使用 Azure Synapse Link for Dataverse 的客户可以轻松导出审核日志,以满足许多企业通用的外部和内部审核、合规性、安全性和治理策略的要求。
所有自定义和大部分可自定义的表和列支持 Microsoft Dataverse 审核。 审核日志存储在 Dataverse 中并占用日志存储容量。 如果您的 Azure 资源与 Dataverse 环境位于同一区域,则可以使用 Azure Synapse Link for Dataverse 将审核日志导出到 Azure 存储帐户,并使用 Azure Synapse Analytics 和 Power BI Desktop 查询审核日志。
先决条件
- 具有创建资源组、工作区和其他 Azure 资产的管理权限的 Azure 订阅。 详细信息:使用 Azure Synapse Workspace 创建 Azure Synapse Link for Dataverse
- 您必须具有 Dataverse 系统管理员安全角色。
- Power BI。
要完成的任务
以下是在 Azure 中创建存储和工作区的高级步骤,然后是 Azure Synapse Link for Dataverse,以便您可以在 Power BI 中创建报告:
-
创建 Azure Synapse Link
- 创建一个资源组。
- 创建一个启用了分层目录的 Azure Data Lake Storage Gen2 帐户。
- 创建 Synapse 工作区。
- 为 Synapse 工作区创建 Apache Spark 池。
- 要使应用程序制作者能够创建 Azure Synapse Link for Dataverse,请向 Power Platform 制作者授予存储帐户和 synapse 工作区权限。
-
将 Dataverse 审计表连接到 Synapse 工作区
- 验证审核表的同步状态。
- 使用 Power BI 创建报告和仪表板
创建 Azure Synapse Link
- 登录 Azure 门户。
- 创建一个资源组。 详细信息:创建资源组
- 创建存储帐户。 更多信息:创建存储帐户
在项目详细信息下:选择创建了资源组的订阅。
选择您之前创建的资源组。
输入一个存储帐户名称。
选择高级选项卡并启用分层命名空间选项。
- 向将 Dataverse 表连接到此存储帐户的 Power Apps 管理员授予存储帐户访问权限。
- 在左侧窗格中,选择访问控制 (IAM)。
- 选择角色分配>+ 添加>添加角色分配。
- 在添加角色分配下,选择成员选项卡。
- 选择 Power Platform 管理员用户,然后选择特权管理员角色选项卡。
- 在搜索框中输入所有者。
- 选择存储帐户参与者角色。
- 在用户可以做什么中启用允许用户分配所有角色(高权限)。
- 对这些角色重复上述步骤:
- 存储 Blob 数据参与者
- 存储 Blob 数据所有者
- 创建 Synapse 工作区。
在项目详细信息下:- 选择创建了资源组的订阅。
- 选择您之前创建的资源组。
- 工作区名称。 选择任何全局唯一的名称。
- 区域。 选择您的 Dataverse 环境所在的地区。
- 选择您之前创建的存储帐户名。
- 在文件系统名称下选择新建。
- 为 Data Lake Storage Gen2 文件系统输入一个名称。
- 为 Synapse 工作区创建一个 Spark 池。
- 转到之前创建的 Synapse 工作区的资源组。
- 存储帐户和 Synapse 工作区列在资源下。 选择您在上一步中创建的 Synapse 工作区。
- 选择 + 新建 Apache Spark 池创建一个 Spark 池。
- 在新建 Apache Spark 池页面上:
- 输入 Apache spark 池名称。
- 在节点数中输入 5。
- 选择附加设置选项卡,然后输入 5 作为空闲分钟数。
备注
- 创建 Spark 池不会产生任何成本。 只有在目标 Spark 池上执行 Spark 作业以及根据需要实例化 Spark 实例后,才会产生费用。 这些成本与 Azure Synapse workspace Spark 的使用有关,按月计费。 执行 Spark 计算的成本主要取决于增量更新的时间间隔和数据量。 更多信息:Azure Synapse Analytics 定价
