Referenz zu Diagnoseprotokollen
Hinweis
Für dieses Feature ist der Premium-Plan erforderlich.
Dieser Artikel enthält eine umfassende Referenz zu den Überwachungsprotokolldiensten und -ereignissen. Die Verfügbarkeit dieser Dienste hängt davon ab, wie Sie auf die Protokolle zugreifen:
- In der Systemtabelle des Überwachungsprotokolls werden alle in diesem Artikel aufgeführten Ereignisse und Dienste aufgezeichnet.
- Der Diagnoseeinstellungsdienst von Azure Monitor protokolliert nicht alle diese Dienste. Dienste, die in den Diagnoseeinstellungen von Azure nicht verfügbar sind, werden entsprechend bezeichnet.
Hinweis
Azure Databricks behält eine Kopie von Überwachungsprotokollen für bis zu 1 Jahr für Sicherheits- und Betrugsanalysezwecke bei.
Diagnoseprotokolldienste
Die folgenden Dienste und ihre Ereignisse werden standardmäßig in Diagnoseprotokollen erfasst.
Hinweis
Die Bezeichnungen auf Arbeitsbereichsebene und Kontoebene gelten nur für die Systemtabelle der Überwachungsprotokolle. Azure-Diagnoseprotokolle enthalten keine Ereignisse auf Kontoebene.
Dienste auf Arbeitsbereichsebene
| Dienstname | BESCHREIBUNG |
|---|---|
| accounts | Ereignisse im Zusammenhang mit Konten, Benutzer*innen, Gruppen und IP-Zugriffslisten |
| clusters | Ereignisse im Zusammenhang mit Clustern |
| clusterPolicies | Ereignisse im Zusammenhang mit Clusterrichtlinien |
| dashboards | Ereignisse im Zusammenhang mit der Verwendung des AI/BI-Dashboards. |
| databrickssql | Ereignisse im Zusammenhang mit der Verwendung von Databricks SQL. |
| dataMonitoring | Ereignisse im Zusammenhang mit Lakehouse Monitoring. |
| dbfs | Ereignisse im Zusammenhang mit DBFS |
| deltaPipelines | Ereignisse im Zusammenhang mit Delta Live Tables-Pipelines |
| featureStore | Ereignisse im Zusammenhang mit dem Databricks-Featurespeicher |
| filesystem | Ereignisse im Zusammenhang mit der Dateiverwaltung, einschließlich der Interaktion mit Dateien mithilfe der Datei-API oder der Volumes-UI. |
| genie | Ereignisse im Zusammenhang mit dem Zugriff auf den Arbeitsbereich durch Supportmitarbeiter*innen Keine zugehörigen KI/BI Genie Spaces. |
| gitCredentials | Ereignisse im Zusammenhang mit Git-Anmeldeinformationen für Git-Ordnern von Databricks. Siehe auch repos. |
| globalInitScripts | Ereignisse im Zusammenhang mit globalen Initialisierungsskripts |
| Gruppen | Ereignisse im Zusammenhang mit Konto- und Arbeitsbereichsgruppen |
| iamRole | Ereignisse im Zusammenhang mit IAM-Rollenberechtigungen. |
| Erfassung | Ereignisse im Zusammenhang mit Dateiuploads. |
| instancePools | Ereignisse im Zusammenhang mit Pools |
| jobs | Ereignisse im Zusammenhang mit Aufträgen |
| marketplaceConsumer | Ereignisse im Zusammenhang mit Consumeraktionen im Databricks-Marketplace. |
| marketplaceProvider | Ereignisse im Zusammenhang mit Anbieteraktionen im Databricks-Marketplace. |
| mlflowAcledArtifact | Ereignisse im Zusammenhang mit ML Flow-Artefakten mit ACLs |
| mlflowExperiment | Ereignisse im Zusammenhang mit ML Flow-Experimenten |
| modelRegistry | Ereignisse im Zusammenhang mit der Modellregistrierung |
| notebook | Ereignisse im Zusammenhang mit Notebooks |
| partnerConnect | Ereignisse im Zusammenhang mit Partner Connect. |
| predictiveOptimization | Ereignisse im Zusammenhang mit der Vorhersageoptimierung. |
| remoteHistoryService | Ereignisse im Zusammenhang mit dem Hinzufügen oder Entfernen von GitHub-Anmeldeinformationen. |
| repos | Ereignisse im Zusammenhang mitGit-Ordnern von Databricks. Siehe auch gitCredentials. |
| secrets | Ereignisse im Zusammenhang mit Geheimnissen |
| serverlessRealTimeInference | Ereignisse im Zusammenhang mit der Modellbereitstellung. |
| sqlPermissions | Ereignisse im Zusammenhang mit der Tabellenzugriffssteuerung für den älteren Hive-Metastore. |
| ssh | Ereignisse im Zusammenhang mit dem SSH-Zugriff. |
| vectorSearch | Ereignisse im Zusammenhang mit der Vektorsuche. |
| webTerminal | Ereignisse im Zusammenhang mit dem Webterminal-Feature. |
| Arbeitsbereich | Ereignisse im Zusammenhang mit Arbeitsbereichen |
Dienste auf Kontoebene
Überwachungsprotokolle auf Kontoebene sind für die folgenden Dienste verfügbar:
| Dienstname | Beschreibung |
|---|---|
| accountBillableUsage | Aktionen im Zusammenhang mit dem abrechenbaren Nutzungszugriff in der Kontokonsole. |
| accountsAccessControl | Aktionen im Zusammenhang mit Zugriffssteuerungsregeln auf Kontoebene |
| accountsManager | Aktionen im Zusammenhang mit Netzwerkkonnektivitätskonfigurationen. |
| budgetPolicyCentral | Aktionen im Zusammenhang mit der Verwaltung von Budgetrichtlinien. |
| unityCatalog | Hierbei handelt es sich um Aktionen, die in Unity Catalog ausgeführt werden. Dies schließt auch Delta Sharing-Ereignisse ein, wie unter Delta Sharing-Ereignisse beschrieben. |
Zusätzliche Sicherheitsüberwachungsdienste
Es gibt zusätzliche Dienste und zugehörige Aktionen für Arbeitsbereiche, die das Compliancesicherheitsprofil (erforderlich für einige Konformitätsstandards wie FedRAMP, PCI und HIPAA) oder die erweiterte Sicherheitsüberwachung verwenden.
Dabei handelt es sich um Dienste auf Arbeitsbereichsebene, die nur in Ihren Protokollen generiert werden, wenn Sie das Compliancesicherheitsprofil oder die erweiterte Sicherheitsüberwachung verwenden:
| Dienstname | Beschreibung |
|---|---|
| capsule8-alerts-dataplane | Aktionen im Zusammenhang mit der Dateiintegritätsüberwachung |
| clamAVScanService-dataplane | Aktionen im Zusammenhang mit der Virenschutzüberwachung |
Beispielschema des Diagnoseprotokolls
In Azure Databricks geben Diagnoseprotokolle Ereignisse im JSON-Format aus. In Azure Databricks geben Überwachungsprotokolle Ereignisse im JSON-Format aus. Die Eigenschaften serviceName und actionName identifizieren das Ereignis. Die Benennungskonvention folgt der Databricks-REST-API.
Das folgende JSON-Beispiel zeigt ein Ereignis, das protokolliert wird, wenn ein Benutzer einen Auftrag erstellt:
{
"TenantId": "<your-tenant-id>",
"SourceSystem": "|Databricks|",
"TimeGenerated": "2019-05-01T00:18:58Z",
"ResourceId": "/SUBSCRIPTIONS/SUBSCRIPTION_ID/RESOURCEGROUPS/RESOURCE_GROUP/PROVIDERS/MICROSOFT.DATABRICKS/WORKSPACES/PAID-VNET-ADB-PORTAL",
"OperationName": "Microsoft.Databricks/jobs/create",
"OperationVersion": "1.0.0",
"Category": "jobs",
"Identity": {
"email": "mail@contoso.com",
"subjectName": null
},
"SourceIPAddress": "131.0.0.0",
"LogId": "201b6d83-396a-4f3c-9dee-65c971ddeb2b",
"ServiceName": "jobs",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36",
"SessionId": "webapp-cons-webapp-01exaj6u94682b1an89u7g166c",
"ActionName": "create",
"RequestId": "ServiceMain-206b2474f0620002",
"Response": {
"statusCode": 200,
"result": "{\"job_id\":1}"
},
"RequestParams": {
"name": "Untitled",
"new_cluster": "{\"node_type_id\":\"Standard_DS3_v2\",\"spark_version\":\"5.2.x-scala2.11\",\"num_workers\":8,\"spark_conf\":{\"spark.databricks.delta.preview.enabled\":\"true\"},\"cluster_creator\":\"JOB_LAUNCHER\",\"spark_env_vars\":{\"PYSPARK_PYTHON\":\"/databricks/python3/bin/python3\"},\"enable_elastic_disk\":true}"
},
"Type": "DatabricksJobs"
}
Überlegungen zum Diagnoseprotokollschema
- Wenn Aktionen lange dauern, werden die Anforderung und die Antwort getrennt protokolliert, aber das Anforderung-Antwort-Paar hat dieselbe
requestId. - Automatisierte Aktionen, wie die Größenänderung eines Clusters aufgrund der automatischen Skalierung oder der Start eines Auftrags aufgrund der Planung, werden vom Benutzer
System-Userdurchgeführt. - Das
requestParams-Feld wird gekürzt. Wenn die Größe der JSON-Darstellung 100 KB überschreitet, werden Werte abgeschnitten, und die Zeichenfolge... truncatedwird abgeschnittenen Einträgen angefügt. In seltenen Fällen, in denen eine abgeschnittene Zuordnung immer noch größer als 100 KB ist, ist stattdessen ein einzelnerTRUNCATED-Schlüssel mit einem leeren Wert vorhanden.
Kontoereignisse
Die folgenden accounts-Ereignisse werden auf Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
accounts |
activateUser |
Benutzer*innen werden nach der Deaktivierung erneut aktiviert. Weitere Informationen finden Sie unter Deaktivieren von Benutzer*innen im Arbeitsbereich. | - targetUserName- endpoint- targetUserId |
accounts |
aadBrowserLogin |
Ein Benutzer meldet sich über einen Microsoft Entra ID-Browserworkflow bei Databricks an. | - user |
accounts |
aadTokenLogin |
Ein Benutzer meldet sich mit dem Microsoft Entra ID-Token bei Databricks an. | - user |
accounts |
accountInHouseOAuthClientAuthentication |
Ein OAuth-Client wird authentifiziert. | - endpoint |
accounts |
activateUser |
Administrator*innen fügen dem Databricks-Konto Benutzer*innen über das Azure-Portal hinzu. | - warehouse- targetUserName- targetUserId |
accounts |
add |
Benutzer*innen werden einem Azure Databricks-Arbeitsbereich hinzugefügt. | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
Benutzer*innen werden einer Gruppe auf Arbeitsbereichsebene hinzugefügt. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
changeDatabricksSqlAcl |
Die Databricks SQL-Berechtigungen von Benutzer*innen werden geändert. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDatabricksWorkspaceAcl |
Berechtigungen für einen Arbeitsbereich werden geändert. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeDbTokenAcl |
Berechtigungen für ein Token werden geändert. | - shardName- targetUserId- resourceId- aclPermissionSet |
accounts |
changeServicePrincipalAcls |
Berechtigungen eines Dienstprinzipals werden geändert. | - shardName- targetServicePrincipal- resourceId- aclPermissionSet |
accounts |
createGroup |
Eine Gruppe auf Arbeitsbereichsebene wird erstellt. | - endpoint- targetGroupId- targetGroupName |
accounts |
createIpAccessList |
Dem Arbeitsbereich wird eine IP-Zugriffsliste hinzugefügt. | - ipAccessListId- userId |
accounts |
deactivateUser |
Benutzer*innen werden im Arbeitsbereich deaktiviert. Weitere Informationen finden Sie unter Deaktivieren von Benutzer*innen im Arbeitsbereich. | - targetUserName- endpoint- targetUserId |
accounts |
delete |
Benutzer*innen werden aus dem Azure Databricks-Arbeitsbereich gelöscht. | - targetUserId- targetUserName- endpoint |
accounts |
deleteIpAccessList |
Eine IP-Zugriffsliste wird aus dem Arbeitsbereich gelöscht. | - ipAccessListId- userId |
accounts |
garbageCollectDbToken |
Benutzer*innen führen einen Garbage Collect-Befehl für abgelaufene Token aus. | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
Wenn jemand ein Token aus den Benutzereinstellungen generiert oder wenn der Dienst das Token generiert. | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
IpAccessDenied |
Benutzer*innen versuchen, über eine verweigerte IP-Adresse eine Verbindung mit dem Dienst herzustellen. | - path- userName |
accounts |
ipAccessListQuotaExceeded |
- userId |
|
accounts |
jwtLogin |
Benutzer*innen melden sich mit einem JWT bei Databricks an. | - user |
accounts |
login |
Benutzer*innen melden sich beim Arbeitsbereich an. | - user |
accounts |
logout |
Benutzer*innen melden sich vom Arbeitsbereich ab. | - user |
accounts |
oidcTokenAuthorization |
Ein API-Aufruf wird über ein generisches OIDC/OAuth-Token autorisiert. | - user |
accounts |
passwordVerifyAuthentication |
- user |
|
accounts |
reachMaxQuotaDbToken |
Wenn die aktuelle Anzahl nicht abgelaufener Token das Tokenkontingent überschreitet. | |
accounts |
removeAdmin |
Administratorberechtigungen für Arbeitsbereiche werden für Benutzer*innen widerrufen. | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
Eine Gruppe wird aus dem Arbeitsbereich entfernt. | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
Benutzer*innen werden aus einer Gruppe entfernt. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
revokeDbToken |
Das Token eines Benutzers wird aus einem Arbeitsbereich gelöscht. Kann durch einen Benutzer ausgelöst werden, der aus dem Databricks-Konto entfernt wird. | - userId |
accounts |
setAdmin |
Benutzer*innen werden Administratorberechtigungen erteilt. | - endpoint- targetUserName- targetUserId |
accounts |
tokenLogin |
Benutzer*innen melden sich mit einem Token bei Databricks an. | - tokenId- user |
accounts |
updateIpAccessList |
Eine IP-Zugriffsliste wird geändert. | - ipAccessListId- userId |
accounts |
updateUser |
Benutzerkonten werden geändert. | - warehouse- targetUserName- targetUserId |
accounts |
validateEmail |
Benutzer*innen überprüfen ihre E-Mails nach der Kontoerstellung. | - endpoint- targetUserName- targetUserId |
Clusterereignisse
Die folgenden cluster-Ereignisse werden auf Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
clusters |
changeClusterAcl |
Benutzer*innen ändern die Cluster-ACL. | - shardName- aclPermissionSet- targetUserId- resourceId |
clusters |
create |
Benutzer*innen erstellen einen Cluster. | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
createResult |
Ergebnisse aus der Clustererstellung. In Verbindung mit create. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
delete |
Ein Cluster wird beendet. | - cluster_id |
clusters |
deleteResult |
Ergebnisse der Clusterbeendigung. In Verbindung mit delete. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
edit |
Ein Benutzer nimmt Änderungen an den Clustereinstellungen vor. Dadurch werden alle Änderungen protokolliert, abgesehen von Änderungen bei der Clustergröße und beim Verhalten der automatischen Skalierung. | - cluster_log_conf- num_workers- enable_elastic_disk- driver_node_type_id- start_cluster- docker_image- ssh_public_keys- aws_attributes- acl_path_prefix- node_type_id- instance_pool_id- spark_env_vars- init_scripts- spark_version- cluster_source- autotermination_minutes- cluster_name- autoscale- custom_tags- cluster_creator- enable_local_disk_encryption- idempotency_token- spark_conf- organization_id- no_driver_daemon- user_id- virtual_cluster_size- apply_policy_default_values- data_security_mode |
clusters |
permanentDelete |
Ein Cluster wird über die Benutzeroberfläche gelöscht. | - cluster_id |
clusters |
resize |
Die Größe des Clusters wird geändert. Dies wird in ausgeführten Clustern protokolliert, wobei die einzige Eigenschaft, die sich ändert, entweder die Clustergröße oder das Verhalten der automatischen Skalierung ist. | - cluster_id- num_workers- autoscale |
clusters |
resizeResult |
Ergebnisse der Größenänderung des Clusters. In Verbindung mit resize. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
restart |
Benutzer*innen starten einen ausgeführten Cluster neu. | - cluster_id |
clusters |
restartResult |
Ergebnisse des Clusterneustarts. In Verbindung mit restart. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
clusters |
start |
Benutzer*innen starten einen Cluster. | - init_scripts_safe_mode- cluster_id |
clusters |
startResult |
Ergebnisse des Clusterstarts. In Verbindung mit start. |
- clusterName- clusterState- clusterId- clusterWorkers- clusterOwnerUserId |
Clusterbibliotheksereignisse
Die folgenden clusterLibraries-Ereignisse werden auf Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
clusterLibraries |
installLibraries |
Benutzer*innen installieren eine Bibliothek in einem Cluster. | - cluster_id- libraries |
clusterLibraries |
uninstallLibraries |
Benutzer*innen deinstallieren eine Bibliothek in einem Cluster. | - cluster_id- libraries |
clusterLibraries |
installLibraryOnAllClusters |
Arbeitsbereichsadministrator*innen planen die Installation einer Bibliothek in allen Clustern. | - user- library |
clusterLibraries |
uninstallLibraryOnAllClusters |
Arbeitsbereichsadministrator*innen entfernen eine Bibliothek aus der Liste, die in allen Clustern installiert werden soll. | - user- library |
Clusterrichtlinienereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden clusterPolicies-Ereignisse werden auf Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
clusterPolicies |
create |
Benutzer*innen erstellen eine Clusterrichtlinie. | - name |
clusterPolicies |
edit |
Benutzer*innen bearbeiten eine Clusterrichtlinie. | - policy_id- name |
clusterPolicies |
delete |
Benutzer*innen löschen eine Clusterrichtlinie. | - policy_id |
clusterPolicies |
changeClusterPolicyAcl |
Arbeitsbereichsadministrator*innen ändern die Berechtigungen einer Clusterrichtlinie. | - shardName- targetUserId- resourceId- aclPermissionSet |
Dashboards-Ereignisse
Die folgenden dashboards-Ereignisse werden auf Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
dashboards |
getDashboard |
Ein Benutzer greift auf die Entwurfsversion eines Dashboards zu, indem er diese entweder in der Benutzeroberfläche anzeigt oder die Dashboarddefinition mithilfe der API angefordert. Nur Arbeitsbereichsbenutzer können auf die Entwurfsversion eines Dashboards zugreifen. | - dashboard_id |
dashboards |
getPublishedDashboard |
Ein Benutzer greift auf die veröffentlichte Version eines Dashboards zu, indem er diese entweder in der Benutzeroberfläche anzeigt oder die Dashboarddefinition mithilfe der API angefordert. Umfasst Aktivitäten von Arbeitsbereichsbenutzern und Kontobenutzern. Schließt den Empfang einer PDF-Momentaufnahme eines Dashboards mithilfe geplanter E-Mails aus. | - dashboard_id- credentials_embedded |
dashboards |
executeQuery |
Ein Benutzer führt über ein Dashboard eine Abfrage aus. | - dashboard_id- statement_id |
dashboards |
cancelQuery |
Ein Benutzer bricht über ein Dashboard eine Abfrage ab. | - dashboard_id- statement_id |
dashboards |
getQueryResult |
Ein Benutzer empfängt über ein Dashboard die Ergebnisse einer Abfrage. | - dashboard_id- statement_id |
dashboards |
sendDashboardSnapshot |
Eine PDF-Momentaufnahme eines Dashboards wird über eine geplante E-Mail gesendet. Die Parameterwerte der Anforderung sind vom Empfängertyp abhängig. Für ein Databricks-Benachrichtigungsziel wird nur destination_id angezeigt. Für einen Databricks-Benutzer werden die Benutzer-ID und die E-Mail-Adresse des Abonnenten angezeigt. Wenn der Empfänger eine E-Mail-Adresse ist, wird nur die E-Mail-Adresse angezeigt. |
- dashboard_id- subscriber_destination_id- subscriber_user_details: {user_id,email_address } |
dashboards |
getDashboardDetails |
Ein Benutzer greift auf Details (z. B. Datasets und Widgets) eines Entwurfsdashboards zu. getDashboardDetails wird immer ausgegeben, wenn ein Benutzer ein Entwurfsdashboard mithilfe der Benutzeroberfläche anzeigt oder die Dashboarddefinition mithilfe der API anfordert. |
- dashboard_id |
dashboards |
createDashboard |
Ein Benutzer erstellt ein neues AI/BI-Dashboard mithilfe der Benutzeroberfläche oder API. | - dashboard_id |
dashboards |
updateDashboard |
Ein Benutzer nimmt eine Aktualisierung an einem AI/BI-Dashboard mithilfe der Benutzeroberfläche oder API vor. | - dashboard_id |
dashboards |
cloneDashboard |
Ein Benutzer klont ein AI/BI-Dashboard. | - source_dashboard_id- new_dashboard_id |
dashboards |
publishDashboard |
Ein Benutzer veröffentlicht ein AI/BI-Dashboard mit oder ohne eingebettete Anmeldeinformationen mithilfe der Benutzeroberfläche oder API. | - dashboard_id- credentials_embedded- warehouse_id |
dashboards |
unpublishDashboard |
Ein Benutzer hebt die Veröffentlichung eines veröffentlichten AI/BI-Dashboards mithilfe der Benutzeroberfläche oder API auf. | - dashboard_id |
dashboards |
trashDashboard |
Ein Benutzer verschiebt ein AI/BI-Dashboard mithilfe der Benutzeroberfläche oder API in den Papierkorb. | - dashboard_id |
dashboards |
restoreDashboard |
Ein Benutzer stellt ein AI/BI-Dashboard aus dem Papierkorb wieder her. | - dashboard_id |
dashboards |
migrateDashboard |
Ein Benutzer migriert ein DBSQL-Dashboard zu einem AI/BI-Dashboard. | - source_dashboard_id- new_dashboard_id |
dashboards |
createSchedule |
Ein Benutzer erstellt einen Zeitplan für ein E-Mail-Abonnement. | - dashboard_id- schedule_id |
dashboards |
updateSchedule |
Ein Benutzer nimmt eine Aktualisierung an den Zeitplan eines AI/BI-Dashboards vor. | - dashboard_id- schedule_id |
dashboards |
deleteSchedule |
Ein Benutzer löscht den Zeitplan eines AI/BI-Dashboards. | - dashboard_id- schedule_id |
dashboards |
createSubscription |
Ein Benutzer abonniert ein E-Mail-Ziel für einen AI/BI-Dashboard-Zeitplan. | - dashboard_id- schedule_id- schedule |
dashboards |
deleteSubscription |
Ein Benutzer löscht ein E-Mail-Ziel aus einem AI/BI-Dashboard-Zeitplan. | - dashboard_id- schedule_id |
Databricks SQL-Ereignisse
Die folgenden databrickssql-Ereignisse werden auf Arbeitsbereichsebene protokolliert:
Hinweis
Wenn Sie Ihre SQL-Warehouses mit der Legacy-SQL-Endpunkt-API verwalten, haben die Überwachungsereignisse Ihres SQL-Warehouse unterschiedliche Aktionsnamen. Weitere Informationen finden Sie unter SQL-Endpunktprotokolle.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
databrickssql |
addDashboardWidget |
Ein Widget wird einem Dashboard hinzugefügt. | - dashboardId- widgetId |
databrickssql |
cancelQueryExecution |
Eine Abfrageausführung wird über die SQL-Editor-Benutzeroberfläche abgebrochen. Dies schließt keine Abbrüche ein, die von der Benutzeroberfläche für den Abfrageverlauf oder der SQL-Ausführungs-API für Databricks stammen. | - queryExecutionId |
databrickssql |
changeWarehouseAcls |
Warehousemanager*innen aktualisieren Berechtigungen für ein SQL-Warehouse. | - aclPermissionSet- resourceId- shardName- targetUserId |
databrickssql |
changePermissions |
Benutzer*innen aktualisieren die Berechtigungen für ein Objekt. | - granteeAndPermission- objectId- objectType |
databrickssql |
cloneDashboard |
Benutzer*innen klonen ein Dashboard. | - dashboardId |
databrickssql |
commandSubmit |
Nur in ausführlichen Überwachungsprotokollen. Wird generiert, wenn ein Befehl an ein SQL-Warehouse übermittelt wird, unabhängig vom Ursprung der Anforderung. | - warehouseId- commandId- validation- commandText |
databrickssql |
commandFinish |
Nur in ausführlichen Überwachungsprotokollen. Wird generiert, wenn ein Befehl in einem SQL-Warehouse abgeschlossen oder abgebrochen wird, unabhängig vom Ursprung der Abbruchanforderung. | - warehouseId- commandId |
databrickssql |
createAlert |
Benutzer*innen erstellen eine Warnung. | - alertId |
databrickssql |
createNotificationDestination |
Arbeitsbereichsadministrator*innen erstellen ein Benachrichtigungsziel. | - notificationDestinationId- notificationDestinationType |
databrickssql |
createDashboard |
Benutzer*innen erstellen ein Dashboard. | - dashboardId |
databrickssql |
createDataPreviewDashboard |
Benutzer*innen erstellen ein Dashboard zur Datenvorschau. | - dashboardId |
databrickssql |
createWarehouse |
Benutzer*innen mit Clustererstellungsberechtigung erstellen ein SQL-Warehouse. | - auto_resume- auto_stop_mins- channel- cluster_size- conf_pairs- custom_cluster_confs- enable_databricks_compute- enable_photon- enable_serverless_compute- instance_profile_arn- max_num_clusters- min_num_clusters- name- size- spot_instance_policy- tags- test_overrides |
databrickssql |
createQuery |
Ein Benutzer erstellt eine neue Abfrage. | - queryId |
databrickssql |
createQueryDraft |
Benutzer*innen erstellen einen Abfrageentwurf. | - queryId |
databrickssql |
createQuerySnippet |
Benutzer*innen erstellen einen Abfrageschnipsel. | - querySnippetId |
databrickssql |
createSampleDashboard |
Benutzer*innen erstellen ein Beispiel-Dashboard. | - sampleDashboardId |
databrickssql |
createVisualization |
Benutzer*innen generieren mit dem SQL-Editor eine Visualisierung. Dies schließt Standardergebnistabellen und Visualisierungen in Notebooks aus, die SQL-Warehouses verwenden. | - queryId- visualizationId |
databrickssql |
deleteAlert |
Benutzer*innen löschen eine Warnung über die Warnungsschnittstelle oder über die API. Dies schließt Löschungen über die Benutzeroberfläche des Dateibrowsers aus. | - alertId |
databrickssql |
deleteNotificationDestination |
Arbeitsbereichsadministrator*innen löschen ein Benachrichtigungsziel. | - notificationDestinationId |
databrickssql |
deleteDashboard |
Benutzer*innen löschen ein Dashboard über die Dashboardschnittstelle oder über die API. Dies schließt Löschungen über die Benutzeroberfläche des Dateibrowsers aus. | - dashboardId |
databrickssql |
deleteDashboardWidget |
Benutzer*innen löschen ein Dashboardgadget. | - widgetId |
databrickssql |
deleteWarehouse |
Warehousemanager*innen löschen ein SQL-Warehouse. | - id |
databrickssql |
deleteQuery |
Benutzer*innen löschen eine Abfrage über die Abfrageschnittstelle oder über die API. Dies schließt Löschungen über die Benutzeroberfläche des Dateibrowsers aus. | - queryId |
databrickssql |
deleteQueryDraft |
Benutzer*innen löschen einen Abfrageentwurf. | - queryId |
databrickssql |
deleteQuerySnippet |
Benutzer*innen löschen einen Abfrageschnipsel. | - querySnippetId |
databrickssql |
deleteVisualization |
Benutzer*innen löschen eine Visualisierung aus einer Abfrage im SQL-Editor. | - visualizationId |
databrickssql |
downloadQueryResult |
Benutzer*innen laden ein Abfrageergebnis aus dem SQL-Editor herunter. Dies schließt Downloads von Dashboards aus. | - fileType- queryId- queryResultId- credentialsEmbedded- credentialsEmbeddedId |
databrickssql |
editWarehouse |
Warehousemanager*innen nehmen Änderungen an einem SQL-Warehouse vor. | - auto_stop_mins- channel- cluster_size- confs- enable_photon- enable_serverless_compute- id- instance_profile_arn- max_num_clusters- min_num_clusters- name- spot_instance_policy- tags |
databrickssql |
executeAdhocQuery |
Gründe für die Generierung: – Benutzer*innen führen einen Abfrageentwurf im SQL-Editor aus. – Eine Abfrage wird über eine Visualisierungsaggregation ausgeführt. – Benutzer*innen laden ein Dashboard und führen die zugrunde liegenden Abfragen aus. |
- dataSourceId |
databrickssql |
executeSavedQuery |
Benutzer*innen führen eine gespeicherte Abfrage aus. | - queryId |
databrickssql |
executeWidgetQuery |
Wird von jedem Ereignis generiert, das eine Abfrage ausführt, sodass ein Dashboardpanel aktualisiert wird. Einige Beispiele für anwendbare Ereignisse sind: – Aktualisieren eines einzelnen Bereichs – Aktualisieren des gesamten Dashboards – Geplante Dashboardausführungen – Parameter- oder Filteränderungen, die über mehr als 64.000 Zeilen ausgeführt werden |
- widgetId |
databrickssql |
favoriteDashboard |
Benutzer*innen fügen ein Dashboard ihren Favorit hinzu. | - dashboardId |
databrickssql |
favoriteQuery |
Benutzer*innen fügen eine Abfrage ihren Favorit hinzu. | - queryId |
databrickssql |
forkQuery |
Benutzer*innen klonen eine Abfrage. | - originalQueryId- queryId |
databrickssql |
listQueries |
Benutzer*innen öffnen die Abfrageauflistungsseite oder rufen die API zum Auflisten von Abfragen auf. | - filter_by- include_metrics- max_results- page_token |
databrickssql |
moveAlertToTrash |
Benutzer*innen verschieben eine Warnung in den Papierkorb. | - alertId |
databrickssql |
moveDashboardToTrash |
Benutzer*innen verschieben ein Dashboard in den Papierkorb. | - dashboardId |
databrickssql |
moveQueryToTrash |
Benutzer*innen verschieben eine Abfrage in den Papierkorb. | - queryId |
databrickssql |
restoreAlert |
Benutzer*innen stellen eine Warnung aus dem Papierkorb wieder her. | - alertId |
databrickssql |
restoreDashboard |
Benutzer*innen stellen ein Dashboard aus dem Papierkorb wieder her. | - dashboardId |
databrickssql |
restoreQuery |
Benutzer*innen stellen eine Abfrage aus dem Papierkorb wieder her. | - queryId |
databrickssql |
setWarehouseConfig |
Warehousemanager*innen legen die Konfiguration für ein SQL-Warehouse fest. | - data_access_config- enable_serverless_compute- instance_profile_arn- security_policy- serverless_agreement- sql_configuration_parameters- try_create_databricks_managed_starter_warehouse |
databrickssql |
snapshotDashboard |
Benutzer*innen fordern eine Momentaufnahme eines Dashboards an. Dies schließt geplante Dashboardmomentaufnahmen ein. | - dashboardId |
databrickssql |
startWarehouse |
Ein SQL-Warehouse wird gestartet. | - id |
databrickssql |
stopWarehouse |
Warehousemanager*innen beenden ein SQL-Warehouse. Dies schließt automatisch beendete Warehouses aus. | - id |
databrickssql |
transferObjectOwnership |
Ein Arbeitsbereichsadministrator überträgt den Besitz eines Dashboard, einer Abfrage oder einer Warnung über die API zum Transfer von Objekt-Besitz an einen aktiven Benutzer. Die Besitzübertragung über die Benutzeroberfläche oder Aktualisierungs-APIs wird nicht von diesem Überwachungsprotokollereignis erfasst. | - newOwner- objectId- objectType |
databrickssql |
unfavoriteDashboard |
Benutzer*innen entfernen ein Dashboard aus ihren Favoriten. | - dashboardId |
databrickssql |
unfavoriteQuery |
Benutzer*innen entfernen eine Abfrage aus ihren Favoriten. | - queryId |
databrickssql |
updateAlert |
Benutzer*innen nehmen Aktualisierungen an einer Warnung vor. ownerUserName wird aufgefüllt, wenn der der Besitz der Warnung mithilfe der API übertragen wird. |
- alertId- queryId- ownerUserName |
databrickssql |
updateNotificationDestination |
Arbeitsbereichsadministrator*innen aktualisieren ein Benachrichtigungsziel. | - notificationDestinationId |
databrickssql |
updateDashboardWidget |
Benutzer*innen aktualisieren ein Dashboardgadget. Dies schließt Änderungen an Achsenskalen aus. Beispiele für anwendbare Updates: – Ändern der Widgetgröße oder -platzierung – Hinzufügen oder Entfernen von Widgetparametern |
- widgetId |
databrickssql |
updateDashboard |
Benutzer*innen aktualisieren eine Dashboardeigenschaft. Dies schließt Änderungen an Zeitplänen und Abonnements aus. Beispiele für anwendbare Updates: – Änderungen am Dashboardnamen – Änderungen am SQL-Warehouse – Änderungen an den Einstellungen für Ausführen als |
- dashboardId |
databrickssql |
updateOrganizationSetting |
Arbeitsbereichsadministrator*innen aktualisieren die SQL-Einstellungen des Arbeitsbereichs. | - has_configured_data_access- has_explored_sql_warehouses- has_granted_permissions |
databrickssql |
updateQuery |
Benutzer*innen nehmen eine Aktualisierung an einer Abfrage vor. ownerUserName wird aufgefüllt, wenn der der Besitz der Abfrage mithilfe der API übertragen wird. |
- queryId- ownerUserName |
databrickssql |
updateQueryDraft |
Benutzer*innen nehmen eine Aktualisierung an einem Abfrageentwurf vor. | - queryId |
databrickssql |
updateQuerySnippet |
Benutzer*innen nehmen eine Aktualisierung an einem Abfrageschnipsel vor. | - querySnippetId |
databrickssql |
updateVisualization |
Benutzer*innen aktualisieren eine Visualisierung über den SQL-Editor oder das Dashboard. | - visualizationId |
Überwachen von Datenereignissen
Die folgenden dataMonitoring-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
dataMonitoring |
CreateMonitor |
Der Benutzer erstellt einen Monitor. | - data_classification_config- full_table_name_arg- assets_dir- schedule- output_schema_name- notifications- inference_log |
dataMonitoring |
UpdateMonitor |
Der Benutzer aktualisiert einen Monitor. | - data_classification_config- table_name- full_table_name_arg- drift_metrics_table_name- dashboard_id- custom_metrics- assets_dir- monitor_version- profile_metrics_table_name- baseline_table_name- status- output_schema_name- inference_log- slicing_exprs |
dataMonitoring |
DeleteMonitor |
Der Benutzer löscht einen Monitor. | - full_table_name_arg |
dataMonitoring |
RunRefresh |
Der Monitor wird entweder nach Zeitplan oder manuell aktualisiert. | - full_table_name_arg |
DBFS-Ereignisse
Die folgenden Tabellen enthalten dbfs-Ereignisse, die auf Arbeitsbereichsebene protokolliert werden.
