Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:✅ endpoint de análise SQL e armazém de dados no Microsoft Fabric
A auditoria no Fabric Data Warehouse oferece recursos aprimorados de segurança e conformidade, rastreando e registrando eventos do banco de dados.
Esse recurso permite que as organizações monitorem as atividades do banco de dados, detetem possíveis ameaças à segurança e atendam aos requisitos de conformidade, mantendo uma trilha de auditoria das principais ações:
- Tentativas de autenticação e alterações no controle de acesso
- Acesso aos dados e operações de modificação
- Alterações de esquema e atividades administrativas
- Alterações de permissão e configurações de segurança
Importante
Por padrão, os logs de auditoria do SQL são DESATIVADOS. Os utilizadores com permissões de consultas de auditoria devem habilitar esta funcionalidade para capturar os registos.
O recurso de logs de auditoria SQL está atualmente em versão preliminar.
Para começar, revise as etapas em Como configurar logs de auditoria SQL no Fabric Data Warehouse (Preview).
Armazenamento
Todos os logs são criptografados em repouso, armazenados no OneLake e não diretamente visíveis para os usuários.
Os arquivos de log de auditoria não podem ser acessados diretamente do OneLake, mas podem ser consultados com o T-SQL via sys.fn_get_audit_file_v2. Para obter instruções, consulte Como configurar logs de auditoria SQL no Fabric Data Warehouse.
Sugestão
A configuração de logs de auditoria no Microsoft Fabric Data Warehouse pode aumentar os custos de armazenamento, dependendo dos grupos de ações e eventos registrados. Habilite apenas os eventos necessários para evitar custos de armazenamento desnecessários.
Permissões
Os utilizadores devem ter a permissão de Auditoria para configurar e consultar logs de auditoria.
- Por padrão, Administradores do Espaço de Trabalho têm a permissão de Consultas de Auditoria a todos os itens no espaço de trabalho.
- Os administradores podem conceder permissões de consultas de auditoria em itens a outros utilizadores através da caixa de diálogo de partilha.
Os administradores do espaço de trabalho podem conceder permissões de consultas de auditoria a um item usando a opção de menu partilhada no portal Fabric. Para verificar se um utilizador tem permissões de consultas de Auditoria , verifique as configurações Gerenciar Permissões.
Grupos de ações e ações de auditoria a nível de banco de dados
Para tornar a configuração do log de auditoria mais acessível, o portal do Fabric usa nomes amigáveis para ajudar administradores não SQL e outros usuários a entender facilmente os eventos capturados do Fabric Data Warehouse.
Esses nomes amigáveis são mapeados para os grupos de ação de Auditoria SQL subjacentes. A tabela a seguir serve como referência.
| Nome amigável | Nome do Grupo de Ação | Descrição |
|---|---|---|
| O objeto foi acessado | DATABASE_OBJECT_ACCESS_GROUP |
Registra o acesso a objetos de banco de dados, como tipos de mensagens, assemblies ou contratos. |
| O objeto foi alterado | DATABASE_OBJECT_CHANGE_GROUP |
Registra operações CREATE, ALTERou DROP em objetos de banco de dados. |
| Proprietário do objeto alterado | DATABASE_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra alterações de propriedade de objetos de banco de dados. |
| A permissão do objeto foi alterada | DATABASE_OBJECT_PERMISSION_CHANGE_GROUP |
Registra ações GRANT, REVOKEou DENY em objetos de banco de dados. |
| O usuário foi alterado | DATABASE_PRINCIPAL_CHANGE_GROUP |
Registra a criação, alteração ou exclusão de entidades de banco de dados (usuários, funções). |
| O usuário foi personificado | DATABASE_PRINCIPAL_IMPERSONATION_GROUP |
Registra operações de imitação (como EXECUTE AS). |
| O membro da função foi alterado | DATABASE_ROLE_MEMBER_CHANGE_GROUP |
Registra a adição ou remoção de logons de uma função de banco de dados. |
| Falha do usuário ao fazer login | FAILED_DATABASE_AUTHENTICATION_GROUP |
Registra tentativas de autenticação com falha no banco de dados. |
| A permissão de esquema foi usada | SCHEMA_OBJECT_ACCESS_GROUP |
Registra o acesso a objetos de esquema. |
| O esquema foi alterado | SCHEMA_OBJECT_CHANGE_GROUP |
Registra operações CREATE, ALTERou DROP em esquemas. |
| A permissão do objeto de esquema foi verificada | SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP |
Registra as alterações na propriedade do objeto de esquema. |
| A permissão do objeto de esquema foi alterada | SCHEMA_OBJECT_PERMISSION_CHANGE_GROUP |
Registra ações GRANT, REVOKEou DENY em objetos de esquema. |
| O lote foi concluído | BATCH_COMPLETED_GROUP |
Esse evento é gerado sempre que qualquer texto em lote, procedimento armazenado ou operação de gerenciamento de transações é concluída. |
| O lote foi iniciado | BATCH_STARTED_GROUP |
Esse evento é gerado sempre que qualquer texto em lote, procedimento armazenado ou operação de gerenciamento de transações começa a ser executado. |
| A auditoria foi alterada | AUDIT_CHANGE_GROUP |
Esse evento é gerado sempre que qualquer auditoria é criada, modificada ou excluída. |
| Usuário desconectado | DATABASE_LOGOUT_GROUP |
Esse evento é gerado quando um usuário de banco de dados sai de um banco de dados. |
| Usuário conectado | SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP |
Indica que uma entidade de segurança efetuou login com êxito em um banco de dados. |
Ações de auditoria no nível de banco de dados
Além dos grupos de ações, ações de auditoria individuais podem ser configuradas para registrar eventos específicos do banco de dados:
| Ação de auditoria | Descrição |
|---|---|
SELECT |
Registra instruções SELECT num objeto especificado. |
INSERT |
Regista INSERT operações num objeto especificado. |
UPDATE |
Regista UPDATE operações num objeto especificado. |
DELETE |
Regista DELETE operações num objeto especificado. |
EXECUTE |
Registra a execução de procedimentos armazenados ou funções. |
RECEIVE |
Registra operações RECEIVE em filas do Service Broker. |
REFERENCES |
Registra verificações de permissão envolvendo restrições de chave estrangeira. |
Limitações
- Se os logs de auditoria estiverem desativados, todos os grupos de ação deverão ser reconfigurados após a reativação.
- Atualmente, não há suporte para a Auditoria SQL para o Fabric Data Warehouse no espaço de trabalho padrão.
- Não há suporte para Logs de Auditoria SQL para Instantâneos de Armazém.