使用 Azure Synapse Link for Dataverse 和 Power BI 访问审计数据
使用 Azure Synapse Link for Dataverse 的客户可以轻松导出审计日志,以满足许多企业常见的外部和内部审计、合规性、安全性和治理策略。
所有自定义和大部分可自定义的表和列支持 Microsoft Dataverse 审核。 审核日志存储在 Dataverse 中并占用日志存储容量。 如果您在与 Dataverse 环境相同的区域中拥有 Azure 资源,则可以使用 Azure Synapse Link for Dataverse 将审核日志导出到 Azure 存储帐户,并使用 Azure Synapse Analytics 和 Power BI Desktop 查询审核日志。
先决条件
- 具有创建资源组、工作区和其他 Azure 资产的管理权限的 Azure 订阅。 详细信息:使用 Azure Synapse Workspace 创建 Azure Synapse Link for Dataverse
- 您必须具有 Dataverse 系统管理员安全角色。
- Power BI。
要完成的任务
以下是在 Azure 中创建存储和工作区的高级步骤,然后是 Azure Synapse Link for Dataverse,以便您可以在 Power BI 中创建报告:
-
创建一个 Azure Synapse Link
- 创建一个资源组。
- 创建一个启用了分层目录的 Azure Data Lake Storage Gen2 帐户。
- 创建 Synapse 工作区。
- 为 Synapse 工作区创建 Apache Spark 池。
- 要使您的应用程序制作者能够创建 Azure Synapse Link for Dataverse,请向 Power Platform 制作者授予存储帐户和 synapse 工作区权限。
-
将 Dataverse 审计表连接到 Synapse 工作区
- 验证审核表的同步状态。
- 使用 Power BI 创建报告和控制面板
创建 Azure Synapse Link
- 登录 Azure 门户。
- 创建一个资源组。 详细信息:创建资源组
- 创建存储帐户。 更多信息:创建存储帐户
在项目详细信息下:选择创建了资源组的订阅。
选择您之前创建的资源组。
输入一个存储帐户名称。
选择高级选项卡并启用分层命名空间选项。
- 向将 Dataverse 表连接到此存储帐户的 Power Apps 管理员授予存储帐户访问权限。
- 在左侧窗格中,选择访问控制 (IAM)。
- 选择角色分配>+ 添加>添加角色分配。
- 在添加角色分配下,选择成员选项卡。
- 选择 Power Platform 管理员用户,然后选择特权管理员角色选项卡。
- 在搜索框中输入所有者。
- 选择存储帐户参与者角色。
- 在用户可以做什么中启用允许用户分配所有角色(高权限)。
- 对这些角色重复上述步骤:
- 存储 Blob 数据参与者
- 存储 Blob 数据所有者
- 创建 Synapse 工作区。
在项目详细信息下:- 选择创建了资源组的订阅。
- 选择您之前创建的资源组。
- 工作区名称。 选择任何全局唯一的名称。
- 地区。 选择您的 Dataverse 环境所在的地区。
- 选择您之前创建的存储帐户名。
- 在文件系统名称下选择新建。
- 为 Data Lake Storage Gen2 文件系统输入一个名称。
- 为 Synapse 工作区创建一个 Spark 池。
- 转到之前创建的 Synapse 工作区的资源组。
- 存储帐户和 Synapse 工作区列在资源下。 选择您在上一步中创建的 Synapse 工作区。
- 选择 + 新建 Apache Spark 池创建一个 Spark 池。
- 在新建 Apache Spark 池页面上:
- 输入 Apache spark 池名称。
- 在节点数中输入 5。
- 选择附加设置选项卡,然后输入 5 作为空闲分钟数。
备注
- 创建 Spark 池不会产生任何成本。 只有在目标 Spark 池上执行 Spark 作业以及根据需要实例化 Spark 实例后,才会产生费用。 这些成本与 Azure Synapse workspace Spark 的使用有关,按月计费。 执行 Spark 计算的成本主要取决于增量更新的时间间隔和数据量。 更多信息:Azure Synapse Analytics 定价