Es gibt zwei Arten von DBFS-Ereignissen: API-Aufrufe und Betriebsereignisse.
DBFS-API-Ereignisse
Die folgenden DBFS-Überwachungsereignisse werden nur protokolliert, wenn sie über die DBFS-REST-API geschrieben werden.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
dbfs |
addBlock |
Der Benutzer fügt einen Datenblock an den Stream an. Dies wird in Verbindung mit dbfs/create verwendet, um Daten an DBFS zu streamen. | - handle- data_length |
dbfs |
create |
Benutzer*innen öffnen einen Stream, um eine Datei in DBFs zu schreiben. | - path- bufferSize- overwrite |
dbfs |
delete |
Benutzer*innen löschen die Datei oder das Verzeichnis aus DBFs. | - recursive- path |
dbfs |
mkdirs |
Benutzer*innen erstellen ein neues DBFS-Verzeichnis. | - path |
dbfs |
move |
Benutzer*innen verschieben eine Datei von einem Speicherort an einen anderen Speicherort innerhalb von DBFs. | - dst- source_path- src- destination_path |
dbfs |
put |
Benutzer*innen laden eine Datei mithilfe von mehrteiligen Formularbeiträgen in DBFs hoch. | - path- overwrite |
DBFS-Betriebsereignisse
Die folgenden DBFS-Überwachungsereignisse treten auf der Computeebene auf.
| Service | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
dbfs |
mount |
Benutzer*innen erstellen einen Bereitstellungspunkt an einem bestimmten DBFS-Speicherort. | - mountPoint- owner |
dbfs |
unmount |
Benutzer*innen entfernen einen Bereitstellungspunkt an einem bestimmten DBFS-Speicherort. | - mountPoint |
Delta-Pipelines-Ereignisse
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
deltaPipelines |
changePipelineAcls |
Benutzer*innen ändern die Berechtigungen für eine Pipeline. | - shardId- targetUserId- resourceId- aclPermissionSet |
deltaPipelines |
create |
Benutzer*innen erstellen eine Delta Live Tables-Pipeline. | - allow_duplicate_names- clusters- configuration- continuous- development- dry_run- id- libraries- name- storage- target- channel- edition- photon |
deltaPipelines |
delete |
Benutzer*innen löschen eine Delta Live Tables-Pipeline. | - pipeline_id |
deltaPipelines |
edit |
Benutzer*innen bearbeiten eine Delta Live Tables-Pipeline. | - allow_duplicate_names- clusters- configuration- continuous- development- expected_last_modified- id- libraries- name- pipeline_id- storage- target- channel- edition- photon |
deltaPipelines |
startUpdate |
Benutzer*innen starten eine Delta Live Tables-Pipeline neu. | - cause- full_refresh- job_task- pipeline_id |
deltaPipelines |
stop |
Benutzer*innen beenden eine Delta Live Tables-Pipeline. | - pipeline_id |
Featurespeicher-Ereignisse
Die folgenden featureStore-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
featureStore |
addConsumer |
Dem Feature Store wird ein Consumer hinzugefügt. | - features- job_run- notebook |
featureStore |
addDataSources |
Einer Featuretabelle wird eine Datenquelle hinzugefügt. | - feature_table- paths, tables |
featureStore |
addProducer |
Einer Featuretabelle wird ein Producer hinzugefügt. | - feature_table- job_run- notebook |
featureStore |
changeFeatureTableAcl |
Berechtigungen in einer Featuretabelle werden geändert. | - aclPermissionSet- resourceId- shardName- targetUserId |
featureStore |
createFeatureTable |
Eine Featuretabelle wird erstellt. | - description- name- partition_keys- primary_keys- timestamp_keys |
featureStore |
createFeatures |
Features werden in einer Featuretabelle erstellt. | - feature_table- features |
featureStore |
deleteFeatureTable |
Eine Featuretabelle wird gelöscht. | - name |
featureStore |
deleteTags |
Tags aus einer Featuretabelle werden gelöscht. | - feature_table_id- keys |
featureStore |
getConsumers |
Benutzer*innen führen einen Aufruf aus, um die Consumer in einer Featuretabelle abzurufen. | - feature_table |
featureStore |
getFeatureTable |
Benutzer*innen führen einen Aufruf aus, um Featuretabellen abzurufen. | - name |
featureStore |
getFeatureTablesById |
Benutzer*innen führen einen Aufruf aus, um Featuretabellen-IDs abzurufen. | - ids |
featureStore |
getFeatures |
Benutzer*innen führen einen Aufruf aus, um Features abzurufen. | - feature_table- max_results |
featureStore |
getModelServingMetadata |
Benutzer*innen führen einen Aufruf aus, um Metadaten zur Modellbereitstellung abzurufen. | - feature_table_features |
featureStore |
getOnlineStore |
Benutzer*innen führen einen Aufruf aus, um Informationen zum Onlinespeicher abzurufen. | - cloud- feature_table- online_table- store_type |
featureStore |
getTags |
Benutzer*innen führen einen Aufruf aus, um Tags für eine Featuretabelle abzurufen. | - feature_table_id |
featureStore |
publishFeatureTable |
Eine Featuretabelle wird veröffentlicht. | - cloud- feature_table- host- online_table- port- read_secret_prefix- store_type- write_secret_prefix |
featureStore |
searchFeatureTables |
Benutzer*innen suchen nach Featuretabellen. | - max_results- page_token- text |
featureStore |
setTags |
Tags werden einer Featuretabelle hinzugefügt. | - feature_table_id- tags |
featureStore |
updateFeatureTable |
Eine Featuretabelle wird aktualisiert. | - description- name |
Dateien-Ereignisse
Die folgenden filesystem-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
filesystem |
filesGet |
Der Benutzer lädt eine Datei mithilfe der Datei-API oder der Volumes-UI herunter. | - path- transferredSize |
filesystem |
filesPut |
Der Benutzer lädt eine Datei mithilfe der Dateien-API oder der Volumes-BEnutzeroberfläche hoch. | - path- receivedSize |
filesystem |
filesDelete |
Der Benutzer löscht eine Datei mithilfe der Datei-API oder der Volumes-UI. | - path |
filesystem |
filesHead |
Der Benutzer erhält Informationen zu einer Datei mithilfe der Datei-API oder der Volumes-UI. | - path |
Genie-Ereignisse
Die folgenden genie-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
Hinweis
Dieser Dienst ist nicht mit AI/BI Genie Spaces verbunden.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
genie |
databricksAccess |
Databricks-Personal wird für den Zugriff auf eine Kundenumgebung autorisiert. | - duration- approver- reason- authType- user |
Git-Anmeldeinformationen-Ereignisse
Die folgenden gitCredentials-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
gitCredentials |
getGitCredential |
Benutzer*innen erhalten Git-Anmeldeinformationen. | - id |
gitCredentials |
listGitCredentials |
Ein Benutzer listet alle Git-Anmeldeinformationen auf. | Keine |
gitCredentials |
deleteGitCredential |
Benutzer*innen löschen Git-Anmeldeinformationen. | - id |
gitCredentials |
updateGitCredential |
Benutzer*innen aktualisieren Git-Anmeldeinformationen. | - id- git_provider- git_username |
gitCredentials |
createGitCredential |
Benutzer*innen erstellen Git-Anmeldeinformationen. | - git_provider- git_username |
Globale Initilaisierungsskriptereignisse
Die folgenden globalInitScripts-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
globalInitScripts |
create |
Arbeitsbereichsadministrator*innen erstellen ein globales Initialisierungsskript. | - name- position- script-SHA256- enabled |
globalInitScripts |
update |
Arbeitsbereichsadministrator*innen aktualisieren ein globales Initialisierungsskript. | - script_id- name- position- script-SHA256- enabled |
globalInitScripts |
delete |
Arbeitsbereichsadministrator*innen löschen ein globales Initialisierungsskript. | - script_id |
Gruppenereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden groups-Ereignisse werden auf der Arbeitsbereichsebene protokolliert: Diese Aktionen beziehen sich auf Legacy-ACL-Gruppen. Informationen zu Aktionen im Zusammenhang mit Gruppen auf Konto- und Arbeitsbereichsebene finden Sie unter Kontoereignisse und Kontoereignisse auf Kontoebene.
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
groups |
addPrincipalToGroup |
Benutzer*innen werden von Administrator*innen einer Gruppe hinzugefügt. | - user_name- parent_name |
groups |
createGroup |
Administrator*innen erstellen eine Gruppe. | - group_name |
groups |
getGroupMembers |
Gruppenmitglieder werden von Administrator*innen angezeigt. | - group_name |
groups |
getGroups |
Eine Liste von Gruppen wird von Administrator*innen angezeigt. | Keine |
groups |
getInheritedGroups |
Geerbte Gruppen werden von Administrator*innen angezeigt. | Keine |
groups |
removeGroup |
Eine Gruppe wird von Administrator*innen entfernt. | - group_name |
IAM-Rollenereignisse
Das folgende iamRole-Ereignis wird auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
iamRole |
changeIamRoleAcl |
Arbeitsbereichsadministrator*innen ändern die Berechtigungen für eine IAM-Rolle. | - targetUserId- shardName- resourceId- aclPermissionSet |
Erfassungsereignisse
Das folgende ingestion-Ereignis wird auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
ingestion |
proxyFileUpload |
Ein Benutzer oder eine Benutzerin lädt eine Datei in seinen/ihren Azure Databricks-Arbeitsbereich hoch. | - x-databricks-content-length-0- x-databricks-total-files |
Instanzpoolereignisse
Die folgenden instancePools-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
instancePools |
changeInstancePoolAcl |
Benutzer*innen ändern die Berechtigungen eines Instanzpools. | - shardName- resourceId- targetUserId- aclPermissionSet |
instancePools |
create |
Benutzer*innen erstellen einen Instanzpool. | - enable_elastic_disk- preloaded_spark_versions- idle_instance_autotermination_minutes- instance_pool_name- node_type_id- custom_tags- max_capacity- min_idle_instances- aws_attributes |
instancePools |
delete |
Benutzer*innen löschen einen Instanzpool. | - instance_pool_id |
instancePools |
edit |
Benutzer*innen bearbeiten einen Instanzpool. | - instance_pool_name- idle_instance_autotermination_minutes- min_idle_instances- preloaded_spark_versions- max_capacity- enable_elastic_disk- node_type_id- instance_pool_id- aws_attributes |
Auftragsereignisse
Die folgenden jobs-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
jobs |
cancel |
Eine Auftragsausführung wird abgebrochen. | - run_id |
jobs |
cancelAllRuns |
Benutzer*innen brechen alle Ausführungen eines Auftrags ab. | - job_id |
jobs |
changeJobAcl |
Benutzer*innen aktualisieren die Berechtigungen für einen Auftrag. | - shardName- aclPermissionSet- resourceId- targetUserId |
jobs |
create |
Benutzer*innen erstellen einen Auftrag. | - spark_jar_task- email_notifications- notebook_task- spark_submit_task- timeout_seconds- libraries- name- spark_python_task- job_type- new_cluster- existing_cluster_id- max_retries- schedule- run_as |
jobs |
delete |
Benutzer*innen löschen einen Auftrag. | - job_id |
jobs |
deleteRun |
Benutzer*innen löschen eine Auftragsausführung. | - run_id |
jobs |
getRunOutput |
Benutzer*innen führen einen API-Aufruf aus, um eine Ausführungsausgabe zu erhalten. | - run_id- is_from_webapp |
jobs |
repairRun |
Benutzer*innen reparieren eine Auftragsausführung. | - run_id- latest_repair_id- rerun_tasks |
jobs |
reset |
Ein Auftrag wird zurückgesetzt. | - job_id- new_settings |
jobs |
resetJobAcl |
Benutzer*innen fordern die Änderung der Berechtigungen eines Auftrags an. | - grants- job_id |
jobs |
runCommand |
Verfügbar, wenn ausführliche Überwachungsprotokolle aktiviert sind. Wird ausgegeben, nachdem ein Befehl in einem Notebook von einer Auftragsausführung ausgeführt wurde. Ein Befehl entspricht einer Zelle in einem Notebook. | - jobId- runId- notebookId- executionTime- status- commandId- commandText |
jobs |
runFailed |
Fehler bei einer Auftragsausführung | - jobClusterType- jobTriggerType- jobId- jobTaskType- runId- jobTerminalState- idInJob- orgId- runCreatorUserName |
jobs |
runNow |
Benutzer*innen lösen eine bedarfsgesteuerte Auftragsausführung aus. | - notebook_params- job_id- jar_params- workflow_context |
jobs |
runStart |
Wird ausgegeben, wenn eine Auftragsausführung nach der Überprüfung und Clustererstellung gestartet wird. Die von diesem Ereignis ausgegebenen Anforderungsparameter hängen vom Typ der Aufgaben im Auftrag ab. Zusätzlich zu den aufgeführten Parametern können sie Folgendes umfassen: - dashboardId (für eine SQL-Dashboard-Task)- filePath (für eine SQL-Datei-Task)- notebookPath (für eine Notebook-Task)- mainClassName (für eine Spark JAR-Task)- pythonFile (für eine Spark JAR-Task)- projectDirectory (für eine dbt-Task)- commands (für eine dbt-Task)- packageName (für eine Python Wheel-Task)- entryPoint (für eine Python Wheel-Task)- pipelineId (für eine Pipeline-Task)- queryIds (für eine SQL-Abfrage-Task)- alertId (für eine SQL-Warn-Task) |
- taskDependencies- multitaskParentRunId- orgId- idInJob- jobId- jobTerminalState- taskKey- jobTriggerType- jobTaskType- runId- runCreatorUserName |
jobs |
runSucceeded |
Eine Auftragsausführung ist erfolgreich. | - idInJob- jobId- jobTriggerType- orgId- runId- jobClusterType- jobTaskType- jobTerminalState- runCreatorUserName |
jobs |
runTriggered |
Ein Auftragszeitplan wird automatisch entsprechend seinem Zeitplan oder Trigger ausgelöst. | - jobId- jobTriggeredType- runId |
jobs |
sendRunWebhook |
Ein Webhook wird entweder gesendet, wenn der Auftrag beginnt, abgeschlossen wird oder ein Fehler auftritt. | - orgId- jobId- jobWebhookId- jobWebhookEvent- runId |
jobs |
setTaskValue |
Benutzer*innen legen Werte für eine Aufgabe fest. | - run_id- key |
jobs |
submitRun |
Benutzer*innen übermitteln eine einmalige Ausführung über die API. | - shell_command_task- run_name- spark_python_task- existing_cluster_id- notebook_task- timeout_seconds- libraries- new_cluster- spark_jar_task |
jobs |
update |
Benutzer*innen bearbeiten die Einstellungen eines Auftrags. | - job_id- fields_to_remove- new_settings- is_from_dlt |
Marketplace-Consumerereignisse
Die folgenden marketplaceConsumer-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
marketplaceConsumer |
getDataProduct |
Benutzer*innen erhalten über den Databricks-Marketplace Zugriff auf ein Datenprodukt. | - listing_id- listing_name- share_name- catalog_name- request_context: Array von Informationen zum Konto und Metastore, die Zugriff auf das Datenprodukt erhalten haben |
marketplaceConsumer |
requestDataProduct |
Benutzer*innen fordern Zugriff auf ein Datenprodukt an, das die Genehmigung des Anbieters erfordert. | - listing_id- listing_name- catalog_name- request_context: Array von Informationen zum Konto und Metastore, die Zugriff auf das Datenprodukt anfordern |
Marketplace-Anbieterereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden marketplaceProvider-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
marketplaceProvider |
createListing |
Metastoreadministrator*innen erstellen einen Eintrag in ihrem Anbieterprofil. | - listing: Array von Details zum Eintrag- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
marketplaceProvider |
updateListing |
Metastoreadministrator*innen aktualisieren einen Eintrag in ihrem Anbieterprofil. | - id- listing: Array von Details zum Eintrag- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
marketplaceProvider |
deleteListing |
Metastoreadministrator*innen löschen einen Eintrag aus ihrem Anbieterprofil. | - id- request_context: Array von Details zum Konto und Metastore des Anbieters |
marketplaceProvider |
updateConsumerRequestStatus |
