Auditing

Aplica-se a:✅Base de dados SQL em Microsoft Fabric

A auditoria para bases de dados SQL no Fabric é uma funcionalidade crítica de segurança e conformidade que permite às organizações rastrear e registar atividades de bases de dados. A auditoria apoia a conformidade, deteção de ameaças e investigações forenses, ajudando a responder a questões como quem acedeu a que dados, quando e como.

O que é auditoria SQL?

Auditoria SQL refere-se ao processo de captura e armazenamento de eventos relacionados com a atividade da base de dados. Estes eventos incluem acesso a dados, alterações de esquema, modificações de permissões e tentativas de autenticação.

No Fabric, a auditoria é implementada ao nível da base de dados e suporta:

• Monitorização de conformidade (por exemplo: HIPAA, SOX)
• Investigações de segurança
• Perspetivas operacionais

Objetivo de auditoria

Os registos de auditoria são escritos numa pasta de apenas leitura no OneLake e podem ser consultados usando a sys.fn_get_audit_file_v2 função T-SQL ou o OneLake Explorer.

Para base de dados SQL no Fabric, os registos de auditoria são armazenados no OneLake: https://onelake.blob.fabric.microsoft.com/{workspace_id}/{artifact_id}/Audit/sqldbauditlogs/

Estes registos são imutáveis e acessíveis aos utilizadores com permissões apropriadas. Os registos também podem ser descarregados usando o OneLake Explorer ou o Azure Storage Explorer.

Opções de configuração

Por defeito, a auditoria da opção Auditar tudo capta todos os eventos, incluindo: completações de lotes e autenticação bem-sucedida e falhada.

Para ser mais seletivo, escolha entre cenários de auditoria pré-configurados, por exemplo: Alterações de Permissão & Tentativas de Login, Leituras e Escritas de Dados, e/ou Alterações de Esquema.

Cada cenário pré-configurado associa-se a grupos específicos de ações de auditoria (por exemplo, SCHEMA_OBJECT_ACCESS_GROUP, DATABASE_PRINCIPAL_CHANGE_GROUP). Também pode escolher quais os eventos a auditar em Eventos Personalizados. Os utilizadores avançados podem selecionar grupos de ação individuais para adaptar a auditoria às suas necessidades. Isto é ideal para clientes com políticas internas de segurança rigorosas.

Para filtrar consultas de acesso comuns ou conhecidas, pode fornecer expressões de predicados em Transact-SQL (T-SQL) para filtrar eventos de auditoria com base em condições (por exemplo, para excluir instruções SELECT): WHERE statement NOT LIKE '%select%'.

Permissions

Para gerir auditorias usando funções de espaço de trabalho Fabric (recomendado), os utilizadores devem ter a pertença ao papel de Contribuidor do espaço de trabalho Fabric ou permissões superiores.

Para gerir auditorias com permissões SQL:

• Para configurar a auditoria da base de dados, os utilizadores devem ter permissão ALTERAR QUALQUER AUDITORIA DA BASE DE DADOS.
• Para visualizar registos de auditoria usando T-SQL, os utilizadores devem ter a permissão de VISUALIZAR AUDITORIA DE SEGURANÇA DA BASE DE DADOS.

Retenção

Por defeito, os dados de auditoria são mantidos indefinidamente. Pode configurar um período de retenção personalizado na secção Eliminar automaticamente registos após esse período.

Configurar auditoria para base de dados SQL a partir do portal Fabric

Para começar a auditar uma base de dados Fabric SQL:

1. Navegue e abra a sua base de dados SQL no portal do Fabric.
2. No menu principal, selecione o separador Segurança e depois selecione Gerir auditoria SQL.
3. O painel Gerenciar Auditoria SQL abre-se.
4. Selecione o botão Guardar Eventos em Registos de Auditoria SQL para ativar a auditoria.
5. Configure quais os eventos a registar na secção de Eventos da Base de Dados . Escolha Auditar tudo (predefinido) para capturar todos os eventos.
6. Opcionalmente, configure uma política de retenção em Retention.
7. Opcionalmente, configure uma expressão de predicado de comandos T-SQL para ignorar no campo Expressão de Predicados .
8. Selecione Guardar.

Consultar registos de auditoria

Os registos de auditoria podem ser consultados usando as funções T-SQL sys.fn_get_audit_file e sys.fn_get_audit_file_v2.

No script a seguir, você precisa fornecer a ID do espaço de trabalho e a ID do banco de dados. Ambos podem ser encontrados no URL do portal Fabric. Por exemplo: https://fabric.microsoft.com/groups/<fabric workspace id>/sqldatabases/<fabric sql database id>. A primeira cadeia de identificador única na URL é o ID do espaço de trabalho do Fabric, e a segunda cadeia de identificador única é o ID da base de dados SQL.

• Substitua <fabric_workspace_id> pelo ID do espaço de trabalho do Fabric. Você pode encontrar o ID de um espaço de trabalho facilmente no endereço, é a sequência única entre dois caracteres / após o /groups/ na janela do navegador.
• Substitua <fabric sql database id> pelo seu banco de dados SQL no identificador do banco de dados Fabric. Você pode encontrar o ID do item de banco de dados facilmente na URL, é a cadeia de caracteres exclusiva dentro de dois / caracteres depois dos /sqldatabases/ na janela do navegador.

Por exemplo:

SELECT * FROM sys.fn_get_audit_file_v2(
  'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
  DEFAULT, DEFAULT, DEFAULT, DEFAULT );

Este exemplo recupera registos de auditoria entre 2025-11-17T08:40:40Z e 2025-11-17T09:10:40Z.

SELECT *
FROM sys.fn_get_audit_file_v2(
    'https://onelake.blob.fabric.microsoft.com/<fabric workspace id>/<fabric sql database id>/Audit/sqldbauditlogs/',
    DEFAULT,
    DEFAULT,
    '2025-11-17T08:40:40Z',
    '2025-11-17T09:10:40Z')

Para mais informações, consulte sys.fn_get_audit_file e sys.fn_get_audit_file_v2.

Conteúdo relacionado

• Segurança numa base de dados SQL no Microsoft Fabric
• Esquema de auditoria para domínios no Fabric