- 在决定使用该功能时,考虑这些额外费用很重要,因为它们不是可选的,必须支付才能继续使用该功能。
将 Dataverse 审计表连接到 Synapse 工作区
要将 Dataverse 审计表连接到 Synapse 工作区,您可以使用本文前面创建的 Azure Synapse Link。
- 使用具有 Dataverse 系统管理员安全角色的用户帐户登录到 Power Apps,然后选择所需的环境。
- 将 Dataverse 连接到您的 Synapse 工作区:
- 在左侧导航窗格中,选择 Azure Synapse Link。 如果该项目不可用,请选择更多>查找全部。 选择新链接。
- 在新链接页面上:
- 选择连接到 Azure Synapse Analytics workspace 选项。
- 选择 Azure订阅、资源组和存储帐户。
- 选择将 Spark 池用于 Delta Lake 数据转换作业选项。
- 选择 Spark 池和存储帐户。
- 选择下一步。
- 展开高级选项卡,在时间间隔字段中输入 480 分钟。 稍后,您可以更改 Synapse 工作区中刷新 Dataverse 表的持续时间。
- 在表列表下,选择审计和用户表。
您选择的表必须启用更改跟踪。 更多信息:启用更改跟踪以控制数据同步。
Dataverse 表导出到 Synapse 工作区需要一段时间。 导出完成后,您可以管理 Synapse 工作区的表数据。 更多信息:管理 Synapse 工作区的表数据
验证审核表同步状态
- 在 Power Apps 中,选择左侧导航窗格中的 Azure Synapse Link。
- 打开您创建的链接并验证审计表的同步状态。 它应该显示为活动。
使用 Power BI 创建报告和仪表板
使用带有 Power BI desktop 的 Azure Synapse Analytics 工作区访问审计数据。 如果您还没有 Power BI Desktop,请下载并安装 Power BI Desktop。 这是一个运行在本地计算机上的免费应用程序。
使用 Azure Synapse Analytics 工作区连接创建报告
将 Azure Synapse Analytics 工作区连接用于较小的数据量,以使用 Power BI 构建报告。
- 启动 Power BI Desktop,然后在新的 Power BI 会话中选择获取数据>更多....
- 在获取数据对话框窗格的左侧窗格中,选择 Azure,然后在右侧窗格中选择 Azure Synapse Analytics 工作区(测试版)。
- 选择连接。
- 选择登录,然后输入或选择您的组织帐户,该帐户可以访问您创建的 Azure Synapse workspace。 选择连接。
- 登录后,选择导航器对话框窗格下的工作区。
- 展开工作区并找到 Dataverse 环境的工作区。 将显示 Dataverse 表的列表。
- 选择审计和系统用户表,然后选择加载。
- 选择表格后,您可以构建 Power BI 可视化效果。
使用 Azure Synapse Analytics SQL 连接创建报告
使用 Azure Synapse Analytics SQL 连接处理大量数据以使用 Power BI 构建报告。
- 启动 Power BI Desktop,然后在新的 Power BI 会话中选择获取数据>更多....
- 在获取数据对话框窗格的左侧窗格中,选择 Azure,然后选择 Azure Synapse Analytics SQL。
- 选择连接。
- 输入服务器和数据库的名称。
- 可以在 Azure 门户中找到服务器名称。 在搜索栏中输入工作区名称,然后选择工作区。 在概述页面上,复制无服务器 SQL 端点并返回到 Power BI SQL 服务器数据库页面,然后将其粘贴到服务器字段。
- 可以在 Power Apps (make.powerapps.com) 的 Azure Synapse Link 中找到该数据库名称。 在左侧导航窗格中选择 Azure Synapse Link for Dataverse,选择 Azure Synapse Link,然后在命令栏中选择转到 Azure Synapse Analytics 工作区。 您的数据库名称可以在数据页面上的湖数据库文件夹下找到。
- 选择确定。