Metastoreadministrator*innen genehmigen eine Datenproduktanforderung oder lehnen sie ab. | - listing_id- request_id- status- reason- share: Array von Informationen zur Freigabe- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
marketplaceProvider |
createProviderProfile |
Metastoreadministrator*innen erstellen ein Anbieterprofil. | - provider: Array von Informationen zum Anbieter- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
marketplaceProvider |
updateProviderProfile |
Metastoreadministrator*innen aktualisieren ihr Anbieterprofil. | - id- provider: Array von Informationen zum Anbieter- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
marketplaceProvider |
deleteProviderProfile |
Metastoreadministrator*innen löschen ihr Anbieterprofil. | - id- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
marketplaceProvider |
uploadFile |
Ein Anbieter lädt eine Datei in sein Anbieterprofil hoch. | - request_context: Array von Informationen zum Konto und Metastore des Anbieters- marketplace_file_type- display_name- mime_type- file_parent: Array von übergeordneten Dateidetails |
marketplaceProvider |
deleteFile |
Ein Anbieter löscht eine Datei aus seinem Anbieterprofil. | - file_id- request_context: Array von Informationen zum Konto und Metastore des Anbieters |
MLflow-Artefakte mit ACL-Ereignissen
Die folgenden mlflowAcledArtifact-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
mlflowAcledArtifact |
readArtifact |
Benutzer*innen führen einen Aufruf aus, um ein Artefakt zu lesen. | - artifactLocation- experimentId- runId |
mlflowAcledArtifact |
writeArtifact |
Benutzer*innen führen einen Aufruf aus, um in ein Artefakt zu schreiben. | - artifactLocation- experimentId- runId |
MLflow-Experiment-Ereignisse
Die folgenden mlflowExperiment-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
mlflowExperiment |
createMlflowExperiment |
Ein Benutzer erstellt ein MLflow-Experiment. | - experimentId- path- experimentName |
mlflowExperiment |
deleteMlflowExperiment |
Benutzer*innen löschen ein MLflow-Experiment. | - experimentId- path- experimentName |
mlflowExperiment |
moveMlflowExperiment |
Benutzer*innen verschieben ein MLflow-Experiment. | - newPath- experimentId- oldPath |
mlflowExperiment |
restoreMlflowExperiment |
Benutzer*innen stellen ein MLflow-Experiment wieder her. | - experimentId- path- experimentName |
mlflowExperiment |
renameMlflowExperiment |
Benutzer*innen benennen ein MLflow-Experiment um. | - oldName- newName- experimentId- parentPath |
MLflow-Modellregistrierungs-Ereignisse
Die folgenden mlflowModelRegistry-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
modelRegistry |
approveTransitionRequest |
Benutzer*innen genehmigen eine Phasenübergangsanforderung für die Modellversion. | - name- version- stage- archive_existing_versions |
modelRegistry |
changeRegisteredModelAcl |
Benutzer*innen aktualisieren die Berechtigungen für ein registriertes Modell. | - registeredModelId- userId |
modelRegistry |
createComment |
Benutzer*innen veröffentlichen einen Kommentar zu einer Modellversion. | - name- version |
modelRegistry |
createModelVersion |
Benutzer*innen erstellen eine Modellversion. | - name- source- run_id- tags- run_link |
modelRegistry |
createRegisteredModel |
Ein Benutzer erstellt ein neues registriertes Modell. | - name- tags |
modelRegistry |
createRegistryWebhook |
Benutzer*innen erstellen einen Webhook für Modellregistrierungsereignisse. | - orgId- registeredModelId- events- description- status- creatorId- httpUrlSpec |
modelRegistry |
createTransitionRequest |
Benutzer*innen erstellen eine Phasenübergangsanforderung für die Modellversion. | - name- version- stage |
modelRegistry |
deleteComment |
Benutzer*innen löschen einen Kommentar zu einer Modellversion. | - id |
modelRegistry |
deleteModelVersion |
Benutzer*innen löschen eine Modellversion. | - name- version |
modelRegistry |
deleteModelVersionTag |
Benutzer*innen löschen ein Modellversionstag. | - name- version- key |
modelRegistry |
deleteRegisteredModel |
Ein Benutzer löscht ein registriertes Modell. | - name |
modelRegistry |
deleteRegisteredModelTag |
Benutzer*innen löschen das Tag für ein registriertes Modell. | - name- key |
modelRegistry |
deleteRegistryWebhook |
Benutzer*innen löschen einen Modellregistrierungswebhook. | - orgId- webhookId |
modelRegistry |
deleteTransitionRequest |
Benutzer*innen brechen eine Phasenübergangsanforderung für die Modellversion ab. | - name- version- stage- creator |
modelRegistry |
finishCreateModelVersionAsync |
Asynchrones Kopieren von Modellen abgeschlossen. | - name- version |
modelRegistry |
generateBatchInferenceNotebook |
Ein Notebook für Batchrückschlüsse wird automatisch generiert. | - userId- orgId- modelName- inputTableOpt- outputTablePathOpt- stageOrVersion- modelVersionEntityOpt- notebookPath |
modelRegistry |
generateDltInferenceNotebook |
Ein Rückschlussnotebook für eine Delta Live Tables-Pipeline wird automatisch generiert. | - userId- orgId- modelName- inputTable- outputTable- stageOrVersion- notebookPath |
modelRegistry |
getModelVersionDownloadUri |
Benutzer*innen erhalten einen URI zum Herunterladen der Modellversion. | - name- version |
modelRegistry |
getModelVersionSignedDownloadUri |
Benutzer*innen erhalten einen URI zum Herunterladen einer signierten Modellversion. | - name- version- path |
modelRegistry |
listModelArtifacts |
Benutzer*innen führen einen Aufruf aus, um Artefakte eines Modells aufzulisten. | - name- version- path- page_token |
modelRegistry |
listRegistryWebhooks |
Benutzer*innen führen einen Aufruf aus, um alle Registrierungswebhooks im Modell aufzulisten. | - orgId- registeredModelId |
modelRegistry |
rejectTransitionRequest |
Benutzer*innen lehnen eine Phasenübergangsanforderung für die Modellversion ab. | - name- version- stage |
modelRegistry |
renameRegisteredModel |
Ein Benutzer benennt ein registriertes Modell um. | - name- new_name |
modelRegistry |
setEmailSubscriptionStatus |
Ein Benutzer aktualisiert den Status des E-Mail-Abonnements für ein registriertes Modell. | |
modelRegistry |
setModelVersionTag |
Benutzer*innen legen ein Modellversionstag fest. | - name- version- key- value |
modelRegistry |
setRegisteredModelTag |
Benutzer*innen legen ein Modellversionstag fest. | - name- key- value |
modelRegistry |
setUserLevelEmailSubscriptionStatus |
Benutzer*innen aktualisieren ihren Status der E-Mail-Benachrichtigungen für die gesamte Registrierung. | - orgId- userId- subscriptionStatus |
modelRegistry |
testRegistryWebhook |
Benutzer*innen testen den Modellregistrierungswebhook. | - orgId- webhookId |
modelRegistry |
transitionModelVersionStage |
Benutzer*innen rufen eine Liste aller offenen Phasenübergangsanforderungen für die Modellversion ab. | - name- version- stage- archive_existing_versions |
modelRegistry |
triggerRegistryWebhook |
Ein Modellregistrierungswebhook wird durch ein Ereignis ausgelöst. | - orgId- registeredModelId- events- status |
modelRegistry |
updateComment |
Ein Benutzer stellt eine Bearbeitung für einen Kommentar zu einer Modellversion bereit. | - id |
modelRegistry |
updateRegistryWebhook |
Benutzer*innen aktualisieren einen Modellregistrierungswebhook. | - orgId- webhookId |
Modellbereitstellungsereignisse
Die folgenden serverlessRealTimeInference-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
serverlessRealTimeInference |
changeInferenceEndpointAcl |
Benutzer*innen aktualisieren die Berechtigungen für einen Rückschlussendpunkt. | - shardName- targetUserId- resourceId- aclPermissionSet |
serverlessRealTimeInference |
createServingEndpoint |
Benutzer*innen erstellen einen Model Serving-Endpunkt. | - name- config |
serverlessRealTimeInference |
deleteServingEndpoint |
Benutzer*innen löschen einen Model Serving-Endpunkt. | - name |
serverlessRealTimeInference |
disable |
Benutzer*innen deaktivieren Model Serving für ein registriertes Modell. | - registered_mode_name |
serverlessRealTimeInference |
enable |
Benutzer*innen aktivieren Model Serving für ein registriertes Modell. | - registered_mode_name |
serverlessRealTimeInference |
getQuerySchemaPreview |
Benutzer*innen führen einen Aufruf aus, um die Abfrageschemavorschau abzurufen. | - endpoint_name |
serverlessRealTimeInference |
updateServingEndpoint |
Benutzer*innen aktualisieren einen Model Serving-Endpunkt. | - name- served_models- traffic_config |
serverlessRealTimeInference |
updateInferenceEndpointRateLimits |
Der Benutzer aktualisiert die Ratenbeschränkungen für einen Ableitungsendpunkt. Zinsgrenzwerte gelten nur für Foundation-Modell-APIs für Pay-per-Token- und externe Modellendpunkte. | - name- rate_limits |
Notebook-Ereignisse
Die folgenden notebook-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
notebook |
attachNotebook |
Ein Notebook ist an einen Cluster angefügt. | - path- clusterId- notebookId |
notebook |
cloneNotebook |
Benutzer*innen klonen ein Notebook. | - notebookId- path- clonedNotebookId- destinationPath |
notebook |
createNotebook |
Ein Notebook wird erstellt. | - notebookId- path |
notebook |
deleteFolder |
Ein Notebookordner wird gelöscht. | - path |
notebook |
deleteNotebook |
Ein Notebook wird gelöscht. | - notebookId- notebookName- path |
notebook |
detachNotebook |
Ein Notebook wird von einem Cluster getrennt. | - notebookId- clusterId- path |
notebook |
downloadLargeResults |
Benutzer*innen laden Abfrageergebnisse herunter, die zu groß sind, um sie im Notebook anzuzeigen. | - notebookId- notebookFullPath |
notebook |
downloadPreviewResults |
Benutzer*innen laden Abfrageergebnisse herunter. | - notebookId- notebookFullPath |
notebook |
importNotebook |
Benutzer*innen importieren ein Notebook. | - path |
notebook |
moveFolder |
Ein Notebookordner wird zwischen Speicherorten verschoben. | - oldPath- newPath- folderId |
notebook |
moveNotebook |
Ein Notebook wird zwischen Speicherorten verschoben. | - newPath- oldPath- notebookId |
notebook |
renameNotebook |
Ein Notebook wird umbenannt. | - newName- oldName- parentPath- notebookId |
notebook |
restoreFolder |
Ein gelöschter Ordner wird wiederhergestellt. | - path |
notebook |
restoreNotebook |
Ein gelöschtes Notebook wird wiederhergestellt. | - path- notebookId- notebookName |
notebook |
runCommand |
Verfügbar, wenn ausführliche Überwachungsprotokolle aktiviert sind. Wird ausgegeben, nachdem Databricks einen Befehl in einem Notebook ausführt. Ein Befehl entspricht einer Zelle in einem Notebook.executionTime wird in Sekunden gemessen. |
- notebookId- executionTime- status- commandId- commandText- commandLanguage |
notebook |
takeNotebookSnapshot |
Notebookmomentaufnahmen werden erstellt, wenn entweder der Auftragsdienst oder MLflow ausgeführt wird. | - path |
Partner Connect-Ereignisse
Die folgenden partnerHub-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
partnerHub |
createOrReusePartnerConnection |
Arbeitsbereichsadministrator*innen richten eine Verbindung mit einer Partnerlösung ein. | - partner_name |
partnerHub |
deletePartnerConnection |
Arbeitsbereichsadministrator*innen löschen eine Partnerverbindung. | - partner_name |
partnerHub |
downloadPartnerConnectionFile |
Arbeitsbereichsadministrator*innen laden die Partnerverbindungsdatei herunter. | - partner_name |
partnerHub |
setupResourcesForPartnerConnection |
Arbeitsbereichsadministrator*innen richten Ressourcen für eine Partnerverbindung ein. | - partner_name |
Prädiktive Optimierung
Die folgenden predictiveOptimization-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
predictiveOptimization |
PutMetrics |
Wird aufgezeichnet, wenn Tabellen- und Workloadmetriken der Vorhersageoptimierung aktualisiert werden, damit der Dienst Optimierungsvorgänge intelligenter planen kann. | - table_metrics_list- start_time- end_time |
predictiveOptimization |
UpdatePredictiveOptimization |
Ein Kontoadministrator aktiviert oder deaktiviert die prädiktive Optimierung für einen Metastore. | - metastore_id- enable |
Remoteverlaufsdienstereignisse
Die folgenden remoteHistoryService-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
remoteHistoryService |
addUserGitHubCredentials |
Benutzer fügt Github-Anmeldeinformationen hinzu. | none |
remoteHistoryService |
deleteUserGitHubCredentials |
Benutzer entfernt Github-Anmeldeinformationen. | none |
remoteHistoryService |
updateUserGitHubCredentials |
Benutzer aktualisiert Github-Anmeldeinformationen. | Keine |
Git-Ordnerereignisse
Die folgenden repos-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Name der Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
repos |
checkoutBranch |
Benutzer*innen checken einen Branch im Repository aus. | - id- branch |
repos |
commitAndPush |
Benutzer*innen committen und pushen in ein Repository. | - id- message- files- checkSensitiveToken |
repos |
createRepo |
Ein Benutzer erstellt ein Repository im Arbeitsbereich. | - url- provider- path |
repos |
deleteRepo |
Benutzer*innen löschen ein Repository. | - id |
repos |
discard |
Benutzer*innen verwerfen einen Commit für ein Repository. | - id- file_paths |
repos |
getRepo |
Benutzer*innen führen einen Aufruf aus, um Informationen zu einem einzelnen Repository abzurufen. | - id |
repos |
listRepos |
Benutzer*innen führen einen Aufruf aus, um alle Repositorys abzurufen, für die sie über die Berechtigung „Verwalten“ verfügt. | - path_prefix- next_page_token |
repos |
pull |
Benutzer*innen rufen die neuesten Commits aus einem Repository ab. | - id |
repos |
updateRepo |
Benutzer*innen aktualisieren das Repository auf einen anderen Branch oder ein anderes Tag oder auf den neuesten Commit für denselben Branch. | - id- branch- tag- git_url- git_provider |
Geheimnis-Ereignisse
Die folgenden secrets-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Name der Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
secrets |
createScope |
Benutzer*innen erstellen einen Geheimnisbereich. | - scope- initial_manage_principal- scope_backend_type |
secrets |
deleteAcl |
Benutzer*innen löschen ACLs für einen Geheimnisbereich. | - scope- principal |
secrets |
deleteScope |
Benutzer*innen löschen einen Geheimnisbereich. | - scope |
secrets |
deleteSecret |
Benutzer*innen löschen ein Geheimnis aus einem Bereich. | - key- scope |
secrets |
getAcl |
Benutzer*innen rufen ACLs für einen Geheimnisbereich ab. | - scope- principal |
secrets |
getSecret |
Benutzer*innen rufen ein Geheimnis aus einem Bereich ab. | - key- scope |
secrets |
listAcls |
Benutzer*innen führen einen Aufruf aus, um ACLs für einen Geheimnisbereich aufzulisten. | - scope |
secrets |
listScopes |
Benutzer führt einen Aufruf aus, um Geheimnisbereiche aufzulisten. | Keine |
secrets |
listSecrets |
Benutzer*innen führen einen Aufruf aus, um Geheimnisse innerhalb eines Bereichs aufzulisten. | - scope |
secrets |
putAcl |
Benutzer*innen ändern ACLs für einen Geheimnisbereich. | - scope- principal- permission |
secrets |
putSecret |
Benutzer*innen fügen ein Geheimnis innerhalb eines Bereichs hinzu oder bearbeiten es. | - string_value- key- scope |
SQL-Tabellenzugriffsereignisse
Hinweis
Der sqlPermissions-Dienst enthält Ereignisse im Zusammenhang mit der Tabellenzugriffssteuerung für den älteren Hive-Metastore. Databricks empfiehlt, ein Upgrade der vom Hive-Metastore verwalteten Tabellen auf den Unity Catalog-Metastore durchzuführen.