- 在决定使用该功能时,考虑这些额外费用很重要,因为它们不是可选的,必须支付才能继续使用该功能。
将 Dataverse 审计表连接到 Synapse 工作区
要将 Dataverse 审核表连接到 Synapse 工作区,需要使用本文前面创建的 Azure Synapse Link。
- 使用具有 Dataverse 系统管理员安全角色的用户帐户登录到 Power Apps,然后选择所需的环境。
- 将 Dataverse 连接到您的 Synapse 工作区:
- 在左侧导航窗格中,选择 Azure Synapse Link。 如果该项目不可用,请选择更多>查找全部。 选择新链接。
- 在新链接页面上:
- 选择连接到 Azure Synapse Analytics workspace 选项。
- 选择 Azure订阅、资源组和存储帐户。
- 选择将 Spark 池用于 Delta Lake 数据转换作业选项。
- 选择 Spark 池和存储帐户。
- 选择下一步。
- 展开高级选项卡,在时间间隔字段中输入 480 分钟。 稍后,您可以更改 Synapse 工作区中刷新 Dataverse 表的持续时间。
- 在表列表下,选择审计和用户表。
您选择的表必须启用更改跟踪。 更多信息:启用更改跟踪以控制数据同步。
Dataverse 表导出到 Synapse 工作区需要一段时间。 导出完成后,您可以管理 Synapse 工作区的表数据。 更多信息:管理 Synapse 工作区的表数据
验证审核表同步状态
- 在 Power Apps 中,选择左侧导航窗格中的 Azure Synapse Link。
- 打开您创建的链接并验证审计表的同步状态。 它应该显示为活动。
使用 Power BI 创建报告和仪表板
使用带有 Power BI desktop 的 Azure Synapse Analytics 工作区访问审计数据。 如果您还没有 Power BI Desktop,请下载并安装 Power BI Desktop。 这是一个运行在本地计算机上的免费应用程序。
使用 Azure Synapse Analytics 工作区连接创建报告
将 Azure Synapse Analytics 工作区连接用于较小的数据量,以使用 Power BI 构建报告。
- 启动 Power BI Desktop,然后在新的 Power BI 会话中选择获取数据>更多....
- 在获取数据对话框窗格的左侧窗格中,选择 Azure,然后在右侧窗格中选择 Azure Synapse Analytics 工作区(测试版)。
- 选择连接。
- 选择登录,然后输入或选择您的组织帐户,该帐户可以访问您创建的 Azure Synapse workspace。 选择连接。
- 登录后,选择导航器对话框窗格下的工作区。
- 展开工作区并找到 Dataverse 环境的工作区。 将显示 Dataverse 表的列表。
- 选择审计和系统用户表,然后选择加载。
- 选择表格后,您可以构建 Power BI 可视化效果。
使用 Azure Synapse Analytics SQL 连接创建报告
使用 Azure Synapse Analytics SQL 连接处理大量数据以使用 Power BI 构建报告。
- 启动 Power BI Desktop,然后在新的 Power BI 会话中选择获取数据>更多....
- 在获取数据对话框窗格的左侧窗格中,选择 Azure,然后选择 Azure Synapse Analytics SQL。
- 选择连接。
- 输入服务器和数据库的名称。
- 可以在 Azure 门户中找到服务器名称。 在搜索栏中输入工作区名称,然后选择工作区。 在概述页面上,复制无服务器 SQL 端点并返回到 Power BI SQL 服务器数据库页面,然后将其粘贴到服务器字段。
- 可以在 Power Apps (make.powerapps.com) 的 Azure Synapse Link 中找到该数据库名称。 在左侧导航窗格中选择 Azure Synapse Link for Dataverse,选择 Azure Synapse Link,然后在命令栏中选择转到 Azure Synapse Analytics 工作区。 您的数据库名称可以在数据页面上的湖数据库文件夹下找到。
- 选择确定。