazioni di gestione delle autorizzazioni.
Azioni e gruppi di azioni di controllo a livello di database
Per rendere più accessibile la configurazione del log di controllo, il portale di Fabric usa nomi descrittivi per aiutare gli amministratori non SQL e altri utenti a comprendere facilmente gli eventi di Fabric Data Warehouse acquisiti.
Questi nomi descrittivi vengono mappati ai gruppi di azioni di controllo SQL sottostanti. La tabella seguente funge da riferimento.
| Nome amichevole | Nome gruppo di azioni | Descrizione |
|---|---|---|
| Accesso all'oggetto | DATABASE_OBJECT_ACCESS_GROUP |
Registra l'accesso a oggetti di database come tipi di messaggi, assembly o contratti. |
| L'oggetto è stato modificato | DATABASE_OBJECT_CHANGE_GROUP |
Registra le operazioni CREATE, ALTER o DROP sugli oggetti di database. |
| Proprietario dell'oggetto modificato | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra le modifiche di proprietà degli oggetti di database. |
| Autorizzazione oggetto modificata | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra le azioni GRANT, REVOKE o DENY sugli oggetti di database. |
| L'utente è stato modificato | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra la creazione, la modifica o l'eliminazione di entità di database (utenti, ruoli). |
| L'utente è stato impersonato | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra le operazioni di impersonificazione, ad esempio EXECUTE AS. |
| Il membro del ruolo è stato cambiato | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra l'aggiunta o la rimozione di account di accesso da un ruolo del database. |
| L'utente non è riuscito ad accedere | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra tentativi di autenticazione non riusciti all'interno del database. |
| È stato utilizzato il permesso dello schema | SCHEMA_OBJECT_ACCESS_GROUP |
Registra l'accesso agli oggetti dello schema. |
| Schema modificato | SCHEMA_OBJECT_CHANGE_GROUP |
Registra le operazioni CREATE, ALTER o DROP sugli schemi. |
| Autorizzazione dell'oggetto dello schema verificata | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra le modifiche apportate alla proprietà dell'oggetto schema. |
| È stata modificata l'autorizzazione dell'oggetto dello schema | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra le azioni GRANT, REVOKE o DENY sugli oggetti dello schema. |
| Il batch è stato completato | BATCH_COMPLETED_GROUP |
Questo evento viene generato ogni volta che viene completata l'esecuzione di qualsiasi operazione di testo in batch, stored procedure o gestione delle transazioni. |
| Il batch è stato avviato. | BATCH_STARTED_GROUP |
Questo evento viene generato ogni volta che viene avviata l'esecuzione di qualsiasi operazione di gestione di testo, stored procedure o transazione in batch. |
| L'audit è stato modificato | AUDIT_CHANGE_GROUP |
Questo evento viene generato ogni volta che un controllo viene creato, modificato o eliminato. |
| Utente disconnesso | DATABASE_LOGOUT_GROUP |
Questo evento viene generato quando un utente del database si disconnette da un database. |
| Utente autenticato | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica che un'entità principale ha effettuato correttamente l'accesso a un database. |
Azioni di controllo a livello di database
Oltre ai gruppi di azioni, è possibile configurare singole azioni di controllo per registrare eventi di database specifici:
| Azione di controllo | Descrizione |
|---|---|
SELECT |
Registra le istruzioni SELECT su un oggetto specificato. |
INSERT |
Registra le istruzioni INSERT su un oggetto specificato. |
UPDATE |
Registra le istruzioni UPDATE su un oggetto specificato. |
DELETE |
Registra le istruzioni DELETE su un oggetto specificato. |
EXECUTE |
Registra l'esecuzione di stored procedure o funzioni. |
RECEIVE |
Registra le operazioni effettuate su RECEIVE nelle code di Service Broker. |
REFERENCES |
Registra i controlli delle autorizzazioni che coinvolgono vincoli della chiave esterna. |
Limitazioni
- Se i log di controllo sono disabilitati, tutti i gruppi di azioni devono essere riconfigurati al momento della riattivazione.
- Attualmente, SQL Audit for Fabric Data Warehouse non è supportato nell'area di lavoro predefinita.
- La funzionalità log di controllo SQL non è supportata per gli snapshot del data warehouse.