Die folgenden sqlPermissions-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Name der Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
sqlPermissions |
changeSecurableOwner |
Arbeitsbereichsadministrator*innen oder Besitzer*innen eines Objekts übertragen den Objektbesitz. | - securable- principal |
sqlPermissions |
createSecurable |
Benutzer*innen erstellen ein sicherungsfähiges Objekt. | - securable |
sqlPermissions |
denyPermission |
Objektbesitzer*innen verweigern Berechtigungen für ein sicherungsfähiges Objekt. | - permission |
sqlPermissions |
grantPermission |
Objektbesitzer*innen erteilen Berechtigungen für ein sicherungsfähiges Objekt. | - permission |
sqlPermissions |
removeAllPermissions |
Benutzer*innen löschen ein sicherungsfähiges Objekt. | - securable |
sqlPermissions |
renameSecurable |
Benutzer*innen benennen ein sicherungsfähiges Objekt um. | - before- after |
sqlPermissions |
requestPermissions |
Benutzer*innen fordern Berechtigungen für ein sicherungsfähiges Objekt an. | - requests |
sqlPermissions |
revokePermission |
Objektbesitzer*innen widerrufen Berechtigungen für ihr sicherungsfähiges Objekt. | - permission |
sqlPermissions |
showPermissions |
Benutzer*innen zeigen Berechtigungen für sicherungsfähige Objekte an. | - securable- principal |
SSH-Ereignisse
Die folgenden ssh-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Name der Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
ssh |
login |
Agent-Anmeldung per SSH beim Spark-Treiber. | - containerId- userName- port- publicKey- instanceId |
ssh |
logout |
Agent-Abmeldung per SSH vom Spark-Treiber. | - userName- containerId- instanceId |
Vektorsuchereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden vectorSearch-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
vectorSearch |
createEndpoint |
Ein Benutzer erstellt einen Vektorsuchendpunkt. | - name- endpoint_type |
vectorSearch |
deleteEndpoint |
Der Benutzer löscht einen Vektorsuchendpunkt. | - name |
vectorSearch |
createVectorIndex |
Ein Benutzer erstellt einen Vektorsuchindex. | - name- endpoint_name- primary_key- index_type- delta_sync_index_spec- direct_access_index_spec |
vectorSearch |
deleteVectorIndex |
Der Benutzer löscht einen Vektorsuchindex. | - name- endpoint_name- delete_embedding_writeback_table |
Webterminalereignisse
Die folgenden webTerminal-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Name der Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
webTerminal |
startSession |
Benutzer*innen starten eine Webterminalsitzung. | - socketGUID- clusterId- serverPort- ProxyTargetURI |
webTerminal |
closeSession |
Benutzer*innen schließen eine Webterminalsitzung. | - socketGUID- clusterId- serverPort- ProxyTargetURI |
Arbeitsbereichsereignisse
Die folgenden workspace-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Name der Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
workspace |
changeWorkspaceAcl |
Berechtigungen für den Arbeitsbereich werden geändert. | - shardName- targetUserId- aclPermissionSet- resourceId |
workspace |
deleteSetting |
Eine Einstellung wird aus dem Arbeitsbereich gelöscht. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName |
workspace |
fileCreate |
Benutzer*innen erstellen eine Datei im Arbeitsbereich. | - path |
workspace |
fileDelete |
Benutzer*innen löschen eine Datei aus dem Arbeitsbereich. | - path |
workspace |
fileEditorOpenEvent |
Benutzer*innen öffnen den Datei-Editor. | - notebookId- path |
workspace |
getRoleAssignment |
Benutzer*innen rufen die Benutzerrollen eines Arbeitsbereichs ab. | - account_id- workspace_id |
workspace |
mintOAuthAuthorizationCode |
Aufgezeichnet, wenn der interne OAuth-Autorisierungscode auf Arbeitsbereichsebene neu erstellt wird | - client_id |
workspace |
mintOAuthToken |
Das OAuth-Token wird für den Arbeitsbereich erstellt. | - grant_type- scope- expires_in- client_id |
workspace |
moveWorkspaceNode |
Arbeitsbereichsadministrator*innen verschieben den Arbeitsbereichsknoten. | - destinationPath- path |
workspace |
purgeWorkspaceNodes |
Arbeitsbereichsadministrator*innen löschen Arbeitsbereichsknoten. | - treestoreId |
workspace |
reattachHomeFolder |
Ein vorhandener Startordner wird erneut für Benutzer*innen angefügt, die dem Arbeitsbereich neu hinzugefügt werden. | - path |
workspace |
renameWorkspaceNode |
Arbeitsbereichsadministrator*innen benennen Arbeitsbereichsknoten um. | - path- destinationPath |
workspace |
unmarkHomeFolder |
Besondere Attribute des Startordners werden entfernt, wenn Benutzer*innen aus dem Arbeitsbereich entfernt werden. | - path |
workspace |
updateRoleAssignment |
Arbeitsbereichsadministrator*innen aktualisieren die Rolle von Arbeitsbereichsbenutzer*innen. | - account_id- workspace_id- principal_id |
workspace |
updatePermissionAssignment |
Ein Arbeitsbereichsadministrator fügt dem Arbeitsbereich einen Prinzipal hinzu. | - principal_id- permissions |
workspace |
setSetting |
Arbeitsbereichsadministrator*innen konfigurieren eine Arbeitsbereichseinstellung. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
workspace |
workspaceConfEdit |
Arbeitsbereichsadministrator*innen nehmen Aktualisierungen an einer Einstellung vor, z. B. die Aktivierung ausführlicher Überwachungsprotokolle. | - workspaceConfKeys- workspaceConfValues |
workspace |
workspaceExport |
Benutzer*innen exportieren ein Notebook aus einem Arbeitsbereich. | - workspaceExportDirectDownload- workspaceExportFormat- notebookFullPath |
workspace |
workspaceInHouseOAuthClientAuthentication |
Der OAuth-Client wird im Arbeitsbereichsdienst authentifiziert. | - user |
Abrechenbare Nutzungsereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden accountBillableUsage-Ereignisse werden auf der Kontoebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
accountBillableUsage |
getAggregatedUsage |
Benutzer*innen haben über das Nutzungsdiagrammfeature auf die aggregierte abrechenbare Nutzung (pro Tag) für das Konto zugegriffen. | - account_id- window_size- start_time- end_time- meter_name- workspace_ids_filter |
accountBillableUsage |
getDetailedUsage |
Benutzer*innen haben über das Nutzungsdownloadfeature auf die detaillierte abrechenbare Nutzung (für jeden Cluster) für das Konto zugegriffen. | - account_id- start_month- end_month- with_pii |
Kontoereignisse auf Kontoebene
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden accounts-Ereignisse werden auf der Kontoebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
accounts |
accountInHouseOAuthClientAuthentication |
Ein OAuth-Client wird authentifiziert. | - endpoint |
accounts |
accountIpAclsValidationFailed |
Fehler beim Überprüfen von IP-Berechtigungen Gibt statusCode 403 zurück | - sourceIpAddress- user: als E-Mail-Adresse protokolliert |
accounts |
activateUser |
Benutzer*innen werden nach der Deaktivierung erneut aktiviert. Weitere Informationen finden Sie unter Deaktivieren von Benutzer*innen im Konto. | - targetUserName- endpoint- targetUserId |
accounts |
add |
Benutzer*innen werden dem Azure Databricks-Konto hinzugefügt. | - targetUserName- endpoint- targetUserId |
accounts |
addPrincipalToGroup |
Benutzer*innen werden einer Gruppe auf Kontoebene hinzugefügt. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
addPrincipalsToGroup |
Benutzer*innen werden einer Gruppe auf Kontoebene mithilfe der SCIM-Bereitstellung hinzugefügt. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
createGroup |
Eine Gruppe auf Kontoebene wird erstellt. | - endpoint- targetGroupId- targetGroupName |
accounts |
deactivateUser |
Benutzer*innen werden deaktiviert. Weitere Informationen finden Sie unter Deaktivieren von Benutzer*innen im Konto. | - targetUserName- endpoint- targetUserId |
accounts |
delete |
Benutzer*innen werden aus dem Azure Databricks-Konto gelöscht. | - targetUserId- targetUserName- endpoint |
accounts |
deleteSetting |
Kontoadministrator*innen entfernen eine Einstellung aus dem Azure Databricks-Konto. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
garbageCollectDbToken |
Benutzer*innen führen einen Garbage Collect-Befehl für abgelaufene Token aus. | - tokenExpirationTime- tokenClientId- userId- tokenCreationTime- tokenFirstAccessed |
accounts |
generateDbToken |
Benutzer*innen generieren aus den Benutzereinstellungen ein Token, oder der Dienst generiert das Token. | - tokenExpirationTime- tokenCreatedBy- tokenHash- userId |
accounts |
login |
Benutzer*innen melden sich bei der Kontokonsole an. | - user |
accounts |
logout |
Benutzer*innen melden sich von der Kontokonsole ab. | - user |
accounts |
oidcBrowserLogin |
Benutzer*innen melden sich mit dem OpenID Connect-Browserworkflow bei ihren Konten an. | - user |
accounts |
oidcTokenAuthorization |
Ein OIDC-Token wird für eine Kontoadministratoranmeldung authentifiziert. | - user |
accounts |
removeAccountAdmin |
Kontoadministrator*innen entfernen Kontoadministratorberechtigungen von anderen Benutzer*innen. | - targetUserName- endpoint- targetUserId |
accounts |
removeGroup |
Eine Gruppe wird aus dem Konto entfernt. | - targetGroupId- targetGroupName- endpoint |
accounts |
removePrincipalFromGroup |
Benutzer*innen werden aus einer Gruppe auf Kontoebene entfernt. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
removePrincipalsFromGroup |
Benutzer*innen werden mithilfe der SCIM-Bereitstellung aus einer Gruppe auf Kontoebene entfernt. | - targetGroupId- endpoint- targetUserId- targetGroupName- targetUserName |
accounts |
setAccountAdmin |
Kontoadministrator*innen weisen die Rolle „Kontoadministrator“ anderen Benutzer*innen zu. | - targetUserName- endpoint- targetUserId |
accounts |
setSetting |
Kontoadministrator*innen aktualisieren eine Einstellung auf Kontoebene. | - settingKeyTypeName- settingKeyName- settingTypeName- settingName- settingValueForAudit |
accounts |
tokenLogin |
Benutzer*innen melden sich mit einem Token bei Databricks an. | - tokenId- user |
accounts |
updateUser |
Kontoadministrator*innen aktualisieren ein Benutzerkonto. | - targetUserName- endpoint- targetUserId |
accounts |
updateGroup |
Kontoadministrator*innen aktualisieren eine Gruppe auf Kontoebene. | - endpoint- targetGroupId- targetGroupName |
accounts |
validateEmail |
Benutzer*innen überprüfen ihre E-Mails nach der Kontoerstellung. | - endpoint- targetUserName- targetUserId |
Zugriffssteuerungsereignisse auf Kontoebene
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Das folgende accountsAccessControl-Ereignis wird auf der Kontoebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
accountsAccessControl |
updateRuleSet |
Ein Regelsatz wird geändert. | - account_id- name- rule_set |
Kontoverwaltungsereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden accountsManager-Ereignisse werden auf der Kontoebene protokolliert: Diese Ereignisse müssen mit Konfigurationen von Kontoadministratoren in der Kontokonsole verwendet werden.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
accountsManager |
createNetworkConnectivityConfig |
Der Kontoadministrator hat eine Netzwerkkonnektivitätskonfiguration erstellt. | - network_connectivity_config |
accountsManager |
getNetworkConnectivityConfig |
Kontoadministrator fordert Details zu einer Netzwerkkonnektivitätskonfiguration an. | - account_id- network_connectivity_config_id |
accountsManager |
listNetworkConnectivityConfigs |
Der Kontoadministrator listet alle Netzwerkkonnektivitätskonfigurationen im Konto auf. | - account_id |
accountsManager |
deleteNetworkConnectivityConfig |
Kontoadministrator hat eine Netzwerkkonnektivitätskonfiguration gelöscht. | - account_id- network_connectivity_config_id |
accountsManager |
createNetworkConnectivityConfigPrivateEndpointRule |
Der Kontoadministrator hat eine private Endpunktregel erstellt. | - account_id- network_connectivity_config_id- azure_private_endpoint_rule |
accountsManager |
getNetworkConnectivityConfigPrivateEndpointRule |
Kontoadministrator fordert Details zu einer privaten Endpunktregel an. | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
listNetworkConnectivityConfigPrivateEndpointRules |
Der Kontoadministrator listet alle regeln für private Endpunkte unter einer Netzwerkkonnektivitätskonfiguration auf. | - account_id- network_connectivity_config_id |
accountsManager |
deleteNetworkConnectivityConfigPrivateEndpointRule |
Der Kontoadministrator hat eine private Endpunktregel gelöscht. | - account_id- network_connectivity_config_id- rule_id |
accountsManager |
updateNetworkConnectivityConfigPrivateEndpointRule |
Der Kontoadministrator hat eine private Endpunktregel aktualisiert. | - account_id- network_connectivity_config_id- rule_id- azure_private_endpoint_rule |
Budgetrichtlinienereignisse
Die folgenden budgetPolicyCentral Ereignisse werden auf Kontoebene protokolliert und beziehen sich auf Budgetrichtlinien. Siehe Attributserverlose Verwendung mit Budgetrichtlinien.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
budgetPolicyCentral |
createBudgetPolicy |
Arbeitsbereichsadministrator oder Abrechnungsadministrator erstellt eine Budgetrichtlinie. Die neue policy_id wird in der response Spalte protokolliert. |
- policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
Arbeitsbereichsadministrator, Abrechnungsadministrator oder Richtlinien-Manager aktualisiert eine Budgetrichtlinie. | - policy.policy_id- policy.policy_name |
budgetPolicyCentral |
updateBudgetPolicy |
Arbeitsbereichsadministrator, Abrechnungsadministrator oder Richtlinienmanager löscht eine Budgetrichtlinie. | - policy_id |
Unity Catalog-Ereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Die folgenden Diagnoseereignisse beziehen sich auf Unity Catalog. Delta Sharing-Ereignisse werden auch unter dem Dienst unityCatalog protokolliert. Informationen zu Delta Sharing-Ereignissen finden Sie unter Delta Sharing-Ereignisse. Unity Catalog-Überwachungsereignisse können je nach Ereignis auf der Arbeitsbereichs- oder Kontoebene protokolliert werden.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
unityCatalog |
createMetastore |
Kontoadministrator*innen erstellen einen Metastore. | - name- storage_root- workspace_id- metastore_id |
unityCatalog |
getMetastore |
Kontoadministrator*innen fordern eine Metastore-ID an. | - id- workspace_id- metastore_id |
unityCatalog |
getMetastoreSummary |
Kontoadministrator*innen fordern Details zu einem Metastore an. | - workspace_id- metastore_id |
unityCatalog |
listMetastores |
Kontoadministrator*innen fordern eine Liste aller Metastores in einem Konto an. | - workspace_id |
unityCatalog |
updateMetastore |
Kontoadministrator*innen führen ein Update für einen Metastore durch. | - id- owner- workspace_id- metastore_id |
unityCatalog |
deleteMetastore |
Kontoadministrator*innen löschen einen Metastore. | - id- force- workspace_id- metastore_id |
unityCatalog |
updateMetastoreAssignment |
Kontoadministrator*innen aktualisieren die Arbeitsbereichszuweisung eines Metastores. | - workspace_id- metastore_id- default_catalog_name |
unityCatalog |
createExternalLocation |
Kontoadministrator*innen erstellen einen externen Speicherort. | - name- skip_validation- url- credential_name- workspace_id- metastore_id |
unityCatalog |
getExternalLocation |
Kontoadministrator*innen fordern Details zu einem externen Speicherort an. | - name_arg- include_browse- workspace_id- metastore_id |
unityCatalog |
listExternalLocations |
Kontoadministrator*innen fordern eine Liste aller externen Speicherorte in einem Konto an. | - url- max_results- workspace_id- metastore_id |
unityCatalog |
updateExternalLocation |
Kontoadministrator*innen führen ein Update an einem externen Speicherort durch. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteExternalLocation |
Kontoadministrator*innen löschen einen externen Speicherort. | - name_arg- force- workspace_id- metastore_id |
unityCatalog |
createCatalog |
Benutzer*innen erstellen einen Katalog. | - name- comment- workspace_id- metastore_id |
unityCatalog |
deleteCatalog |
Benutzer*innen löschen einen Katalog. | - name_arg- workspace_id- metastore_id |
unityCatalog |
getCatalog |
Benutzer*innen fordern Details zu einem Katalog an. | - name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
updateCatalog |
Benutzer*innen aktualisieren einen Katalog. | - name_arg- isolation_mode- comment- workspace_id- metastore_id |
unityCatalog |
listCatalog |
Benutzer*innen führen einen Aufruf aus, um alle Kataloge im Metastore aufzurufen. | - name_arg- workspace_id- metastore_id |
unityCatalog |
createSchema |
Benutzer*innen erstellen ein Schema. | - name- catalog_name- comment- workspace_id- metastore_id |
unityCatalog |
deleteSchema |
Benutzer*innen löschen ein Schema. | - full_name_arg- force- workspace_id- metastore_id |
unityCatalog |
getSchema |
Benutzer*innen fordern Details zu einem Schema an. | - full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
listSchema |
Benutzer*innen fordern eine Liste aller Schemas in einem Katalog an. | - catalog_name |
unityCatalog |
updateSchema |
Benutzer*innen aktualisieren ein Schema. | - full_name_arg- name- workspace_id- metastore_id- comment |
unityCatalog |
createStagingTable |
- name- catalog_name- schema_name- workspace_id- metastore_id |
|
unityCatalog |
createTable |
Der Benutzer erstellt eine Tabelle. Die Anforderungsparameter unterscheiden sich je nach Art der erstellten Tabelle. | - name- data_source_format- catalog_name- schema_name- storage_location- columns- dry_run- table_type- view_dependencies- view_definition- sql_path- comment |
unityCatalog |
deleteTable |
Benutzer*innen löschen eine Tabelle. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
getTable |
Benutzer*innen fordern Details zu einer Tabelle an. | - include_delta_metadata- full_name_arg- dependent- workspace_id- metastore_id |
unityCatalog |
privilegedGetTable |
- full_name_arg |
|
unityCatalog |
listTables |
Benutzer*innen führen einen Aufruf aus, um alle Tabellen in einem Schema aufzulisten. | - catalog_name- schema_name- workspace_id- metastore_id- include_browse |
unityCatalog |
listTableSummaries |
Der Benutzer ruft ein Array von Zusammenfassungen für Tabellen für ein Schema und einen Katalog innerhalb des Metastores ab. | - catalog_name- schema_name_pattern- workspace_id- metastore_id |
unityCatalog |
updateTables |
Der Benutzer aktualisiert eine Tabelle. Die angezeigten Anforderungsparameter variieren je nach Art der vorgenommenen Tabellenupdates. | - full_name_arg- table_type- table_constraint_list- data_source_format- columns- dependent- row_filter- storage_location- sql_path- view_definition- view_dependencies- owner- comment- workspace_id- metastore_id |
unityCatalog |
createStorageCredential |
Kontoadministrator erstellt Speicheranmeldeinformationen. Möglicherweise wird ein zusätzlicher Anforderungsparameter basierend auf Ihren Anmeldeinformationen des Cloudanbieters angezeigt. | - name- comment- workspace_id- metastore_id |
unityCatalog |
listStorageCredentials |
Kontoadministrator*innen führen einen Aufruf aus, um alle Speicheranmeldeinformationen im Konto aufzulisten. | - workspace_id- metastore_id |
unityCatalog |
getStorageCredential |
Kontoadministrator*innen fordern Details zu Speicheranmeldeinformationen an. | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateStorageCredential |
Kontoadministrator*innen führen ein Update für Speicheranmeldeinformationen durch. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
deleteStorageCredential |
Kontoadministrator*innen löschen Speicheranmeldeinformationen. | - name_arg- workspace_id- metastore_id |
unityCatalog |
generateTemporaryTableCredential |
Wird protokolliert, wenn temporäre Anmeldeinformationen für eine Tabelle erteilt werden. Sie können dieses Ereignis verwenden, um zu erfassen, wer wann welche Informationen abgefragt hat. | - credential_id- credential_type- is_permissions_enforcing_client- table_full_name- operation- table_id- workspace_id- table_url- metastore_id |
unityCatalog |
generateTemporaryPathCredential |
Wird protokolliert, wenn temporäre Anmeldeinformationen für einen Pfad erteilt werden. | - url- operation- make_path_only_parent- workspace_id- metastore_id |
unityCatalog |
getPermissions |
Benutzer*in führt einen Aufruf aus, um Berechtigungsdetails für ein sicherungsfähiges Objekt abzurufen. Dieser Aufruf gibt keine geerbten Berechtigungen zurück, sondern nur explizit zugewiesene Berechtigungen. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getEffectivePermissions |
Benutzer*in führt einen Aufruf aus, um alle Berechtigungsdetails für ein sicherungsfähiges Objekt abzurufen. Dieser effektive Berechtigungsaufruf gibt sowohl explizit zugewiesene als auch geerbte Berechtigungen zurück. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
updatePermissions |
Benutzer*innen aktualisieren die Berechtigungen für ein sicherungsfähiges Objekt. | - securable_type- changes- securable_full_name- workspace_id- metastore_id |
unityCatalog |
metadataSnapshot |
Benutzer*innen fragen die Metadaten aus einer früheren Tabellenversion ab. | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
metadataAndPermissionsSnapshot |
Benutzer*innen fragen die Metadaten und Berechtigungen aus einer früheren Tabellenversion ab. | - securables- include_delta_metadata- workspace_id- metastore_id |
unityCatalog |
updateMetadataSnapshot |
Benutzer*innen aktualisieren die Metadaten aus einer früheren Tabellenversion. | - table_list_snapshots- schema_list_snapshots- workspace_id- metastore_id |
unityCatalog |
getForeignCredentials |
Benutzer*innen führen einen Aufruf aus, um Details zu einem Fremdschlüssel abzurufen. | - securables- workspace_id- metastore_id |
unityCatalog |
getInformationSchema |
Benutzer*innen führen einen Aufruf aus, um Details zu einem Schema abzurufen. | - table_name- page_token- required_column_names- row_set_type- required_column_names- workspace_id- metastore_id |
unityCatalog |
createConstraint |
Benutzer*innen erstellen eine Einschränkung für eine Tabelle. | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
deleteConstraint |
Der Benutzer*innen löschen eine Einschränkung für eine Tabelle. | - full_name_arg- constraint- workspace_id- metastore_id |
unityCatalog |
createPipeline |
Benutzer*innen erstellen eine Unity Catalog-Pipeline. | - target_catalog_name- has_workspace_definition- id- workspace_id- metastore_id |
unityCatalog |
updatePipeline |
Benutzer*innen aktualisieren eine Unity Catalog-Pipeline. | - id_arg- definition_json- id- workspace_id- metastore_id |
unityCatalog |
getPipeline |
Benutzer*innen fordern Details zu einer Unity Catalog-Pipeline an. | - id- workspace_id- metastore_id |
unityCatalog |
deletePipeline |
Benutzer*innen löschen eine Unity Catalog-Pipeline. | - id- workspace_id- metastore_id |
unityCatalog |
deleteResourceFailure |
Ressource kann nicht gelöscht werden. | Keine |
unityCatalog |
createVolume |
Benutzer*innen erstellen ein Unity Catalog-Volume. | - name- catalog_name- schema_name- volume_type- storage_location- owner- comment- workspace_id- metastore_id |
unityCatalog |
getVolume |
Benutzer*innen führen einen Aufruf aus, um Informationen zu einem Unity Catalog-Volume abzurufen. | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
updateVolume |
Benutzer aktualisiert die Metadaten eines Unity Catalog-Volumes mit den ALTER VOLUME- oder COMMENT ON-Aufrufen |
- volume_full_name- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteVolume |
Benutzer*innen löschen ein Unity Catalog-Volume. | - volume_full_name- workspace_id- metastore_id |
unityCatalog |
listVolumes |
Benutzer*innen führen einen Aufruf aus, um eine Liste aller Unity Catalog-Volumes in einem Schema abzurufen. | - catalog_name- schema_name- workspace_id- metastore_id |
unityCatalog |
generateTemporaryVolumeCredential |
Temporäre Anmeldeinformationen werden generiert, wenn ein Benutzer Lese- oder Schreibvorgänge auf einem Volume ausführt. Sie können dieses Ereignis verwenden, um zu erfassen, wer wann auf ein Volume zugegriffen hat. | - volume_id- volume_full_name- operation- volume_storage_location- credential_id- credential_type- workspace_id- metastore_id |
unityCatalog |
getTagSecurableAssignments |
Tagzuweisungen für ein sicherungsfähiges Element werden abgerufen. | - securable_type- securable_full_name- workspace_id- metastore_id |
unityCatalog |
getTagSubentityAssignments |
Tagzuweisungen für eine untergeordnete Instanz werden abgerufen. | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name |
unityCatalog |
UpdateTagSecurableAssignments |
Tagzuweisungen für ein sicherungsfähiges Element werden aktualisiert. | - securable_type- securable_full_name- workspace_id- metastore_id- changes |
unityCatalog |
UpdateTagSubentityAssignments |
Tagzuweisungen für eine untergeordnete Instanz werden aktualisiert. | - securable_type- securable_full_name- workspace_id- metastore_id- subentity_name- changes |
unityCatalog |
createRegisteredModel |
Benutzer*innen erstellen ein registriertes Unity Catalog-Modell. | - name- catalog_name- schema_name- owner- comment- workspace_id- metastore_id |
unityCatalog |
getRegisteredModel |
Benutzer*innen führen einen Aufruf aus, um Informationen zu einem registrierten Unity Catalog-Modell abzurufen. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
updateRegisteredModel |
Benutzer*innen aktualisieren die Metadaten eines registrierten Unity Catalog-Modells. | - full_name_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteRegisteredModel |
Benutzer*innen löschen ein registriertes Unity Catalog-Modell. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
listRegisteredModels |
Benutzer*innen führen einen Aufruf aus, um eine Liste der registrierten Unity Catalog-Modelle in einem Schema abzurufen oder um Modelle katalog- und schemaübergreifend aufzulisten. | - catalog_name- schema_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
createModelVersion |
Ein Benutzer oder eine Benutzerin erstellt eine Modellversion in Unity Catalog. | - catalog_name- schema_name- model_name- source- comment- workspace_id- metastore_id |
unityCatalog |
finalizeModelVersion |
Benutzer*innen führen einen Aufruf aus, um eine Unity Catalog-Modellversion zu „finalisieren“, nachdem die Modellversionsdateien an den entsprechenden Speicherort hochgeladen wurden, sodass sie schreibgeschützt ist und in Rückschlussworkflows verwendet werden kann. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersion |
Ein Benutzer oder eine Benutzerin ruft Details zu einer Modellversion ab. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
getModelVersionByAlias |
Ein Benutzer oder eine Benutzerin ruft mithilfe des Alias Details zu einer Modellversion ab. | - full_name_arg- include_aliases- alias_arg- workspace_id- metastore_id |
unityCatalog |
updateModelVersion |
Ein Benutzer oder eine Benutzerin aktualisiert die Metadaten einer Modellversion. | - full_name_arg- version_arg- name- owner- comment- workspace_id- metastore_id |
unityCatalog |
deleteModelVersion |
Ein Benutzer oder eine Benutzerin löscht eine Modellversion. | - full_name_arg- version_arg- workspace_id- metastore_id |
unityCatalog |
listModelVersions |
Benutzer*innen führen einen Aufruf aus, um eine Liste der Unity Catalog-Modellversionen in einem registrierten Modell abzurufen. | - catalog_name- schema_name- model_name- max_results- page_token- workspace_id- metastore_id |
unityCatalog |
generateTemporaryModelVersionCredential |
Temporäre Anmeldeinformationen werden generiert, wenn ein Benutzer einen Schreibvorgang (während der Erstellung der anfänglichen Modellversion) oder Lesevorgang (nachdem die Modellversion finalisiert wurde) für eine Modellversion ausführt. Sie können dieses Ereignis verwenden, um zu erfassen, wer wann auf eine Modellversion zugegriffen hat. | - full_name_arg- version_arg- operation- model_version_url- credential_id- credential_type- workspace_id- metastore_id |
unityCatalog |
setRegisteredModelAlias |
Der Benutzer legt einen Alias für ein registriertes Unity-Katalogmodell fest. | - full_name_arg- alias_arg- version |
unityCatalog |
deleteRegisteredModelAlias |
Der Benutzer löscht einen Alias in einem registrierten Unity-Katalogmodell. | - full_name_arg- alias_arg |
unityCatalog |
getModelVersionByAlias |
Der Benutzer erhält eine Unity Catalog-Modellversion per Alias. | - full_name_arg- alias_arg |
unityCatalog |
createConnection |
Eine neue Fremdverbindung wird erstellt. | - name- connection_type- workspace_id- metastore_id |
unityCatalog |
deleteConnection |
Eine Fremdverbindung wird gelöscht. | - name_arg- workspace_id- metastore_id |
unityCatalog |
getConnection |
Eine Fremdverbindung wird abgerufen. | - name_arg- workspace_id- metastore_id |
unityCatalog |
updateConnection |
Eine Fremdverbindung wird aktualisiert. | - name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listConnections |
Fremdverbindungen in einem Metastore werden aufgelistet. | - workspace_id- metastore_id |
unityCatalog |
createFunction |
Ein Benutzer oder eine Benutzerin erstellt eine neue Funktion. | - function_info- workspace_id- metastore_id |
unityCatalog |
updateFunction |
Ein Benutzer oder eine Benutzerin aktualisiert eine Funktion. | - full_name_arg- owner- workspace_id- metastore_id |
unityCatalog |
listFunctions |
Ein Benutzer oder eine Benutzerin fordert eine Liste aller Funktionen innerhalb eines bestimmten übergeordneten Katalogs oder Schemas an. | - catalog_name- schema_name- include_browse- workspace_id- metastore_id |
unityCatalog |
getFunction |
Ein Benutzer oder eine Benutzerin fordert eine Funktion aus einem übergeordneten Katalog oder Schema an. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
deleteFunction |
Ein Benutzer oder eine Benutzerin fordert eine Funktion aus einem übergeordneten Katalog oder Schema an. | - full_name_arg- workspace_id- metastore_id |
unityCatalog |
createShareMarketplaceListingLink |
- links_infos- metastore_id |
|
unityCatalog |
deleteShareMarketplaceListingLink |
- links_infos- metastore_id |
Delta Sharing-Ereignisse
Hinweis
Dieser Dienst ist über Azure-Diagnoseeinstellungen nicht verfügbar. Aktivieren Sie die Überwachungsprotokollsystemtabelle, um auf diese Ereignisse zuzugreifen.
Delta Sharing-Ereignisse werden in zwei Abschnitte unterteilt: Ereignisse, die im Konto des Datenanbieters erfasst werden, und Ereignisse, die im Konto des Datenempfängers erfasst werden.
Delta Sharing-Ereignisse beim Anbieter
Die folgenden Überwachungsprotokollereignisse werden im Konto des Anbieters protokolliert. Aktionen, die von Empfängern ausgeführt werden, beginnen mit dem Präfix deltaSharing. Jedes dieser Protokolle enthält auch request_params.metastore_id, den Metastore, in dem die freigegebenen Daten verwaltet werden, und userIdentity.email, die ID des Benutzers oder der Benutzerin, der bzw. die die Aktivität initiiert hat.
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
unityCatalog |
deltaSharingListShares |
Ein Datenempfänger fordert eine Liste mit Freigaben an. | - options: Mit dieser Anforderung bereitgestellte Paginierungsoption- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingGetShare |
Ein Datenempfänger fordert Details zu einer Freigabe an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListSchemas |
Ein Datenempfänger fordert eine Liste der freigegebenen Schemas an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- options: Mit dieser Anforderung bereitgestellte Paginierungsoption- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListAllTables |
Ein Datenempfänger fordert eine Liste aller freigegebenen Tabellen an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListTables |
Ein Datenempfänger fordert eine Liste der freigegebenen Tabellen an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- options: Mit dieser Anforderung bereitgestellte Paginierungsoption- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingGetTableMetadata |
Ein Datenempfänger fordert Details zu den Metadaten einer Tabelle an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- schema: Der Name des Schemas.- name: Name der Tabelle- predicateHints: Prädikate in der Abfrage- limitHints: Maximale Anzahl zurückzugebender Zeilen- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingGetTableVersion |
Ein Datenempfänger fordert Details zu einer Tabellenversion an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- schema: Der Name des Schemas.- name: Name der Tabelle- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingQueryTable |
Protokolliert, wenn ein Datenempfänger eine freigegebene Tabelle abfragt. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- schema: Der Name des Schemas.- name: Name der Tabelle- predicateHints: Prädikate in der Abfrage- limitHints: Maximale Anzahl zurückzugebender Zeilen- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingQueryTableChanges |
Protokolliert, wenn ein Datenempfänger Änderungsdaten für eine Tabelle abfragt. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- schema: Der Name des Schemas.- name: Name der Tabelle- cdf_options: Optionen für das Ändern des Datenfeeds.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingQueriedTable |
Protokolliert, nachdem ein Datenempfänger eine Antwort auf seine Abfrage erhält. Das Feld response.result enthält weitere Informationen zur Abfrage des Empfängers (siehe Überwachen der Datenfreigabe). |
- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingQueriedTableChanges |
Protokolliert, nachdem ein Datenempfänger eine Antwort auf seine Abfrage erhält. Das Feld response.result enthält weitere Informationen zur Abfrage des Empfängers (siehe Überwachen der Datenfreigabe). |
- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListNotebookFiles |
Ein Datenempfänger fordert eine Liste der freigegebenen Notebookdateien an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingQueryNotebookFile |
Ein Datenempfänger fragt eine freigegebene Notebookdatei ab. | - file_name: Der Name der Notebookdatei.- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListFunctions |
Ein Datenempfänger fordert eine Liste von Funktionen in einem übergeordneten Schema an. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Funktion.- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListAllFunctions |
Ein Datenempfänger fordert eine Liste aller freigegebenen Funktionen an. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Funktion.- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListFunctionVersions |
Ein Datenempfänger fordert eine Liste der Funktionsversionen an. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Funktion.- function: Der Name der Funktion.- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListVolumes |
Ein Datenempfänger fordert eine Liste der freigegebenen Volumes in einem Schema an. | - share: Name der Freigabe- schema: Das übergeordnete Schema der Volumes.- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
deltaSharingListAllVolumes |
Ein Datenempfänger fordert alle freigegebenen Volumes an. | - share: Name der Freigabe- recipient_name: Gibt den Empfänger an, der die Aktion ausführt.- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls TRUE, wenn die Anforderung abgelehnt wurde, und FALSE, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
updateMetastore |
Ein Anbieter aktualisiert seinen Metastore. | - delta_sharing_scope: Die Werte können INTERNAL oder INTERNAL_AND_EXTERNAL lauten.- delta_sharing_recipient_token_lifetime_in_seconds: Gibt an, dass die Gültigkeitsdauer des Empfängertokens aktualisiert wurde (sofern vorhanden) |
unityCatalog |
createRecipient |
Ein Anbieter erstellt einen Datenempfänger. | - name: Name des Empfängers- comment: Kommentar für den Empfänger- ip_access_list.allowed_ip_addresses:: Positivliste für Empfänger-IP-Adressen. |
unityCatalog |
deleteRecipient |
Ein Anbieter löscht einen Datenempfänger. | - name: Name des Empfängers |
unityCatalog |
getRecipient |
Ein Anbieter fordert Details zu einem Datenempfänger an. | - name: Name des Empfängers |
unityCatalog |
listRecipients |
Ein Anbieter fordert eine Liste aller Datenempfänger an. | Keine |
unityCatalog |
rotateRecipientToken |
Ein Anbieter rotiert das Token eines Empfängers. | - name: Name des Empfängers- comment: Im Rotationsbefehl angegebener Kommentar |
unityCatalog |
updateRecipient |
Der Anbieter aktualisiert die Attribute eines Datenempfängers. | - name: Name des Empfängers- updates: JSON-Darstellung der Anbieterattribute, die der Freigabe hinzugefügt oder daraus entfernt wurden. |
unityCatalog |
createShare |
Der Anbieter aktualisiert die Attribute eines Datenempfängers. | - name: Name der Freigabe- comment: Kommentar für die Freigabe |
unityCatalog |
deleteShare |
Der Anbieter aktualisiert die Attribute eines Datenempfängers. | - name: Name der Freigabe |
unityCatalog |
getShare |
Ein Anbieter fordert Details zu einer Freigabe an. | - name: Name der Freigabe- include_shared_objects: Gibt an, ob die Tabellennamen der Freigabe in der Anforderung enthalten sind |
unityCatalog |
updateShare |
Ein Anbieter fügt Datenressourcen aus einer Freigabe hinzu oder entfernt sie. | - name: Name der Freigabe- updates: Eine JSON-Darstellung von Datenressourcen, die aus der Freigabe hinzugefügt oder daraus entfernt wurden. Jedes Element umfasst action (Hinzufügen oder Entfernen), name (tatsächlicher Name der Tabelle), shared_as (Name, mit dem die Ressource freigegeben wurden, sofern sich der Name vom tatsächlichen Namen unterscheidet) und partition_specification (falls eine Partitionsspezifikation angegeben wurde). |
unityCatalog |
listShares |
Ein Anbieter fordert eine Liste seiner Freigaben an. | Keine |
unityCatalog |
getSharePermissions |
Ein Anbieter fordert Details zu den Berechtigungen einer Freigabe an. | - name: Name der Freigabe |
unityCatalog |
updateSharePermissions |
Ein Anbieter aktualisiert die Berechtigungen einer Freigabe. | - name: Name der Freigabe- changes: JSON-Darstellung der aktualisierten Berechtigungen. Jede Änderung umfasst principal (Benutzer/Benutzerin oder Gruppe, für die Berechtigungen zugewiesen oder widerrufen werden), add (Liste der zugewiesenen Berechtigungen) und remove (Liste der widerrufenen Berechtigungen). |
unityCatalog |
getRecipientSharePermissions |
Ein Anbieter fordert Details zu den Freigabeberechtigungen eines Empfängers an. | - name: Name der Freigabe |
unityCatalog |
getActivationUrlInfo |
Ein Anbieter fordert Details zu Aktivitäten für seinen Aktivierungslink an. | - recipient_name: Name des Empfängers, der die Aktivierungs-URL geöffnet hat- is_ip_access_denied: Keine, wenn keine IP-Zugriffsliste konfiguriert ist. Andernfalls true, wenn die Anforderung abgelehnt wurde und false, wenn die Anforderung nicht abgelehnt wurde. sourceIPaddress ist die IP-Adresse des Empfängers. |
unityCatalog |
generateTemporaryVolumeCredential |
Für den Empfänger werden temporäre Anmeldeinformationen generiert, damit dieser auf ein freigegebenes Volume zugreifen kann. | - share_name: Der Name der Freigabe, über die der Empfänger Anfragen anfordert.- share_id: Die ID der Freigabe.- share_owner: Der Besitzer der Freigabe.- recipient_name: Der Name des Empfängers, der die Anmeldeinformationen anfordert.- recipient_id: Die ID des Empfängers.- volume_full_name: Der vollständige 3-Ebenen-Name des Volumes.- volume_id: Die ID des Volumes.- volume_storage_location: Der Cloudpfad des Volumestamms.- operation: Entweder READ_VOLUME oder WRITE_VOLUME Für die Volume-Freigabe wird nur READ_VOLUME unterstützt.- credential_id: Die ID der Anmeldeinformationen.- credential_type: Der Typ der Anmeldeinformationen. Der Wert lautet stets StorageCredential.- workspace_id: Der Wert lautet immer 0, wenn die Anforderung für freigegebene Volumes gilt. |
unityCatalog |
generateTemporaryTableCredential |
Für den Empfänger werden temporäre Anmeldeinformationen generiert, damit dieser auf eine freigegebene Tabelle zugreifen kann. | - share_name: Der Name der Freigabe, über die der Empfänger Anfragen anfordert.- share_id: Die ID der Freigabe.- share_owner: Der Besitzer der Freigabe.- recipient_name: Der Name des Empfängers, der die Anmeldeinformationen anfordert.- recipient_id: Die ID des Empfängers.- table_full_name: Der vollständige 3-Ebenen-Name der Tabelle.- table_id: Die ID der Tabelle.- table_url: Der Cloudpfad des Tabellenstamms.- operation: Entweder READ oder READ_WRITE- credential_id: Die ID der Anmeldeinformationen.- credential_type: Der Typ der Anmeldeinformationen. Der Wert lautet stets StorageCredential.- workspace_id: Der Wert lautet immer 0, wenn die Anforderung für freigegebene Tabellen gilt. |
Delta Sharing-Ereignisse beim Empfänger
Die folgenden Ereignisse werden im Konto des Datenempfängers protokolliert. Diese Ereignisse erfassen den Empfängerzugriff auf freigegebene Daten und KI-Ressourcen sowie Ereignisse im Zusammenhang mit der Verwaltung von Anbietern. Jedes dieser Ereignisse enthält außerdem die folgenden Anforderungsparameter:
recipient_name: Name des Empfängers im System des Datenanbietersmetastore_id: Name des Metastores im System des DatenanbieterssourceIPAddress: IP-Adresse, von der die Anforderung stammt
| Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
unityCatalog |
deltaSharingProxyGetTableVersion |
Ein Datenempfänger fordert Details zur Version einer freigegebenen Tabelle an. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Tabelle.- name: Name der Tabelle |
unityCatalog |
deltaSharingProxyGetTableMetadata |
Ein Datenempfänger fordert Details zu den Metadaten einer freigegebenen Tabelle an. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Tabelle.- name: Name der Tabelle |
unityCatalog |
deltaSharingProxyQueryTable |
Ein Datenempfänger fragt eine freigegebene Tabelle ab. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Tabelle.- name: Name der Tabelle- limitHints: Maximale Anzahl zurückzugebender Zeilen- predicateHints: Prädikate in der Abfrage- version: Tabellenversion, wenn der Änderungsdatenfeed aktiviert ist. |
unityCatalog |
deltaSharingProxyQueryTableChanges |
Ein Datenempfänger fragt Änderungsdaten für eine Tabelle ab. | - share: Name der Freigabe- schema: Der Name des übergeordneten Schemas der Tabelle.- name: Name der Tabelle- cdf_options: Optionen für das Ändern des Datenfeeds. |
unityCatalog |
createProvider |
Ein Datenempfänger erstellt ein Anbieterobjekt. | - name: Name des Anbieters.- comment: Kommentar für den Anbieter. |
unityCatalog |
updateProvider |
Ein Datenempfänger aktualisiert ein Anbieterobjekt. | - name: Name des Anbieters.- updates: JSON-Darstellung der Anbieterattribute, die hinzugefügt oder aus der Freigabe entfernt wurden. Jedes Element enthält action (Hinzufügen oder Entfernen) und kann name (Name des neuen Anbieters), owner (neuer Besitzer) und comment enthalten. |
unityCatalog |
deleteProvider |
Ein Datenempfänger löscht ein Anbieterobjekt. | - name: Name des Anbieters. |
unityCatalog |
getProvider |
Ein Datenempfänger fordert Details zu einem Anbieterobjekt an. | - name: Name des Anbieters. |
unityCatalog |
listProviders |
Ein Datenempfänger fordert eine Liste der Anbieter an. | Keine |
unityCatalog |
activateProvider |
Ein Datenempfänger aktiviert ein Anbieterobjekt. | - name: Name des Anbieters. |
unityCatalog |
listProviderShares |
Ein Datenempfänger fordert eine Liste der Freigaben eines Anbieters an. | - name: Name des Anbieters. |
unityCatalog |
generateTemporaryVolumeCredential |
Für den Empfänger werden temporäre Anmeldeinformationen generiert, damit dieser auf ein freigegebenes Volume zugreifen kann. | - share_name: Der Name der Freigabe, über die der Empfänger Anfragen anfordert.- volume_full_name: Der vollständige 3-Ebenen-Name des Volumes.- volume_id: Die ID des Volumes.- operation: Entweder READ_VOLUME oder WRITE_VOLUME Für die Volume-Freigabe wird nur READ_VOLUME unterstützt.- workspace_id: Die ID des Arbeitsbereichs, der die Benutzeranforderung empfängt. |
unityCatalog |
generateTemporaryTableCredential |
Für den Empfänger werden temporäre Anmeldeinformationen generiert, damit dieser auf eine freigegebene Tabelle zugreifen kann. | - share_name: Der Name der Freigabe, über die der Empfänger Anfragen anfordert.- table_full_name: Der vollständige 3-Ebenen-Name der Tabelle.- table_id: Die ID der Tabelle.- operation: Entweder READ oder READ_WRITE- workspace_id: Die ID des Arbeitsbereichs, der die Benutzeranforderung empfängt. |
Zusätzliche Sicherheitsüberwachungsereignisse
Für Computeressourcen von Azure Databricks in der klassischen Computeebene wie VMs für Cluster und SQL-Warehouses (Pro und klassisch) ermöglichen die folgenden Features zusätzliche Überwachungs-Agents:
- Erweiterte Sicherheitsüberwachung
- Compliancesicherheitsprofil. Das Compliancesicherheitsprofil ist für die Compliancekontrollmechanismen für PCI-DSS erforderlich.
Dateiintegritätsüberwachungsereignisse
Die folgenden capsule8-alerts-dataplane-Ereignisse werden auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
capsule8-alerts-dataplane |
Heartbeat |
Dabei handelt es sich um ein regelmäßig gesendetes Ereignis, das bestätigt, dass die Überwachung aktiviert ist. Es wird alle zehn Minuten ausgeführt. | - instanceId |
capsule8-alerts-dataplane |
Memory Marked Executable |
Arbeitsspeicher wird häufig als „ausführbar“ markiert, damit bei einem Exploitangriff auf eine Anwendung schädlicher Code ausgeführt werden kann. Mit diesem Feld wird gewarnt, wenn ein Programm Heap- oder Stapelspeicherberechtigungen auf „ausführbar“ festlegt. Dies kann zu False Positives bei bestimmten Anwendungsservern führen. | - instanceId |
capsule8-alerts-dataplane |
File Integrity Monitor |
Das Ereignis überwacht die Integrität wichtiger Systemdateien. Warnt bei nicht autorisierten Änderungen an diesen Dateien. Databricks definiert bestimmte Gruppen von Systempfaden im Image, und diese Pfadgruppen könnten sich im Laufe der Zeit ändern. | - instanceId |
capsule8-alerts-dataplane |
Systemd Unit File Modified |
Änderungen an systemd-Einheiten könnten dazu führen, dass die Sicherheitskontrollmechanismen ganz oder teilweise aufgehoben werden oder ein schädlicher Dienst installiert wird. Warnt, wenn die Datei einer systemd-Einheit von einem anderen Programm als systemctl geändert wird. |
- instanceId |
capsule8-alerts-dataplane |
Repeated Program Crashes |
Wiederholte Programmabstürze könnten darauf hindeuten, dass ein Angriff stattfindet und versucht wird, ein Sicherheitsrisiko durch eine Arbeitsspeicherbeschädigung auszunutzen, oder dass ein Stabilitätsproblem in der betroffenen Anwendung vorliegt. Warnt, wenn mehr als fünf Instanzen eines bestimmten Programms durch Segmentierungsfehler abstürzen. | - instanceId |
capsule8-alerts-dataplane |
Userfaultfd Usage |
Da Container in der Regel statische Workloads sind, könnte diese Warnung darauf hindeuten, dass der Container kompromittiert wurde und bei dem Angriff versucht wird, eine Hintertür zu installieren und auszuführen. Warnt, wenn eine erstellte oder geänderte Datei innerhalb von 30 Minuten in einem Container ausgeführt wird. | - instanceId |
capsule8-alerts-dataplane |
New File Executed in Container |
Arbeitsspeicher wird häufig als „ausführbar“ markiert, damit bei einem Exploitangriff auf eine Anwendung schädlicher Code ausgeführt werden kann. Mit diesem Feld wird gewarnt, wenn ein Programm Heap- oder Stapelspeicherberechtigungen auf „ausführbar“ festlegt. Dies kann zu False Positives bei bestimmten Anwendungsservern führen. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Interactive Shell |
Interaktive Shells kommen in modernen Produktionsinfrastrukturen selten vor. Warnt, wenn eine interaktive Shell mit Argumenten gestartet wird, die im Allgemeinen für Reverseshells verwendet werden. | - instanceId |
capsule8-alerts-dataplane |
User Command Logging Evasion |
Das Umgehen der Befehlsprotokollierung ist eine gängige Praxis bei Angriffen. Es könnte aber auch darauf hindeuten, dass legitime Benutzer*innen nicht autorisierte Aktionen ausführen oder versuchen, diese Richtlinie zu umgehen. Warnt, wenn eine Änderung an der Protokollierung des Benutzerbefehlsverlaufs erkannt wird, die darauf hinweist, dass ein Benutzer oder eine Benutzerin versucht, die Befehlsprotokollierung zu umgehen. | - instanceId |
capsule8-alerts-dataplane |
BPF Program Executed |
Das Ereignis erkennt einige Arten von Hintertüren für den Kernel. Das Laden eines neuen BPF-Programms (Berkeley Packet Filter) kann darauf hindeuten, dass bei einem Angriff ein BPF-basiertes Rootkit geladen wird, um Persistenz zu erlangen und eine Erkennung zu vermeiden. Warnt, wenn ein Prozess ein neues privilegiertes BPF-Programm lädt, sofern der Prozess bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Kernel Module Loaded |
Angreifer*innen laden häufig schädliche Kernelmodule (Rootkits), um nicht erkannt zu werden und die Persistenz auf einem kompromittierten Knoten aufrechtzuerhalten. Warnt, wenn ein Kernelmodul geladen wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Suspicious Program Name Executed-Space After File |
Angreifer*innen könnten schädliche Binärdateien erstellen oder diese durch das Hinzufügen eines Leerzeichens am Ende des Namens umbenennen, um die Identität eines legitimen Systemprogramms oder -diensts zu imitieren. Warnt, wenn ein Programm mit einem Leerzeichen hinter dem Programmnamen ausgeführt wird. | - instanceId |
capsule8-alerts-dataplane |
Illegal Elevation Of Privileges |
Exploits durch Rechteausweitung für den Kernel ermöglichen es nicht privilegierten Benutzer*innen häufig, root-Berechtigungen zu erhalten, ohne Standardgates für Berechtigungsänderungen zu passieren. Warnt, wenn ein Programm versucht, Berechtigungen mithilfe ungewöhnlicher Mittel zu erhöhen. Dies kann dazu führen, dass auf Knoten mit umfangreichen Workloads False Positives ausgegeben werden. | - instanceId |
capsule8-alerts-dataplane |
Kernel Exploit |
Reguläre Programme können nicht auf interne Kernelfunktionen zugreifen. Daher ist ein Aufruf dieser Funktionen ein deutlicher Hinweis darauf, dass ein Kernelexploit ausgeführt wurde und Angreifer*innen vollständige Kontrolle über den Knoten haben. Warnt, wenn eine Kernelfunktion unerwartet in den Benutzerbereich zurückgegeben wird. | - instanceId |
capsule8-alerts-dataplane |
Processor-Level Protections Disabled |
SMEP und SMAP sind Schutzmechanismen auf Prozessorebene, die erfolgreiche Kernelexploits erschweren. Das Deaktivieren dieser Beschränkungen ist ein gängiger Schritt in der Anfangsphase von Kernelexploits. Warnt, wenn ein Programm die SMEP/SMAP-Konfiguration für den Kernel manipuliert. | - instanceId |
capsule8-alerts-dataplane |
Container Escape via Kernel Exploitation |
Das Ereignis warnt, wenn ein Programm Kernelfunktionen verwendet, die häufig in Container-Escape-Exploits verwendet werden. Das deutet darauf hin, dass Angreifer*innen die Rechte vom Container- auf den Knotenzugriff ausweiten. | - instanceId |
capsule8-alerts-dataplane |
Privileged Container Launched |
Privilegierte Container haben direkten Zugriff auf Hostressourcen, was bei einer Kompromittierung erhebliche Auswirkungen zur Folge hat. Warnt, wenn ein privilegierter Container gestartet wird, sofern der Container kein bekanntes privilegiertes Image wie z. B. „kube-proxy“ ist. Dadurch können unerwünschte Warnungen für legitime privilegierte Container ausgegeben werden. | - instanceId |
capsule8-alerts-dataplane |
Userland Container Escape |
Viele Container-Escapes zwingen den Host dazu, eine binäre Containerdatei auszuführen, wodurch Angreifer*innen vollständige Kontrolle über den betroffenen Knoten erhalten. Warnt, wenn eine durch einen Container erstellte Datei außerhalb eines Containers ausgeführt wird. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Disabled In Kernel |
Die Änderung bestimmter AppArmor-Attribute kann nur im Kernel erfolgen, was darauf deutet, dass AppArmor durch einen Kernelexploit oder ein Rootkit deaktiviert wurde. Warnt, wenn der AppArmor-Zustand von der beim Starten des Sensors erkannte AppArmor-Konfiguration abweicht. | - instanceId |
capsule8-alerts-dataplane |
AppArmor Profile Modified |
Um nicht erkannt zu werden, könnten Angreifer*innen versuchen, die Erzwingung von AppArmor-Profilen zu deaktivieren. Warnt, wenn ein Befehl zum Ändern eines AppArmor-Profils ausgeführt wird, sofern er nicht von einem Benutzer oder einer Benutzer*in in einer SSH-Sitzung ausgeführt wird. | - instanceId |
capsule8-alerts-dataplane |
Boot Files Modified |
Wenn eine Änderung von Startdateien nicht von einer vertrauenswürdigen Quelle (z. B. einem Paket-Manager oder einem Konfigurationsverwaltungstool) ausgeführt wird, könnte dies darauf hindeuten, dass Angreifer*innen den Kernel oder seine Optionen ändern, um dauerhaften Zugriff auf einen Host zu erhalten. Warnt, wenn Änderungen an Dateien in /boot vorgenommen werden, die auf die Installation einer neuen Kernel- oder Startkonfiguration hinweisen. |
- instanceId |
capsule8-alerts-dataplane |
Log Files Deleted |
Protokolllöschvorgänge, die nicht von einem Protokollverwaltungstool durchgeführt wurden, könnten darauf hindeuten, dass Angreifer*innen versuchen, Hinweise auf eine Kompromittierung zu entfernen. Warnt beim Löschen von Systemprotokolldateien. | - instanceId |
capsule8-alerts-dataplane |
New File Executed |
Neu erstellte Dateien aus anderen Quellen als Programmen zur Systemaktualisierung könnten Hintertüren, Kernelexploits oder Teil einer Exploitkette sein. Warnt, wenn eine Datei 30 Minuten nach Erstellung oder Änderung ausgeführt wird, ausgenommen Dateien, die von Programmen zur Systemaktualisierung erstellt wurden. | - instanceId |
capsule8-alerts-dataplane |
Root Certificate Store Modified |
Die Änderung des Stammzertifikatspeichers könnte auf die Installation einer nicht autorisierten Zertifizierungsstelle hindeuten, wodurch das Abfangen des Netzwerkdatenverkehrs oder die Umgehung der Codesignaturüberprüfung ermöglicht wird. Warnt, wenn der Zertifikatspeicher einer Systemzertifizierungsstelle geändert wird. | - instanceId |
capsule8-alerts-dataplane |
Setuid/Setgid Bit Set On File |
Durch das Festlegen von setuid/setgid-Bits kann eine persistente Methode für die Rechteausweitung auf einem Knoten bereitgestellt werden. Warnt, wenn das setuid- oder setgid-Bit für eine Datei mit Systemaufrufen aus der chmod-Familie festgelegt ist. |
- instanceId |
capsule8-alerts-dataplane |
Hidden File Created |
Angreifer*innen erstellen häufig versteckte Dateien, um Tools und Payloads auf einem kompromittierten Host zu verschleiern. Warnt, wenn eine versteckte Datei durch einen Prozess erstellt wird, der einem laufenden Incident zugeordnet ist. | - instanceId |
capsule8-alerts-dataplane |
Modification Of Common System Utilities |
Angreifer*innen könnten Systemdienstprogramme so ändern, dass bei jeder Ausführung dieser Programme schädliche Payloads ausgeführt werden. Warnt, wenn ein gängiges Systemhilfsprogramm durch einen nicht autorisierten Prozess geändert wird. | - instanceId |
capsule8-alerts-dataplane |
Network Service Scanner Executed |
Angreifer*innen oder nicht autorisierte Benutzer*innen könnten diese Programme verwenden oder installieren, um in verbundenen Netzwerken nach weiteren Knoten zu suchen und diese zu kompromittieren. Warnt, wenn gängige Programmtools für Netzwerkscans ausgeführt werden. | - instanceId |
capsule8-alerts-dataplane |
Network Service Created |
Angreifer*innen könnten einen neuen Netzwerkdienst starten, um nach einer Kompromittierung einfachen Zugriff auf den Host zu ermöglichen. Warnt, wenn ein Programm einen neuen Netzwerkdienst startet, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Network Sniffing Program Executed |
Angreifer*innen oder nicht autorisierte Benutzer*innen könnten Befehle zum Ausspionieren von Netzwerken ausführen, um Anmeldeinformationen, personenbezogene Informationen (Personally Identifiable Information, PII) oder andere vertrauliche Daten zu sammeln. Warnt, wenn ein Programm ausgeführt wird, das die Erfassung von Daten im Netzwerk zulässt. | - instanceId |
capsule8-alerts-dataplane |
Remote File Copy Detected |
Die Verwendung von Dateiübertragungstools könnte darauf hindeuten, dass Angreifer*innen versuchen, Toolsets auf zusätzliche Hosts zu verschieben oder Daten in ein Remotesystem zu exfiltrieren. Warnt, wenn ein Programm zum Remotekopieren von Dateien ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Unusual Outbound Connection Detected |
Command-and-Control-Kanäle und Cryptocoin-Miner erstellen häufig neue ausgehende Netzwerkverbindungen an ungewöhnlichen Ports. Warnt, wenn ein Programm eine neue Verbindung an einem ungewöhnlichen Port initiiert, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Data Archived Via Program |
Nachdem Angreifer*innen Zugriff auf ein System erlangt haben, könnten sie ein komprimiertes Archiv von Dateien erstellen, um die Größe der Daten für die Exfiltration zu reduzieren. Warnt, wenn ein Datenkomprimierungsprogramm ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Process Injection |
Die Verwendung von Prozessinjektionstechniken deutet häufig darauf hin, dass Benutzer*innen ein Programm debuggen. Es könnte aber auch ein Hinweis darauf sein, dass Angreifer*innen Geheimnisse aus anderen Prozessen auslesen oder Code in andere Prozesse einschleusen. Warnt, wenn ein Programm ptrace-Mechanismen (Debugging) verwendet, um mit einem anderen Prozess zu interagieren. |
- instanceId |
capsule8-alerts-dataplane |
Account Enumeration Via Program |
Angreifer*innen verwenden häufig Programme zur Kontoenumeration, um ihre Zugriffsstufe zu ermitteln und herauszufinden, ob andere Benutzer*innen derzeit beim Knoten angemeldet sind. Warnt, wenn ein Programm für die Kontoenumeration ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
File and Directory Discovery Via Program |
Das Untersuchen von Dateisystemen ist nach einem Exploit eine häufige Vorgehensweise von Angreifer*innen, die nach Anmeldeinformationen und interessanten Daten suchen. Warnt, wenn ein Programm für die Datei- und Verzeichnisenumeration ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Network Configuration Enumeration Via Program |
Angreifer*innen können lokale Netzwerk- und Routinginformationen abfragen, um benachbarte Hosts und Netzwerke vor einem Lateral Movement zu identifizieren. Warnt, wenn ein Programm für die Enumeration der Netzwerkkonfiguration ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Process Enumeration Via Program |
Angreifer*innen listen ausgeführte Programme häufig auf, um den Zweck eines Knotens zu identifizieren und zu ermitteln, ob Sicherheits- oder Überwachungstools vorhanden sind. Warnt, wenn ein Programm für die Prozessenumeration ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
System Information Enumeration Via Program |
Angreifer*innen führen häufig Systemenumerationsbefehle aus, um Versionen und Features von Linux-Kerneln und -Distributionen zu ermitteln. Oft soll damit ermittelt werden, ob auf dem Knoten bestimmte Sicherheitsrisiken bestehen. Warnt, wenn ein Programm für die Enumeration von Systeminformationen ausgeführt wird, sofern das Programm bereits Teil eines laufenden Incidents ist. | - instanceId |
capsule8-alerts-dataplane |
Scheduled Tasks Modified Via Program |
Das Ändern geplanter Aufgaben ist eine gängige Methode zum Einrichten von Persistenz auf einem kompromittierten Knoten. Warnt, wenn die Befehle crontab, at oder batch verwendet werden, um Konfigurationen geplanter Aufgaben zu ändern. |
- instanceId |
capsule8-alerts-dataplane |
Systemctl Usage Detected |
Änderungen an systemd-Einheiten könnten dazu führen, dass die Sicherheitskontrollmechanismen ganz oder teilweise aufgehoben werden oder ein schädlicher Dienst installiert wird. Warnt, wenn der Befehl systemctl zum Ändern von systemd-Einheiten verwendet wird. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of su Command |
Die explizite Rechteausweitung auf den root-Benutzer verringert die Möglichkeit, privilegierte Aktivitäten bestimmten Benutzer*innen zuzuordnen. Warnt, wenn der Befehl su ausgeführt wird. |
- instanceId |
capsule8-alerts-dataplane |
User Execution Of sudo Command |
Warnt, wenn der Befehl sudo ausgeführt wird. |
- instanceId |
capsule8-alerts-dataplane |
User Command History Cleared |
Das Löschen der Verlaufsdatei ist ungewöhnlich und wird häufig von Angreifer*innen durchgeführt, um Aktivitäten zu verbergen, oder von legitimen Benutzer*innen, um Überwachungskontrollen zu umgehen. Warnt, wenn Verlaufsdateien der Befehlszeile gelöscht werden. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Angreifer*innen könnten einem Host neue Benutzer*innen hinzufügen, um eine zuverlässige Zugriffsmethode bereitzustellen. Warnt, wenn der lokalen Kontoverwaltungsdatei /etc/passwdeine neue Benutzerentität hinzugefügt wird, sofern die Entität nicht von einem Programm zur Systemaktualisierung hinzugefügt wird. |
- instanceId |
capsule8-alerts-dataplane |
Password Database Modification |
Angreifer*innen könnten identitätsbezogene Dateien direkt ändern, um dem System neue Benutzer*innen hinzuzufügen. Warnt, wenn eine Datei im Zusammenhang mit Benutzerkennwörtern von einem Programm geändert wird, das nicht mit dem Aktualisieren vorhandener Benutzerinformationen zusammenhängt. | - instanceId |
capsule8-alerts-dataplane |
SSH Authorized Keys Modification |
Das Hinzufügen eines neuen öffentlichen SSH-Schlüssels ist eine gängige Methode, um dauerhaften Zugriff auf einen kompromittierten Host zu erhalten. Warnt, wenn ein Versuch festgestellt wird, in die SSH-Datei authorized_keys eines Benutzers oder einer Benutzerin zu schreiben, sofern das Programm bereits Teil eines laufenden Incidents ist. |
- instanceId |
capsule8-alerts-dataplane |
User Account Created Via CLI |
Das Hinzufügen neuer Benutzer*innen ist ein gängiger Schritt für Angreifer*innen, um auf einem kompromittierten Knoten Persistenz zu erlangen. Warnt, wenn ein Identitätsverwaltungsprogramm von einem anderen Programm als einem Paket-Manager ausgeführt wird. | - instanceId |
capsule8-alerts-dataplane |
User Configuration Changes |
Das Löschen der Verlaufsdatei ist ungewöhnlich und wird häufig von Angreifer*innen durchgeführt, um Aktivitäten zu verbergen, oder von legitimen Benutzer*innen, um Überwachungskontrollen zu umgehen. Warnt, wenn Verlaufsdateien der Befehlszeile gelöscht werden. | - instanceId |
capsule8-alerts-dataplane |
New System User Added |
Benutzerprofil- und Konfigurationsdateien werden häufig als Methode zum Erlangen von Persistenz geändert, um bei jeder Benutzeranmeldung ein Programm auszuführen. Das Ereignis warnt, wenn .bash_profile und bashrc (sowie zugehörige Dateien) von einem anderen Programm als einem Programm zur Systemaktualisierung geändert werden. |
- instanceId |
Virenschutzüberwachungsereignisse
Hinweis
Das JSON-Objekt response in diesen Überwachungsprotokollen verfügt immer über ein result-Feld, das eine Zeile des ursprünglichen Scanergebnisses enthält. Jedes Scanergebnis wird in der Regel durch mehrere Überwachungsprotokolldatensätze dargestellt: einen für jede Zeile der ursprünglichen Scanausgabe. Ausführliche Informationen dazu, was in dieser Datei enthalten sein kann, finden Sie in der folgenden Dokumentation eines Drittanbieters.
Das folgende clamAVScanService-dataplane-Ereignis wird auf der Arbeitsbereichsebene protokolliert:
| Power BI-Dienst | Aktion | BESCHREIBUNG | Anforderungsparameter |
|---|---|---|---|
clamAVScanService-dataplane |
clamAVScanAction |
Die Virenschutzüberwachung führt einen Scan durch. Für jede Zeile der ursprünglichen Scanausgabe wird ein Protokoll generiert. | - instanceId |
Veraltete Protokollereignisse
Databricks hat die folgenden databrickssql-Diagnoseereignisse eingestellt:
createAlertDestination(jetztcreateNotificationDestination)deleteAlertDestination(jetztdeleteNotificationDestination)updateAlertDestination(jetztupdateNotificationDestination)muteAlertunmuteAlert
SQL-Endpunktprotokolle
Wenn Sie SQL-Warehouses mit der Legacy-SQL-Endpunkt-API (dem früheren Namen für SQL-Warehouses) erstellen, enthält der entsprechende Überwachungsereignisname das Wort Endpoint anstelle von Warehouse. Mit Ausnahme dieses Namens sind diese Ereignisse identisch mit den SQL-Warehouseereignissen. Informationen zum Anzeigen von Beschreibungen und Anforderungsparametern dieser Ereignisse finden Sie in den entsprechenden Warehouseereignissen in Databricks-SQL-Ereignisse.
Die SQL-Endpunktereignisse sind:
changeEndpointAclscreateEndpointeditEndpointstartEndpointstopEndpointdeleteEndpointsetEndpointConfig